Изменить шлюз по умолчанию freebsd. Настройка маршрутизатора под управлением системы FreeBSD

Введение == Кратенько хотелось бы накидать план, которому стоит следовать, чтобы курс на Интернет для офиса был правильным и в сторону никого не вильнуло. Сразу отмечу, что шлюз в юниксе - это не одна программа, а целый десяток программ, каждая из которых выполняет свое действие и имеет свои собственные настройки. Мы используем: * FreeBSD 7 * natd * named, routed * ipfw * squid * squidGuard * apache * dhcpd Мой тестовый сервер уже находится в рамках локальной сети, поэтому я считаю, что внешняя сеть у меня это 192.168.0.0/24, а внутреняя - 172.16.0.0/16. Числа, в конце концов, не имеют значения - главное, смысл. Я поставил FreeBSD в минимальной комплектации и мой rc.conf содержит только: hostname="vm=freepro.local" ifconfig_em0="DHCP" linux_enable="YES" sshd_enable="YES" == Настройка NAT == Мой внешний интерфейс - em0 - по умолчанию получает свой IP-адрес по DHCP от обычного роутера с адресом 192.168.1.1. Очевидно, что этот же роутер выполняет роль DNS-сервера. На первом этапе я делаю NAT (всегда на внешнем интерфейсе!) и модифицирую файл /etc/rc.conf таким образом: hostname="vm=freepro.local" defaultrouter="192.168.1.1" ifconfig_em0="inet 192.168.1.10 netmask 255.255.255.0" linux_enable="YES" sshd_enable="YES" # Интернет-шлюз ifconfig_em1="inet 172.16.0.1 netmask 255.255.0.0" gateway_enable="YES" natd_enable="YES" natd_interface="em0" #natd_flags="-f /etc/redirect.conf" firewall_enable="YES" firewall_type="open" #firewall_script="/etc/firewall.conf" router_enable="YES" router="/sbin/routed" router_flags="-q" Я зафиксировал внешний адрес и задал внутренний. Теперь поправим DNS в файле /etc/resolv.conf: nameserver 192.168.1.1 Это всё! Стартуем службы: # /etc/rc.d/ipfw start # /etc/rc.d/natd start # /etc/rc.d/routed start # /etc/rc.d/named start И интернет работает! Клиенту, разумеется, руками прописываем: IP: 172.16.0.2 MASK: 255.255.0.0 GATE: 172.16.0.1 DNS1: 192.168.1.1 Конечно, это очень плохой шлюз. Во-первых, он вообще не защищен, во-вторых, он совсем не кешируется, в-третьих, все DNS-запросы он перенаправляет "наверх", ну и в нем напрочь отсутствует возможность получать какую-либо статистику и чем-либо управлять. Но зато это очень легкий и быстрый шлюз и от дальнейших настроек его производительность будет только увеличиваться, а не уменьшаться. Кстати, обратите внимание, что в новом rc.conf уже закомментированы две строки. Первый комментарий - поможет мне в будущем "пробросить" некоторые порты снаружи - внутрь сети. Т.е. к примеру, если я хочу получить доступ по ssh к клиентскому компьютеру 172.16.0.2 - то я должен буду сделать такой файл: # Файл /etc/redirect.conf redirect_port tcp 172.16.0.2:22 2222 Это означает, что соединяясь с сервером снаружи по порту 2222 я попаду на машину в локальной сети как раз по 22 порту (ssh). Второй комментарий - это моя персональная конфигурация фаервола, заточенная и проверенная. == Настройка ipfw == Моя конфигурация для ipfw на данном этапе она выглядит так: #!/bin/sh # Конфигурация IPFW для простого NAT-сервера /etc/firewall.conf cmd="/sbin/ipfw -q" IfOut="em0" IpOut="192.168.1.10" NetOut="192.168.1.0/24" IfIn="em1" IpIn="172.16.0.1" NetIn="172.16.0.0/16" ################################################## # Clear ################################################## ${cmd} -f flush ${cmd} table 0 flush ${cmd} table 1 flush ################################################## # Whitelist / Blacklist ################################################## ${cmd} table 0 add 172.16.0.12 ${cmd} table 1 add 172.16.0.13 ################################################## # Loopback ################################################## ${cmd} add allow ip from any to any via lo0 ################################################## # Block world to private ################################################## ${cmd} add deny ip from any to 127.0.0.0/8 ${cmd} add deny ip from 127.0.0.0/8 to any #${cmd} add deny ip from 172.16.0.0/16 to any via ${IfOut} #${cmd} add deny ip from 192.168.1.0/24 to any via ${IfOut} ${cmd} add deny ip from any to 10.0.0.0/8 via ${IfOut} #${cmd} add deny ip from any to 172.16.0.0/12 via ${IfOut} #${cmd} add deny ip from any to 192.168.0.0/16 via ${IfOut} ${cmd} add deny ip from any to 0.0.0.0/8 via ${IfOut} ${cmd} add deny ip from any to 169.254.0.0/16 via ${IfOut} ${cmd} add deny ip from any to 192.0.2.0/24 via ${IfOut} ${cmd} add deny ip from any to 224.0.0.0/4 via ${IfOut} ${cmd} add deny ip from any to 240.0.0.0/4 via ${IfOut} ################################################## # ICMP ################################################## ${cmd} add deny icmp from any to any frag ${cmd} add deny log icmp from any to 255.255.255.255 in via ${IfOut} ${cmd} add deny log icmp from any to 255.255.255.255 out via ${IfOut} ################################################## # NAT ################################################## ${cmd} add divert 8668 ip from ${NetIn} to any via ${IfOut} ${cmd} add divert 8668 ip from any to ${IpOut} via ${IfOut} #${cmd} add divert 8668 ip from any to any via ${IfOut} ################################################## # Block private to world ################################################## ${cmd} add deny ip from 10.0.0.0/8 to any via ${IfOut} #${cmd} add deny ip from 172.16.0.0/12 to any via ${IfOut} #${cmd} add deny ip from 192.168.0.0/16 to any via ${IfOut} ${cmd} add deny ip from 0.0.0.0/8 to any via ${IfOut} ${cmd} add deny ip from 169.254.0.0/16 to any via ${IfOut} ${cmd} add deny ip from 192.0.2.0/24 to any via ${IfOut} ${cmd} add deny ip from 224.0.0.0/4 to any via ${IfOut} ${cmd} add deny ip from 240.0.0.0/4 to any via ${IfOut} ################################################## # Whitelist ################################################## ${cmd} add allow all from "table(0)" to any ${cmd} add allow all from any to "table(0)" ################################################## # Blacklist ################################################## ${cmd} add deny all from "table(1)" to any ################################################## # Keep established ################################################## ${cmd} add allow tcp from any to me established ################################################## # Main ################################################## ${cmd} add allow ip from any to any frag ${cmd} add allow icmp from any to ${IpOut} icmptypes 0,8,11 # dns ${cmd} add allow tcp from any to ${IpOut} dst-port 53 setup ${cmd} add allow udp from any to ${IpOut} dst-port 53 ${cmd} add allow udp from ${IpOut} 53 to any ${cmd} add allow udp from ${IpOut} to any dst-port 53 keep-state # dns-client ${cmd} add allow tcp from any to ${NetIn} dst-port 53 setup ${cmd} add allow udp from any to ${NetIn} dst-port 53 ${cmd} add allow udp from ${NetIn} 53 to any ${cmd} add allow udp from ${NetIn} to any dst-port 53 keep-state # time ${cmd} add allow udp from ${IpOut} to any dst-port 123 keep-state # time-client ${cmd} add allow udp from ${NetIn} to any dst-port 123 keep-state # ssh-in ${cmd} add allow tcp from any to ${IpOut} 22 ${cmd} add allow tcp from ${IpOut} 22 to any # ssh-out ${cmd} add allow tcp from ${IpOut} to any 22 ${cmd} add allow tcp from any 22 to ${IpOut} # http ${cmd} add allow tcp from ${IpOut} to any dst-port 80 # http-client ${cmd} add allow tcp from ${NetIn} to any dst-port 80 ${cmd} add allow tcp from any 80 to ${NetIn} # smtp ${cmd} add allow tcp from any to ${IpOut} dst-port 25 setup # forward 8080 to 81 ${cmd} add allow tcp from any to ${IpOut} dst-port 8080 ${cmd} add allow tcp from ${IpOut} 8080 to any ${cmd} add allow tcp from any to ${NetIn} dst-port 81 ${cmd} add allow tcp from ${NetIn} 81 to any # out ${cmd} add deny log tcp from any to any in via ${IfOut} setup #${cmd} add allow tcp from any to any setup ################################################## # Local network ################################################## ${cmd} add allow all from any to any via ${IfIn} ################################################## # Deny All ################################################## ${cmd} add deny all from any to any Я специально закомментировал некоторые строки, которые прибивают пакеты из локальных сетей 192, 172 на внешнем интерфейсе, поскольку мой внешний интерфейс и есть локальный. В реальности эти строки нужны. Едем дальше. == Настройка squid == Теперь мне нужен squid - кеширующий прокси-сервер, способный грамотно раздавать интернет всем пользователям по правилам, которые задает системный администратор. pkg_add -r squid Примечание: конечно, более правильный вариант - собирать ПО из свежих и обновленных портов, но мы экономим на времени, поэтому ставим пакетами. Когда-нибудь потом обновимся с помощью portupgrade. Для squid делаем самую простую настройку - правим файл /usr/local/etc/squid/squid.conf # Минимальная конфигурация SQUID acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl localnet src 172.16.0.0/255.255.0.0 acl SSL_ports port 443 acl CONNECT method CONNECT http_access allow manager localhost http_access allow localnet http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny all icp_access allow all http_port 3128 transparent hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? cache deny QUERY cache_dir ufs /usr/local/squid/cache 100 16 256 access_log /usr/local/squid/logs/access.log squid cache_log /usr/local/squid/logs/cache.log cache_store_log /usr/local/squid/logs/store.log refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 acl apache rep_header Server ^Apache broken_vary_encoding allow apache cache_effective_user squid cache_effective_group squid visible_hostname vm-freepro.local icp_port 0 error_directory /usr/local/etc/squid/errors/English coredump_dir /usr/local/squid/cache Комментарии из файла конфигурации я намеренно убрал, потому что там их не много, а очень много. Не забываем поправить /etc/rc.conf, добавив строку: squid_enable="YES" Далее - перестраиваем кэш и стартуем сквид: # squid -z # /usr/local/etc/rc.d/squid start Первое, что мы делаем после установки squid - запрещаем локальным пользователям ходить в интернет через 80 порт. Порт 80 перебрасываем на 3128 - т.е. заставляем всех пользователей ходить только через squid. Здесь есть большая маленькая загвоздка. Такую операцию можно сделать, только внедрив поддержку IPFW в ядро, иначе форвардинг не работает. Да, это означает, что сейчас нам придется собрать своё ядро! Дело непростое, но полезное - после сборки своего ядра скорость его работы должна возрасти, а объем - заметно уменьшиться. Сначала с помощью sysinstall ставим исходники ядра: # sysinstall Переходим в /Configure/Distributions Отмечаем внутри раздела src [X] base [X] sys Теперь в папке /usr/src у нас есть исходники ядра. Далее копируем конфигурацию GENERIC в "свою" MYKERNEL, и правим MYKERNEL: # cd /usr/src/sys/i386/conf # cp GENERIC MYKERNEL # mcedit MYKERNEL При правке конфига обязательно нужно указать следующие опции: # Включение фаервола в ядро options IPFIREWALL # Включение механизма логирования "log" options IPFIREWALL_VERBOSE # Ограничение логов - защита от переполнения options IPFIREWALL_VERBOSE_LIMIT=50 # Включение механизма перенаправления пакетов options IPFIREWALL_FORWARD # Включение механизма трансляции адресов NAT options IPDIVERT # Включение механизма ограничения скорости канала options DUMMYNET А также убрать все лишнее "железо", которого в реальности у вас нет. Теперь выполняем сборку ядра. Данная операция может немного затянуться, и может оборваться с ошибкой, потребовав установки дополнительных исходников из sysinstall в зависимости от того, что вы написали в конфигурации. Надеемся, что там нет ничего лишнего. # cd /usr/src # make buildkernel KERNCONF=MYKERNEL # make installkernel KERNCONF=MYKERNEL Теперь нужно перегрузиться, но перед перезагрузкой обязательно прочитайте мануал на тот случай, если перезагрузиться не получится. Хотелось бы, чтобы этого, конечно, не произошло. Итак, перегружаемся и снова правим /etc/firewall.conf. #!/bin/sh # Конфигурация IPFW для NAT-сервера и SQUID-прокси cmd="/sbin/ipfw -q" IfOut="em0" IpOut="192.168.1.10" NetOut="192.168.1.0/24" IfIn="em1" IpIn="172.16.0.1" NetIn="172.16.0.0/16" ################################################## # Clear ################################################## ${cmd} -f flush ${cmd} table 0 flush ${cmd} table 1 flush ################################################## # Whitelist / Blacklist ################################################## ${cmd} table 0 add 172.16.0.2 ${cmd} table 1 add 172.16.0.13 ################################################## # Loopback ################################################## ${cmd} add allow ip from any to any via lo0 ################################################## # Block world to private ################################################## ${cmd} add deny ip from any to 127.0.0.0/8 ${cmd} add deny ip from 127.0.0.0/8 to any #${cmd} add deny ip from 172.16.0.0/16 to any via ${IfOut} #${cmd} add deny ip from 192.168.1.0/24 to any via ${IfOut} ${cmd} add deny ip from any to 10.0.0.0/8 via ${IfOut} #${cmd} add deny ip from any to 172.16.0.0/12 via ${IfOut} #${cmd} add deny ip from any to 192.168.0.0/16 via ${IfOut} ${cmd} add deny ip from any to 0.0.0.0/8 via ${IfOut} ${cmd} add deny ip from any to 169.254.0.0/16 via ${IfOut} ${cmd} add deny ip from any to 192.0.2.0/24 via ${IfOut} ${cmd} add deny ip from any to 224.0.0.0/4 via ${IfOut} ${cmd} add deny ip from any to 240.0.0.0/4 via ${IfOut} ################################################## # ICMP ################################################## ${cmd} add deny icmp from any to any frag ${cmd} add deny log icmp from any to 255.255.255.255 in via ${IfOut} ${cmd} add deny log icmp from any to 255.255.255.255 out via ${IfOut} ################################################## # NAT ################################################## ${cmd} add divert 8668 ip from ${NetIn} to any via ${IfOut} ${cmd} add divert 8668 ip from any to ${IpOut} via ${IfOut} #${cmd} add divert 8668 ip from any to any via ${IfOut} ################################################## # Block private to world ################################################## ${cmd} add deny ip from 10.0.0.0/8 to any via ${IfOut} #${cmd} add deny ip from 172.16.0.0/12 to any via ${IfOut} #${cmd} add deny ip from 192.168.0.0/16 to any via ${IfOut} ${cmd} add deny ip from 0.0.0.0/8 to any via ${IfOut} ${cmd} add deny ip from 169.254.0.0/16 to any via ${IfOut} ${cmd} add deny ip from 192.0.2.0/24 to any via ${IfOut} ${cmd} add deny ip from 224.0.0.0/4 to any via ${IfOut} ${cmd} add deny ip from 240.0.0.0/4 to any via ${IfOut} ################################################## # Whitelist ################################################## ${cmd} add allow all from "table(0)" to any ${cmd} add allow all from any to "table(0)" ################################################## # Blacklist ################################################## ${cmd} add deny all from "table(1)" to any ################################################## # Keep established ################################################## ${cmd} add allow tcp from any to me established ################################################## # Main ################################################## ${cmd} add allow ip from any to any frag ${cmd} add allow icmp from any to ${IpOut} icmptypes 0,8,11 # dns ${cmd} add allow tcp from any to ${IpOut} dst-port 53 setup ${cmd} add allow udp from any to ${IpOut} dst-port 53 ${cmd} add allow udp from ${IpOut} 53 to any ${cmd} add allow udp from ${IpOut} to any dst-port 53 keep-state # dns-client ${cmd} add allow tcp from any to ${NetIn} dst-port 53 setup ${cmd} add allow udp from any to ${NetIn} dst-port 53 ${cmd} add allow udp from ${NetIn} 53 to any ${cmd} add allow udp from ${NetIn} to any dst-port 53 keep-state # time ${cmd} add allow udp from ${IpOut} to any dst-port 123 keep-state # time-client ${cmd} add allow udp from ${NetIn} to any dst-port 123 keep-state # ssh-in ${cmd} add allow tcp from any to ${IpOut} 22 ${cmd} add allow tcp from ${IpOut} 22 to any # ssh-out ${cmd} add allow tcp from ${IpOut} to any 22 ${cmd} add allow tcp from any 22 to ${IpOut} # http ${cmd} add allow tcp from ${IpOut} to any dst-port 80 # http-client #${cmd} add allow tcp from ${NetIn} to any dst-port 80 #${cmd} add allow tcp from any 80 to ${NetIn} # squid ${cmd} add allow all from ${NetIn} to ${IpIn} 3128 via ${IfIn} ${cmd} add fwd ${IpIn},3128 tcp from ${NetIn} to any 80 # smtp ${cmd} add allow tcp from any to ${IpOut} dst-port 25 setup # out ${cmd} add deny log tcp from any to any in via ${IfOut} setup #${cmd} add allow tcp from any to any setup ################################################## # Local network ################################################## ${cmd} add allow all from any to any via ${IfIn} ################################################## # Deny All ################################################## ${cmd} add deny all from any to any Перезапускаем сервисы и проверяем - всё работает, и клиенты незаметно для самих себя проходят через систему контроля. Настройку контроля доступа пока отложим, и решим еще один важный вопрос: получение DNS. == Настройка DNS == Сейчас в наших клиентах прописан DNS адрес 192.168.1.1 - внешний по отношению к внутренней сети 172.16.0.0/16. Можно сказать, что клиенты тысячи раз за день лезут выше сервера в поисках адресов. Сделаем систему лучше - настроим кеширующий DNS-сервер, который бы позволял избежать сквозных коннектов наружу, экономил нам трафик и ускорял работу. Не забываем перед этим запретить доступ по порту 53 наружу для всех клиентов. В файле /etc/namedb/named.conf правим параметры listen-on, forwarders: options { directory "/etc/namedb"; pid-file "/var/run/named/pid"; dump-file "/var/dump/named_dump.db"; statistics-file "/var/stats/named.stats"; listen-on { 127.0.0.1; 172.16.0.1; }; disable-empty-zone "255.255.255.255.IN-ADDR.ARPA"; disable-empty-zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA"; disable-empty-zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA"; forwarders { 192.168.1.1; }; // query-source address * port 53; }; В файле /etc/resolv.conf делаем первым локальный DNS: nameserver 127.0.0.1 nameserver 192.168.1.1 В /etc/firewall.conf запрещаем клиентам использовать внешние DNS (правим секции с комментарием dns-client) # dns-client # Запрещаем внешние DNS #${cmd} add allow tcp from any to ${NetIn} dst-port 53 setup #${cmd} add allow udp from any to ${NetIn} dst-port 53 #${cmd} add allow udp from ${NetIn} 53 to any #${cmd} add allow udp from ${NetIn} to any dst-port 53 keep-state # Разрешаем только локальные DNS ${cmd} add allow tcp from ${NetIn} to ${IpIn} dst-port 53 setup ${cmd} add allow udp from ${NetIn} to ${IpIn} dst-port 53 Рестартуем: # /etc/rc.d/named restart # /etc/rc.d/ipfw restart Теперь вернемся к вопросу контроля доступа в интернет. Решений - сразу два. Во-первых - настроить acl-политики в squid. Во-вторых - установить и настроить squidGuard - специальное приложение для контроля доступа. Начнем по порядку. == Настройка squid acl == acl - это правила в конфигурации squid, которые достаточно эффективно позволяют ограничивать информационный поток, проходящий через прокси-сервер. Если кратко - с acl в два счета можно убить всякую левоту, которая мешает работать. Все acl- настройки по умолчанию пишутся в файле squid.conf, но также могут быть вынесены во внешние файлы. Для примера приведу часть конфига: # Запрещаем всем файлопомойки acl shares dstdomain .rapidshare.com .webfile.ru http_access deny shares # Запрещаем всем запрашивать сайты по IP acl ip_urls url_regex http://+\.+\.+\.+[:/] http_access deny ip_urls # Ограничения по группам src group_strict { ip 172.16.0.20-172.16.0.25 } src group_allow { ip 172.16.0.26-172.16.0.30 } acl { group_allow { pass any } group_strict { pass local none } } Получается замечательно. Но очевидно, что в хорошем прокси таких правил должно быть много - по правилу на каждую "дыру". Выяснять "дыры" и прописывать их поштучно - утомительно, но, как всегда, есть готовое решение - squidGuard - приложение-фильтр с огромным набором правил, пополнять которые, в принципе, можно даже по расписанию cron. Изучаем вопрос. == Настройка squidGuard == Теперь попробуем поставить и настроить squidGuard. Делается это не сложно, но нужно быть внимательным. Итак: # pkg_add -r squidGuard # cp /usr/local/etc/squid/squidGuard.conf.sample /usr/local/etc/squid/squidGuard.conf В файле squidGuard.conf хранятся все настройки, некоторые из которых придется поправить сразу же, а именно: # Файл squidGuard.conf ... source sample-clients { ip 172.16.0.0/16 } ... Сделаем привязку squidGuard к squid - добавим 3 строки в файл squid.conf: redirector_bypass on redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squid/squidGuard.conf redirect_children 10 squidGuard хранит свою конфигурационную базу в /var/db/squidGuard. Перед первым запуском или после внесения изменений ее необходимо перестроить: # rehash # squidGuard -C all # chown -R squid:squid /var/db/squidGuard # /usr/local/etc/rc.d/squid restart Все хорошо, вот только при попытке клиента зайти на запрещенный сайт, к примеру, http://3warez.com/, мы наблюдаем тормоза. А хотелось бы получать какое-то вразумительное сообщение. Для этого нам потребуется apache. == Настройка apache == Как уже говорилось, apache нужен нам для отображения информации о заблокированных адресах и причинах блокировок. Делаем как обычно: # pkg_add -r apache22 # echo "apache22_enable="YES"" >> /etc/rc.conf Настройки apache лежат в файле /usr/local/etc/apache22/httpd.conf. Перед запуском необходимо проверить директивы DocumentRoot, ServerName - подробности опущу, т.к. в интернете масса статей по настройке этого сервера. Делается за 1 сек. Запускаем: # echo "Access denied" > /usr/local/www/apache22/data/index.html # /usr/local/etc/rc.d/apache22 start Поправим немного конфиг squidGuard.conf: # В самом конце файла acl { ..... default { redirect http://172.16.0.1/index.html } } == Настройка dhcpd == И вот мы близимся к завершению. Сеть настроена и работает чудесно. Все под контролем, все строго ограничено. Но после кнута клиентам пора предложить и пряник - в виде раздачи автоматической DHCP-адресов. Хороший администратор, конечно, и тут смухлюет - будет раздавать адреса только по MAC, но мы просто наведём изюм. # pkg_add -r isc-dhcp3-server # cp /usr/local/etc/dhcpd.conf.sample /usr/local/etc/dhcpd.conf В файл /etc/rc.conf добавляем строки: dhcpd_enable="YES" dhcpd_flags="-q" dhcpd_ifaces="em1" Еще нужно поправить самый главный конфиг /usr/local/etc/dhcpd.conf: option domain-name "example.com"; option domain-name-servers 172.16.0.1; option subnet-mask 255.255.255.0; default-lease-time 3600; max-lease-time 86400; ddns-update-style none; subnet 172.16.0.0 netmask 255.255.0.0 { range 192.16.0.11 172.16.0.15; option routers 172.16.0.1; } Включаем электричество: # /usr/local/etc/rc.d/isc-dhcpd start Вот, пожалуй, и всё, самое главное. Данная статья не претендует на абсолютную полноту и содержательность, но вкратце описывает этапы, которые необходимо пройти, чтобы довести сервер до рабочего состояния. Дальше - только тюнинг и еще раз тюнинг. Не забывайте также, что это не единственный путь настройки сервера - в unix всегда есть альтернатива и вы можете использовать совсем другие приложения.

АЛЕКСЕЙ БЕРЕЖНОЙ

Настраиваем шлюз в Интернет на базе FreeBSD

Использование FreeBSD на небольших роутерах для связи с внешним миром уже давно перестало быть чем-то выдающимся. Эта простая в использовании, нетребовательная к ресурсам и обслуживанию операционная система почти идеально подходит для решения подобных задач.

Нам понадобится

• Аппаратное обеспечение . Чтобы вывести внутреннюю сеть в Интернет, достаточно компьютера Pentium III 600 МГц, 256 Мб RAM, 10 Гб HDD, 2 сетевые карты. Конфигурация взята с запасом, для полноценной работы сети малого офиса (около 50 пользователей) вполне хватило бы Pentium II 400 МГц, c 128 Мб RAM. Но в дальнейшем может возникнуть желание установить на этот же шлюз, к примеру, прокси-сервер, лучше выбрать конфигурацию более высокого уровня.
• Операционная система : FreeBSD 5.5 или 6.1.
• Дополнительно : из-за того, что данный компьютер подлежит непрерывному использованию, рекомендую доставить внутрь корпуса дополнительные вентиляторы чтобы обеспечить принудительное нагнетание/отток воздуха для охлаждения. Практически все современные корпусы ATX позволяют сделать это.

Поскольку все необходимые модули включены в состав операционной системы, больше нам ничего не потребуется.

Настройка сетевых интерфейсов

Необходимо уточнить имена интерфейсов сетевых карт, под которыми их распознает операционная система.

# ifconfig

Должно появиться что-то подобное:

rl0: flags=8843 mtu 1500 Options=8 Ether 00:xx:xx:xx:xx:xx Status: active xl0: flags=8843 mtu 1500 Options=9 Ether 00:zz:zz:zz:zz:zz Media: Ethernet autoselect (100baseTX) Status: active plip0: flags=108810 mtu 1500 lo0: flags=8049 mtu 16384 Inet6::1 prefixlen 128

В компьютере установлены две сетевые карты c именами интерфейсов rl0 и xl0.

В нашем случае интерфейс rl0 будет «смотреть» во внешний мир, а xl0 – во внутреннюю сеть. IP- адрес внутреннего интерфейса: 192.168.9.2 , маска подсети 255.255.255.0, имя интерфейса xl0; IP-адрес внешнего интерфейса 83.xxx.xxx.xxx, маска подсети 255.255.255.224, имя интерфейса rl0.

Уточнить, сетевым картам каких производителей соответствуют те или иные сетевые адреса, можно, заглянув в файл GENERIC в каталоге /usr/src/sys/i386/conf:

# more /usr/src/sys/i386/conf/ GENERIC

В нем находим соответствующие строчки:

device rl # RealTek 8129/8139 device xl # 3Com 3c90x (``Boomerang"", ``Cyclone"")

Таким образом, интерфейс rl0 соответствует сетевой карте RealTek 8129/8139 и ее аналогам. Сетевой интерфейс xl0 соответствует сетевой карте 3Com.

Отдельно стоит упомянуть о файле GENERIC. Это файл конфигурации ядра, устанавливаемого по умолчанию при инсталляции FreeBSD. Он организован так, чтобы система могла поддерживать большинство наиболее используемых устройств, в том числе и указанные сетевые карты. Очень часто дальнейшие модификации ядра строятся на модифицированной копии этого файла. В данном случае, мы именно так и поступим:

• Шлюз провайдера – по умолчанию 83.xxx.xxx.1.
• В сети присутствуют компьютеры пользователей – 192.168.9.31, 192.168.9.32.
• Наш домен (условно) – ourdomain.ru.
• Имя хоста (компьютера) – ourhost.ourdomain.ru.

Выполняем настройку сетевых карт. Можно использовать утилиту sysinstall (/stand/sysinstall для FreeBSD 5.5 и /usr/sbin/sysinstall для FreeBSD 6.1) Но поскольку нам известны все необходимые параметры, то для упрощения процесса и экономии времени мы будем задавать параметры путем редактирования соответствующих конфигурационных файлов.

Настройки сетевых интерфейсов во FreeBSD хранятся в файле /etc/rc.conf. Открываем его на редактирование:

# vi /etc/rc.conf

И добавляем следующие строки:

# Задаем внутренний интерфейс

ifconfig_xl0="inet 192.168.9.2 netmask 255.255.255.0"

# Задаем внешний интерфейс

ifconfig_rl0="inet 83.xxx.xxx.xxx netmask 255.255.255.224"

# Задаем шлюз провайдера по умолчанию

defaultrouter="83.xxx.xxx.1"

# Имя хоста

hostname="ourhost.ourdomain.ru"

# Указываем, что сервер будет работать как маршрутизатор

gateway_enable="YES"

После чего перезагружаем компьютер:

# reboot

В данный момент компьютер можно было и не перезагружать. Но мы хотим достоверно убедиться, что наши интерфейсы установлены корректно и работают, поэтому я все же рекомендую перезагрузиться.

После загрузки проверяем:

# ifconfig

Вывод команды ifconfig:

rl0: flags=8843 mtu 1500 Options=8 Inet6 fe80::215:58ff:fe3e:8fb1%rl0 prefixlen 64 scopeid 0x1 Inet 83.xxx.xxx.xxx netmask 0xffffffe0 broadcast 83.xxx.xxx.yyy Ether 00:xx:xx:xx:xx:xx Media: Ethernet autoselect (100baseTX) Status: active xl0: flags=8843 mtu 1500 Options=9 Inet6 fe80::20a:5eff:fe62:ade2%xl0 prefixlen 64 scopeid 0x2 Inet 192.168.9.2 netmask 0xffffff00 broadcast 192.168.9.255 Ether 00:zz:zz:zz:zz:zz Media: Ethernet autoselect (100baseTX) Status: active plip0: flags=108810 mtu 1500 lo0: flags=8049 mtu 16384 Inet6::1 prefixlen 128 Inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 Inet 127.0.0.1 netmask 0xff000000

Файл rc.conf, на мой взгляд, можно назвать ключевым файлом конфигурации. Очень большое число параметров, используемых системой, задается в виде соответствующих переменных в этом файле. В том числе настройки сетевых интерфейсов, файервола и NAT, используемых нами.

Настройка шлюза

Мы будем использовать «родной» для FreeBSD файервол IPFW. Для этого мы должны внести некоторые изменения в ядро системы. Если возникли дополнительные вопросы по перекомпиляции ядра, советую прочитать дополнительный материал: http://freebsd.org.ru/how-to/kernelconfig.html .

Заметьте, что нужно использовать исходные тексты ядра для соответствующей архитектуры. Поскольку архитектура нашего компьютера базируется на платформе i386, то и ядро должно быть скомпилировано в соответствии с платформой. Для владельцев компьютеров других платформ я рекомендую обратиться к соответствующей литературе.

Исходники ядра по умолчанию лежат в каталоге /usr/src/sys/i386/conf. Соответственно переходим в данный каталог:

# cd /usr/src/sys/i386/conf

Как правило, изменяют файл GENERIC, содержащий опции ядра, устанавливаемого по умолчанию. Для этого делаем копию данного файла:

# cp GENERIC ourkernel

Открываем на редактирование новый файл ourkernel:

# vi ourkernel

и добавляем следующие опции:

Options IPFIREWALL #firewall

Options IPFIREWALL_VERBOSE ?

#enable logging to syslogd(8)

Options IPFIREWALL_FORWARD ?

#enable transparent proxy support

Options IPFIREWALL_VERBOSE_LIMIT=100 #limit verbosity

Options IPFIREWALL_DEFAULT_TO_ACCEPT #allow everything by default

Options DUMMYNET

Options IPDIVERT #divert sockets

После сделанных изменений можно приступать к перекомпиляции ядра.

Выполняем команды:

# config ourkernel

# cd /usr/src/sys/i386/compile/ourkernel

# make depend

# make

# make install

Перегружаемся:

# reboot

Если после перезагрузки сервер работает нормально, приступаем к настройке файервола.

Для организации работы файервола используются следующие переменные, добавляемые при необходимости в файл rc.conf.

Разрешает или запрещает использование файервола:

# Set to YES to enable firewall functionality

firewall_enable="NO"

Имя и местоположение файла, отвечающего за инициализацию файервола.

# Which script to run to set up the firewall

firewall_script="/etc/rc.firewall"

При установке данного правила в «YES» подавляется вывод на дисплей:

firewall_quiet="NO"

Разрешить/запретить ведение лога событий:

firewall_logging="NO"

Тип настройки файервола:

firewall_type="UNKNOWN"

по умолчанию FreeBSD использует правила из файла /etc/rc.firewall.

В нем есть несколько готовых шаблонов:

• open – файервол разрешает прохождение всех пакетов.
• client – рекомендуется для защиты только этого компьютера. То есть файервол настроен как стандартный клиентский компьютер. Он разрешает все исходящие соединения и запрещает все входящие соединения, кроме соединений по 25 порту.
• simple – предполагается для настроек простых шлюзов и т. д. То есть в качестве простейшего файервола, защищающего внутреннюю сеть от проникновения извне. Мы будем настраивать более гибкую систему правил, поэтому данный шаблон нами не используется не будет.
• closed – Разрешается трафик через локальный интерфейс lo0. Прохождение остального трафика определяется правилом по умолчанию. Как правило, это запрет любого доступа, исключая внутренний интерфейс lo0 (попросту говоря, разрешен только доступ «к самому себе»)
• UNKNOWN – запретить загрузку файервольных правил из конфигурационного скрипта по умолчанию. Файервол никак не настраивается. Будет он пропускать трафик или нет, зависит от конфигурации ядра системы. Используется по умолчанию.

Эту же переменную в значении «filename» – «имя_файла» – можно использовать для задания собственного конфигурационного файла для файервола.

Например:

firewall_type="/etc/rc.firewall.newconfig"

будет загружать настройки из созданного файла /etc/rc.firewall.newconfig.

«firewall_flags=””» – служит для передачи дополнительных аргументов при использовании firewall_type со значением filename.

Наша задача состоит в том, чтобы создать систему, отвечающую следующим критериям:

• Простота администрирования.
• Возможность модификации «на лету», незаметно для пользователей. Поэтому такие операции, как разрыв соединений и тем более перезагрузка для нас нежелательны.
• Гарантия того, что наша система будет работать на большинстве машин.

В нашем примере скрипта все компьютеры локальной сети делятся на две условные группы: одна группа привилегированная – это те, кому разрешен доступ в Интернет, используя наиболее употребительные сервисы, такие как:

• HTTP – порт 80;
• HTTPS – порт 443;
• FTP – порты 20, 21 и от 1025 до 65535;
• SMTP-протокол для пересылки почты – порт 25;
• POP3-протокол для приема сообщений – порт 110.

Есть и другая группа, компьютерам из которой разрешен доступ только к внешнему корпоративному серверу c IP-адресом 83.xxx.xxx.2 (только протоколы SMTP и POP3).

Мы должны добиться, чтобы можно было изменять привилегированную группу, что называется, «на лету», по возможности не разрывая установленных соединений. Для этого мы из нашего скрипта вызываем дополнительный скрипт rc.firewall.local.inet. Достаточно отредактировать и перезапустить этот дополнительный скрипт, не затрагивая всех остальных настроек файервола.

Дополнительно мы должны предусмотреть ситуацию, когда меняются параметры сети, такие как IP-адрес шлюза провайдера. Для этого мы будем использовать в скрипте локальные переменные. Например, при изменении шлюза по умолчанию достаточно изменить значение переменной intgateway и перезапустить скрипт rc.firewall.run.

Вот наш пример скрипта:

# vi rc.firewall.run

#!/bin/sh

extip="83.xxx.xxx.xxx"

intip="192.168.9.2"

intnet="192.168.9.0/24"

mailserver="83.xxx.xxx.2"

intgateway="83.xxx.xxx.1"

/sbin/ipfw -f flush &

/sbin/ipfw add 180 divert natd ip from ${intnet} to any out xmit fxp0

/sbin/ipfw add 190 divert natd ip from any to ${extip}

# ICMP

/sbin/ipfw add 500 allow icmp from any to any

# SSH

/sbin/ipfw add 10000 allow tcp from any to any 22

/sbin/ipfw add 10010 allow tcp from any 22 to any

# DNS

/sbin/ipfw add 11000 allow tcp from any to any 53

/sbin/ipfw add 11010 allow tcp from any 53 to any

/sbin/ipfw add 11020 allow udp from any to any 53

/sbin/ipfw add 11030 allow udp from any 53 to any

# Web FTP

/sbin/ipfw add 12000 allow tcp from me to any 20,21,80,443

/sbin/ipfw add 12010 allow tcp from any 20,21,80,443 to me

/sbin/ipfw add 12020 allow udp from me to any 20,21

/sbin/ipfw add 12030 allow udp from any 20,21 to me

# Script for the privilege group

/bin/sh /etc/rc.firewall.local.inet

# Deny other computer of LAN

/sbin/ipfw add 12960 deny tcp from ${intnet} to any 20,21,80,443

/sbin/ipfw add 12970 deny tcp from any 20,21,80,443 to ${intnet}

/sbin/ipfw add 12980 deny udp from ${intnet} to any 20,21

/sbin/ipfw add 12990 deny udp from any 20,21 to ${intnet}

/sbin/ipfw add 13000 allow tcp from ${intnet} to ${mailserver} 25,110

/sbin/ipfw add 13010 allow tcp from ${mailserver} 25,110 to ${intnet}

/sbin/ipfw add 55010 allow tcp from any to any 1024-65534

/sbin/ipfw add 55020 allow tcp from any 1024-65534 to any

/sbin/ipfw add 55030 allow tcp from any 1024-65534 to any

/sbin/ipfw add 55040 allow tcp from any to any 1024-65534

/sbin/ipfw add 55050 allow udp from any to any 1024-65534

/sbin/ipfw add 55060 allow udp from any 1024-65534 to any

/sbin/ipfw add 55070 allow udp from any 1024-65534 to any

/sbin/ipfw add 55080 allow udp from any to any 1024-65534

# Deny all

/sbin/ipfw add 65534 deny ip from any to any

Создаем и редактируем скрипт rc.firewall.local.inet для работы с привилегированной группой адресов:

# vi /etc/ rc.firewall.local.inet

#!/bin/sh

intnet="192.168.9.0/24"

privgroup={31,32}

/sbin/ipfw delete 12310

/sbin/ipfw delete 12320

/sbin/ipfw delete 12330

/sbin/ipfw delete 12340

/sbin/ipfw add 12310 allow tcp from ${intnet}${privgroup} to any 20,21,80,443,1025-65535

/sbin/ipfw add 12320 allow tcp from any 20,21,80,443,1025-65535 to ${intnet}${privgroup}

/sbin/ipfw add 12330 allow udp from ${intnet}${privgroup} to any 20,21,1025-65535

/sbin/ipfw add 12340 allow udp from any 20,21,1025-65535 to ${intnet}${privgroup}

В скрипте для изменения состава привилегированной группы необходимо отредактировать переменную privgroup, добавив/удалив в ней номер хоста в локальной подсети.

Например, чтобы добавить два компьютера с IP-адресами 192.168.9.33 и 192.168.9.45, нужно записать «privgroup={31-33,45}».

Использовать правила типа «/sbin/ipfw delete NNNNN» при старте системы, когда такого правила не было – немножко некрасиво. При попытке удалить несуществующее правило система выдает на консоль сообщение следующего вида:

ipfw: rule 13031: setsockopt(IP_FW_DEL): Invalid argument

При этом система продолжает нормально работать.

Если все делать строго, то нужно создавать два скрипта: один запускать при старте, второй – при изменениях на ходу. Но тогда нужно будет вносить соответствующие изменения в оба скрипта.

Поскольку основная цель – создать простую в администрировании систему, то данной проблемой в нашем случае можно пренебречь.

Зато теперь мы можем после внесения соответствующих изменений просто перезапустить скрипт для привилегированной группы.

# /bin/sh rc.firewall.local.inet

Также мы можем вносить изменения и перезапускать скрипт rc.firewall.run, хотя, по замыслу, это нам придется делать гораздо реже, чем в случае со скриптом привелигированной группы.

# /bin/sh rc.firewall.run

Поскольку мы написали свой собственный скрипт, обнуляющий существующие правила и запускающий альтернативную конфигурацию файервола, нужно подумать, как его запустить.

Во FreeBSD есть замечательный механизм запуска пользовательских программ: файл rc.local. По умолчанию он отсутствует в системе.

Раз мы уже создаем данный файл, добавим в него команду запуска демона natd, который отвечает за поддержку NAT.

Демон natd запускается из файла rc.conf. (Опять этот файл, поистине он играет ключевую роль для всей системы FreeBSD в целом!)

Механизм запуска этого файла из rc.conf выполняется посредством следующих переменных:

# -- путь к самому файлу natd

natd_program="/sbin/natd"

# Разрешить NAT (если firewall_enable == YES)

natd_enable="YES"

# Внешний интерфейс или IPaddress для использования

natd_interface=""

# Дополнительный флаги запуска natd

natd_flags=""

Но в этом случае мы будем использовать вызов демона natd посредством rc.local. Команда:

# vi /etc/rc.local

автоматически создает файл /etc/rc.local и открывает его на редактирование.

Добавляем в него следующие строки:

# Команда запуска natd

/sbin/natd -n rl0

# где «-n rl0» - имя интерфейса, на котором запускается NAT

# И запускаем наш скрипт для установки правил для файервола:

/bin/sh /etc/rc.firewall.run

Перезагружаемся и проверяем доступ к нужным ресурсам Интернета с компьютера из локальной сети.

1. Эви Немет, Гарт Снайдер, Скотт Сибасс, Трент Р.Хейн. UNIX. Руководство системного администратора. «BHV», «Питер», 2004 г.
2. Алексей Федорчук, Алексей Торн. FreeBSD. Установка, настройка, использование. BHV, 2003 г.
3. Филипп Торчинский. Практическое пособие администратора UNIX. «Символ», 2003 г.

Wi-fi роутер с DHCP и DNS серверами FreeBSD 8.2

Что хотим получить:
- чтобы Wi-Fi клиенты были в одной подсети с проводными.
- чтобы проводные и беспроводные клиенты получали адреса автоматически по DHCP
- чтобы был кэширующий DNS
- само собой хотим, чтобы все ходили в интернет
- чтобы был доступ по RDP на внутренний сервер

В общем хотим получить что-то схожее по функционалу с роутером Dlink DIR-300

Что имеем:
Celeron 700, 256 мб RAM, IDE винт на 80 гб и странную мамку, которая вменяемо работает только с отключенным ACPI
сетевые карты:

LAN - rl0 (10\100 какой-то реалтек, найденный за шкафом на работе) rl0@pci0:1 :8 :0 :class=0x020000 card=0x813910ec chip=0x813910ec rev=0x10 hdr=0x00 vendor = "Realtek Semiconductor" device = Realtek RTL8139 Family PCI FastEthernet NIC RTL-8139 /8139C/8139D class = network subclass = ethernet WAN - stge0 (10\100\1000 asus адаптер) stge0@pci0:1 :5 :0 :class=0x020000card=0x81801043chip=0x102313f0 rev=0x41 hdr=0x00 vendor = "Sundance Technology Inc" device = "IC Plus IP1000 Family Gigabit Ethernet Adapter" class = network subclass = ethernet WLAN - ral0 (дешевая Wi-Fi карточка от Dlink) ral0@pci0:1 :10 :0 :class=0x028000card=0x3a711186chip=0x03021814 rev=0x00 hdr=0x00 vendor = "Ralink Technology, Corp." device = "wireless a/b (RT2525 2 .4GHz transceiver + RT2560 MAC/BBP)" class = network

предоставленный провайдером белый IP адрес:
IP 9.9.9.9
маска 255.255.255.0
шлюз 9.9.9.1
DNS1 9.9.9.254
DNS1 9.9.9.253
настройки отличаются от реально существующих, но сути это не меняет

Диапазон локальной сети: 192.168.0.0 с маской 255.255.255.0

Установлена ОС FreeBSD 8.2:

# uname -a FreeBSD GATE 8 .2 -RELEASE FreeBSD 8 .2 -RELEASE #0:Sat Apr 9 20:13:28 OMSST 2011 root@GATE:/usr/src/sys/i386/compile/GATE i386

содержимое /etc/rc.conf:

9 .9 .9 .1 9 .9 .9 .9 netmask 255 .255 .255 .0 " ifconfig_rl0="inet 192 .168 .0 .1 netmask 255 .255 .255 .0 "

содержимое /etc/resolv.conf (DNS сервера):

nameserver 9 .9 .9 .254 nameserver 9 .9 .9 .253

Начинаем подготовку:

Убираем из ядра все ненужные драйвера (ну или не убираем, кому как удобно) при этом оставляя все драйвера для беспроводных устройств. Если вы знаете, какой драйвер подходит для вашей карточки, то оставляете его, а остальные можете убрать.Я не знал, какой подойдет мне, поэтому оставил все. Пересобираем ядро с опциями:

device if_bridge # Модуль для работы моста device wlan # поддержка 802.11 (Wi-fi) # не знаю что это, подгружается автоматически device wlan_amrr # AMRR transmit rate control algorith device wlan_xauth # Модуль поддержки авторизации для режима точки доступа device wlan_wep # Модуль поддержки алгоритма безопасности WEP device wlan_tkip # модуль поддержки шифрования TKIP device wlan_ccmp # модуль поддержки шифрования CCMP device pf # в качестве фаервола я использую Packet Filter # поддержка алгоритма очередей (приоритезация трафика) options ALTQ options ALTQ_CBQ # Class Bases Queuing (CBQ) options ALTQ_RED # Random Early Detection (RED) options ALTQ_RIO # RED In/Out options ALTQ_HFSC # Hierarchical Packet Scheduler (HFSC) options ALTQ_PRIQ # Priority Queuing (PRIQ) # так как у меня одноядерный процессор, то поддержка многих ядер мне не нужна #options ALTQ_NOPCC # Required for SMP build

собираем и устанавливаем ядро:

# cd /usr/src # make buildkernel KERNCONF=GATE && \ make installkernel KERNCONF=GATE

Перезагружаемся и смотрим, что получилось:

8843 mtu 1500 options =8209b ether 01 :01 :01 :01 :01 :01 inet 9 .9 .9 .9 9 .9 .9 .255 8802 metric 0 mtu 1500 options =3808 ether 00 :50 :fc :ef:4d:75 inet 192 .168 .0 .1 netmask 0xffffff00 broadcast 192 .168 .0 .255 media : Ethernet autoselect (100baseTX 8802 metric 0 mtu 2290 ether 00 :26 :5a:77 :38 :ba media : IEEE 802 .11 Wireless Ethernet autoselect (autoselect ) status : no carrier lo0: flags =8049 mtu 16384 options =3 inet 127 .0 .0 .1 netmask 0xff000000

Wi-fi карточка определилась как ral0. Уже хорошо. Можно еще раз пересобрать ядро и убрать ненужные драйвера для беспроводок.

Редактируем /etc/hostapd.conf до такого состояния:

Редактируем /etc/rc.conf:

keymap="ru.koi8-r" hostname ="GATE" gateway_enable="YES" defaultrouter="9 .9 .9 .1 " sshd_enable="YES" ifconfig_stge0="inet 9 .9 .9 .9 netmask 255 .255 .255 .0 " # настраиваем беспроводную карту как точку доступа wlans_ral0="wlan0" create_args_wlan0="wlanmode hostap" ifconfig_wlan0="up mediaopt hostap" # убираем IP адрес с интерфейса rl0 #ifconfig_rl0="inet 192.168.0.1 netmask 255.255.255.0" # создаем мост между беспроводной и проводной локальными сетями # и вешаем на него IP адрес шлюза локальной сети cloned_interfaces="bridge0" ifconfig_bridge0="inet 192 .168 .0 .1 netmask 255 .255 .255 .0 \ addm wlan0 addm rl0 up" ifconfig_rl0="up" # включаем функционал точки доступа hostapd_enable="YES"

Перезагружаемся. Смотрим, что получилось:

# ifconfig stge0: flags =8843 mtu 1500 options =8209b ether 01 :01 :01 :01 :01 :01 inet 9 .9 .9 .9 netmask 0xffffff00 broadcast 9 .9 .9 .255 media : Ethernet autoselect (100baseTX ) status : active rl0: flags =8943 mtu 1500 options =3808 ether 00 :50 :fc :ef:4d:75 media : Ethernet autoselect (100baseTX ) status : active ral0: flags =8843 metric 0 mtu 2290 ether 00 :26 :5a:77 :38 :ba media : IEEE 802 .11 status : running lo0: flags =8049 metric 0 mtu 16384 options =3 inet 127 .0 .0 .1 netmask 0xff000000 bridge0:flags =8843 mtu 1500 ether a6:09 :ed :c1:23 :38 inet 192 .168 .0 .1 netmask 0xffffff00 broadcast 192 .168 .0 .255 id 00 :00 :00 :00 :00 :00 priority 32768 hellotime 2 fwddelay 15 maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200 root id 00 :00 :00 :00 :00 :00 priority 32768 ifcost 0 port 0 member: rl0 flags =143 ifmaxaddr 0 port 2 priority 128 path cost 200000 member: wlan0 flags =143 ifmaxaddr 0 port 6 priority 128 path cost 370370 wlan0:flags =8943 mtu 1500 ether 00 :26 :5a:77 :38 :ba media : IEEE 802 .11 Wireless Ethernet autoselect mode 11g status : running ssid channel 1 (2412 MHz 11g) bssid 00 :26 :5a:77 :38 :ba country US authmode WPA2/802 .11i privacy MIXED deftxkey 2 AES-CCM 2 :128 -bit AES-CCM 3 :128 -bit txpower 0 scanvalid 60 protmode CTS dtimperiod 1 -dfs

Все хорошо, Wi-fi и проводная карточки обьединены мостом и на этом мосту висит IP адрес

Приступаем к настройке PF. PF позволяет включить приоритезацию трафика. Краткое описание смотрим тут:
http://www.freebsd.org/doc/ru/books/handbook/firewalls-pf.html
создаем файлик /usr/local/etc/pf.conf и доводим его до такого состояния:

# Тут я определяю переменные, при помощи которых мне удобнее писать скрипт. WAN="stge0" LAN="bridge0" LAN_POOL="192 .168 .0 .0 /24 " WANIP="9 .9 .9 .9 " SERVER="192 .168 .0 .3 " ADMIN="192 .168 .0 .2 " RDP_PORT="3389 " EXTRDP_PORT="33389 " # трафик на эти порты и от них будет запрещен на внешнем интерфейсе DROP_PORTS="{135:139 ,445}" # Что делать после попадания какого-либо пакета в блокирующее правило (block) # set block-policy drop - отбросить пакет и ничего не предпринимать # set block-policy reject - отбросить пакет и отправить сообщение об ошибке # хосту, который его отправил. set block-policy drop # Не проверять трафик на lo0 set skip on lo0 # Не проверять трафик на интерфейсе bridge0 (внутренних ограничений у нас нет) set skip on $LAN # "Нормализация" пакетов. Описания этой опции, на мой взгляд, достаточно # расплывчаты, но поидее должна помогать против некоторых видов сетевых атак. scrub in all #У меня скорость ~5000 кбит\с, а вам надо тут вписывать свою скорость altq on $WAN priq bandwidth 5000Kb queue { priv, other } # У меня пристутствуют 2 очереди # Для более приоритетного трафика (RDP от сервера) queue priv qlimit 25 priority 14 priq(red ) # Для всех остальных queue other qlimit 30 priority 10 priq(default ) # Размеры очередей взяты, можно сказать, с потолка:(Не слишком # ориентируйтесь на них, пожалуйста. Попробуйте подобрать размер очереди сами # включаем NAT на внешнем интерфейсе для LAN сети nat on $WAN from $LAN_POOL to any -> ($WAN ) # Пробрасываем порт на сервер.Пробрасываем отличающийся от стандартного порт # для защиты от сканирующих стандартные порты обезьян с брутфорсом rdr on $WAN proto tcp from any to $WANIP \ port $EXTRDP_PORT -> $SERVER port $RDP_PORT # Обрубаем ping запросы до нашего адреса block quick on $WAN proto icmp from any to $WANIP icmp-type 8 # На внешнем интерфейсе не должно быть трафика от NETBIOS block quick on $WAN proto { tcp udp } from any to any port $DROP_PORTS # включаем антиспуфиг на WAN интерфейсе # Цитирую http://openbsd.corebsd.or.id/faq/pf/ru/filter.html: # Адреса спуфятся(spoofing), когда злоумышленник подделывает исходные # IP адреса в пакетах, они передаются либо в оболочку своих реальных адресов, # либо изображают другой узел в сети.После того, как пользователь был заспуфен # они смогут запустить сетевую атаку без разоблачения реального источника # атаки или попробовать получить доступ к сетевым сервисам, которые # ограничены на определённые IP адреса. antispoof quick for $WAN #Запрет всего явно не разрешенного трафика block all # ### Входящий трафик # Привилегированный трафик pass in quick on $WAN proto tcp from any to $WANIP port $EXTRDP_PORT queue priv # Обычный трафик pass in quick on $WAN from any to $WANIP keep state queue other # Вообще-то на входящем трафике приоритезация в PF не работает,но правила я # все-таки написал. # ### Исходящий трафик # Привилегированный трафик pass out quick on $WAN proto tcp from $WANIP \ port $EXTRDP_PORT to any keep state queue priv # Обычный трафик pass out quick on $WAN from $WANIP to any keep state queue other

pf_enable="YES" pf_rules="/usr/local/etc/pf.conf"

и рестартуем pf:

# /etc/rc.d/pf restart

Проверяем корректность создания правил при помощи команд:

pfctl -sn Cуществующие правила NAT
pfctl -sr Существующие правила трансляции
pfctl -ss Установленные соединения
pfctl -si Различные счетчики
pfctl -sa Все вышеперечисленное сразу
pfctl -sq -vvv Показывает состояние очередей

Обновляем порты при помощи portsnap:

# portsnap fetch Looking up portsnap.FreeBSD.org mirrors... 5 mirrors found. Fetching snapshot tag from portsnap5.FreeBSD.org... done. Fetching snapshot metadata... done. Updating from Wed Jun 15 14 :21 :31 MSD 2011 to Thu Jul 21 11 :37 :27 MSD 2011 . Fetching 3 metadata patches.. done. Applying metadata patches... done. Fetching 3 metadata files... done. Fetching 9656 patches.....10 .... <Часть вывода удалена> ...........9650 ... done. Applying patches... done. Fetching 1282 new ports or files... done. # portsnap extract /usr/ports/.cvsignore /usr/ports/CHANGES ................. <Часть вывода удалена> ................. /usr/ports/x11/yelp/ /usr/ports/x11/zenity/ Building new INDEX files... done.

В качестве кэширующего DNS-сервера используем dnscache из пакета djbdns, так как он ест меньше памяти и считается более безопасным, чем входящий в поставку FreeBSD DNS-сервер BIND.

Устанавливаем djbdns:

# cd /usr/ports/dns/djbdns && make install clean

Собираем и устанавливаем с такими опциями:

DUMPCACHE persistent cache for dnscache IPV6 IPv6 support by Felix von Leitner IGNOREIP ignoreip2 patch by Russell Nelson JUMBO jumbo patch by Claudiu Costin [X] MAN manual pages by Gerritt Pape PERSISTENT_MMAP persistent mmap patch by Lennert Buytenhek [X] SRV SRV record patch by Michael Handler

djbdns также потянет за собой порт daemontools. daemontools предназначен для запуска демонов и наблюдения за их работой. То есть если какой-то демон под его управлением "упадет", то daemontools перезапустит его.

Создаем группу dnsusers, в которую будут входить пользователи, под которыми будут запускаться сам dnscache и dnslog (логгер для djbdns):

создаем пользователя для dnslog:

# pw useradd dnslog -s /sbin/nologin -d /dev/null -G dnsusers

создаем папку, с содержимым которой работает daemontools:

запускаем daemontools:

так как конфигурация dnscache находится в /usr/local/etc/djbdns, а daemontools работает с папкой /var/service, делаем ссылку:

# ln -s /usr/local/etc/dnscache /var/service/dnscache

В папке /usr/local/etc/dnscache/env находятся файлы с более расширенной конфигурацией dnscache, но в данном случае нас вполне устроят значения по умолчанию.

Для нормальной работы сервера нужно задать ему адреса вышестоящих серверов. За каждую зону отвечает файл с таким же, что и имя зоны, именем, находящийся в /usr/local/etc/dnscache/root/servers. В каждый файл вписываются ip адреса серверов, ответственных за эту зону. Так как мы любые запросы перенаправляем на DNS-сервера провайдера, мы пишем их имена в файл с именем "@" (ответственный за корневую зону).

Перезапускаем dnscache:

Устанавливаем DHCP сервер (я его собрал с такими опциями):

# cd /usr/ports/net/isc-dhcp41-server && make install clean Options for isc-dhcp41-server 4 .1 .e_1,2 DHCP_IPV6 Enable support for IPv6 [X] DHCP_PARANOIA Enable support for chroot DHCP_LDAP Experimental LDAP backend support DHCP_LDAP_SSL Support LDAP connection over SSL/TLS

Доводим конфиг DHCP сервера (/usr/local/etc/dhcpd.conf) до такого состояния:

local-address 192 .168 .0 .1 ; default-lease-time 600 ; max-lease-time 7200 ; authoritative; ddns-update-style interim; log-facility local7; subnet 192 .168 .0 .0 netmask 255 .255 .255 .0 { range 192 .168 .0 .10 192 .168 .0 .250 ; option routers 192 .168 .0 .1 ; # Если у вас поднята SAMBA, то вы можете попробовать отдавать клиентам # еще и значение WINS-сервера. # option netbios-name-servers 192.168.0.1; # у нас уже поднят свой DNS-сервер, поэтому отдаем его адрес option domain-name-servers 192 .168 .0 .1 ; } # "привязываем" определенные MAC адреса к определенным IP адресам host admin { hardware ethernet 03 :03 :03 :03 :03 :03 ; fixed-address 192 .168 .0 .2 ; } host server { hardware ethernet 04 :04 :04 :04 :04 :04 ; fixed-address 192 .168 .0 .3 ; }

Добавляем в /etc/rc.conf строки:

и стартуем DHCP сервер:

Все нормально. Функционал простейшего dir-300 достигнут.

В этой статье мы рассмотрим сетевые интерфейсы в FreeBSD 11.1 , покажем настройку сети через файл конфигурации /etc/rc.conf , а именно назначение статических настроек и получение их по DHCP. Пропишем адреса DNS -серверов, настроем hosts и рассмотрим указание временных настроек сети .

Просмотр сетевых интерфейсов.

Для начала проясним: Есть два состояния сетевой карты UP (задействована) и DOWN (не задействована).

Первым делом стоит посмотреть наши сетевые интерфейсы, смотреть будем командой ifconfig .(Рис.1) Вывод команды показывает все интерфейсы UP и DOWN.

Ifconfig

ifconfig -a покажет вам тоже самое.

Ifconfig -a

Вот тут есть некоторые отличия от ifconfig в Ubuntu server .(в Ubuntu server "ifconfig" показывает только интерфейсы UP , "ifconfig -a" показывает все интерфейсы и UP и DOWN )

Рис.1 - Результат ввода команды ifconfig.

И так что же мы видим:

• em0 - наша сетевая карта, с IP адресом 192.168.3.11 .
• em1 - вторая сетевая карта, не настроенная.
• lo - локальная петля, она у всех присутствует по умолчанию.

Для того чтобы посмотреть интерфейсы только UP , используется команда ifconfig -u (Рис.2):

Ifconfig -u

а для просмотра интерфейсов только DOWN , используется команда ifconfig -d (Рис.3):

Ifconfig -d
Рис.2 - Результат ввода команды ifconfig -u.
Рис.3 - Результат ввода команды ifconfig -d.

В дальнейшем я буду показывать примеры настройки на интерфейсе "em0" .

Для включения интерфейса используется команда ifconfig "НАЗВАНИЕ-ИНТЕРФЕЙСА " up.

Ifconfig em0 up

Для выключения интерфейса используется команда ifconfig "НАЗВАНИЕ-ИНТЕРФЕЙСА " down.

Ifconfig em0 down

"Поиграйтесь" с интерфейсом, если вы конечно же не подключены по ssh , и оставьте его в состоянии UP .

Настройка сети через файл конфигурации.

Для настройки статического или динамического IP адреса нам надо отредактировать файл конфигурации сетевых интерфейсов - /etc/rc.conf мы будем редактировать его с помощью текстового редактора vi .(Рис.4) Сразу скажу, для того чтобы редактировать в vi нужно нажать букву "i" , а чтобы сохранить и закрыть документ надо нажать "Esc" ввести ":wq!" и нажать "Enter" .

Рис.4 - vi /etc/rc.conf.

Получение настроек сети по DHCP.

Чтобы назначить получение настроек по DHCP, нужно вписать(или изменить существующую) строчку в файл /etc/rc.conf .(Рис.5)

ifconfig_ НАЗВАНИЕ-ИНТЕРФЕЙСА ="DHCP"

Ifconfig_em0="DHCP"
Рис.5 - Получение сетевых настроек по DHCP.

Перезапускаем сетевую службу netif .(Рис.6)

/etc/rc.d/netif restart Рис.6 - Перезапуск сетевой службы FreeBSD.

Смотрим активные сетевые интерфейсы, видим, полученный по DHCP, IP адрес интерфейса em0 - 192.168.3.6 (Рис.7)

Ifconfig -u

Ping 8.8.8.8
Рис.7 - Проверка активных интерфейсов и доступа к сети.

Пинги идут. Всё отлично!

Указание настроек сети вручную.

Чтобы назначить статичный адрес для нашей Freebsd нужно в файл /etc/rc.conf вписать две строки(Рис.8)

ifconfig_ НАЗВАНИЕ-ИНТЕРФЕЙСА ="inet IP-АДРЕС-FREEBSD netmask МАСКА-СЕТИ "

defaultrouter=" IP-АДРЕС-ШЛЮЗА "

Ifconfig_em0="inet 192.168.3.11 netmask 255.255.255.0" defaultrouter="192.168.3.1"
Рис.8 - Статичные настройки сетевого интерфейса.

Перезапускаем сетевую службу.

/etc/rc.d/netif restart

Проверяем активные интерфейсы

Ifconfig -u

Проверяем выход в интернет пингуем гугловские восьмёрки.

Ping 8.8.8.8

Настройка DNS.

IP адреса DNS серверов хранятся в файле /etc/resolv.conf (Рис.9)

Открываем resolv.conf в редакторе vi .

Vi /etc/resolv.conf

Вписываем IP адрес DNS сервера. (Можно указать сколько угодно адресов.)

Nameserver 192.168.3.1 nameserver 8.8.8.8 nameserver 8.8.4.4

Если у вас нет файла resolv.conf то создайте его в каталоге /etc

Touch /etc/resolv.conf
Рис.9 - Содержимое файла resolv.conf.

Файл /etc/hosts.

Файл /etc/hosts содержит таблицы сопоставления DNS имен с IP адресами. В первую очередь ваш сервер будет обращаться к файлу hosts , а потом уже к DNS-серверу.

Лично для себя я отметил полезным внести в hosts запись этого freebsd (IP адрес локальной сети - имя сервера). Теперь мы можем во всех конфигурационных файлах указывать DNS имя, а не IP адрес, а в случае необходимости за кротчайшее время изменить свой IP адрес поправив hosts и настройки интерфейса в /etc/rc.conf .

Это просто для примера вам этого делать не обязательно .

Приступаю к редактированию(Рис.10):

Vi /etc/hosts

Вписываю:

192.168.3.11 freebsd.itdeer.loc Рис.10 - Содержимое файла hosts.

Проверю попинговав имена из hosts .(Рис.11)

Ping localhost ping freebsd.itdeer.loc
Рис.11 - Пингуем имена из hosts.

Временное назначение ip адреса.

Честно говоря я не знаю для чего может пригодиться временное назначение сетевых настроек. Разве что допустим у вас какой-нибудь сервер который предназначен только для вашей локальной сети и вы вдруг решили быстренько обновить ПО через интернет на этом сервере, чтобы не ходить к шлюзу не раздавать интернет на нужный IP адрес итд. Вы можете обойтись парой команд.

Например, мы знаем что на 192.168.3.109 точно есть доступ в интернет, назначаем этот IP адрес нашему интерфейсу, так же нужно указать маску сети(Рис.12):

Ifconfig em0 192.168.3.109 netmask 255.255.255.0

или командой с короткой записью маски сети.

Ifconfig em0 192.168.3.109/24
Рис.12 - Указание временных настроек для сетевого интерфейса em0.

Интернет может не появиться, так как не указан шлюз по умолчанию. Прописываем его и пингуем гугловкие восьмёрки.(Рис.13)

Route add default 192.168.3.1 ping 8.8.8.8
Рис.13 - Указываем шлюз по умолчанию. Проверяем ping.

Правильно ли мы прописали наш шлюз по умолчанию можно посмотреть в таблице маршрутизации. Она выводится с помощью команды "netstat -rn" , Шлюз по умолчанию будет обозначен флагом UG .(Рис.14)

Netstat -rn
Рис.14 - Вывод таблицы маршрутизации.

Если вы где-то ошиблись в написании или у вас указан другой шлюз, то можно удалить шлюз по умолчанию .

Route del default

На этом временная настройка закончена, помните что после перезагрузки сервера или отдельно службы networking , все временные настройки исчезнут.

Добавляем маршрут в сеть 192.168.0.0/16 (Маска 255.255.0.0) через основной шлюз(gateway) 192.168.3.1/24

Route add 192.168.0.0/16 192.168.3.1

Вариант добавления маршрута с указанием полной маски.

Route add -net 192.168.0.0 -netmask 255.255.0.0 192.168.3.1

Переименовываем интерфейс em0 в wan0.

Для удобства некоторые админы переименовывают интерфейсы, чтобы сразу видеть для чего предназначен интерфейс. Допустим у нас шлюз с двумя сетевыми интерфейсами em0 (интернет) и em1 (локальная сеть) и работать с такими названиями неудобно, так как имея большое количество интерфейсов можно запутаться. Гораздо удобнее работать с интерфейсами wan0 и lan1 .

Мы покажем пример переименования интерфейса em0 в wan0 в файле /etc/rc.conf .(Рис.15)

Ifconfig_em0="inet 192.168.3.11 netmask 255.255.255.0"

Заменяем двумя строками:

Ifconfig_em0 _name="wan0 " ifconfig_wan0 ="inet 192.168.3.11 netmask 255.255.255.0"
Рис.15 - Переименовываем интерфейсы в файле /etc/rc.conf.

Не забываем перезапустить сетевую службу:

/etc/rc.d/netif restart

Проверю, введу команду ifconfig -u . Видим наш wan0 с нужным IP адресом .(Рис.16)

Ifconfig -u
Рис.16 - Проверяем новое название интерфейса. ifconfig -u.

Маршрутизатор – устройство, которое обеспечивает доступ компьютеров объединенных в локальную сеть к сети интернет. При помощи FreeBSD можно построить подобный маршрутизатор и это делается совершенно просто, рассмотрим вариант построения маршрутизатора для небольшой локальной сети в 20…30 рабочих мест.

Исходные данные – ПК с двумя сетевыми картами с установленной FreeBSD (на данный момент использую FreeBSD 8.4 STABLE), внешний ip-адрес предоставленный нашим провайдером, ip-адрес шлюза провайдера и ip-адрес DNS-сервера.

Для превращения в маршрутизатор в файл конфигурации rc.conf достаточно добавить всего лишь одну строку:

# echo gateway_enable=”YES” > /etc/rc.conf

Которая разрешит прохождение ip-пакетов с одного сетевого интерфейса на другой. Командой ifconfig узнаем информацию о сетевых интерфейсах и определим, какой из них будет «внешним» (ему назначим ip-адрес провайдера), а какой «внутренним» (ему присвоим не занятый ip-адрес внутренней локальной сети). Смотрим, что мы получим:

Определяем “em0” как внешний интерфейс (с присвоенным ip 192.168.5.39), “em1” как внутренний редактированием файла rc.conf (присвоем ему, к примеру, ip 192.168.0.240), в этот же файл необходимо прописать шлюз нашего провайдера

# echo defaultrouter=”xxx.xxx.xxx.xxx” > /etc/rc.conf

Где xxx.xxx.xxx.xxx -- ip-адрес шлюза провайдера.

В итоге у меня получился следующий вид файла rc.conf

Затем необходимо прописать ip-адрес DNS-сервера провайдера, чтобы мы могли обращаться к сайту по их именам. Сделаем запись в конфигурационном файле resolv.conf

# echo nameserver xxx.xxx.xxx.xxx > /etc/resolv.conf

Где xxx.xxx.xxx.xxx ip-адрес DNS-сервера.

Если DNS серверов несколько, желательно перечислить их все, каждый с новой строчки.

В нашем случае это ip-адреса серверов 192.168.5.200 и 192.168.5.201. Адрес 8.8.8.8 DNS-сервер великого Google, в крайнем случае, можно пользоваться им.

Делаем перезагрузку...

# shutdown –r now

Всё, начальная настройка маршрутизатора готова (можно настраивать ПК локальной сети). Далее будем рассматривать настройку сетевого экрана (firewall), включение трансляции сетевых адресов (NAT), всевозможные схемы маршрутизации.

Смотрим настройку рабочих станций под ОС «Windows» для сети интернет (как и где прописать ip-адрес ПК, маршрутизатора и DNS). Как приложение, так на всякий случай, вдруг кому понадобится.

Смотрим продолжение настройки маршрутизатора (часть 2).