Linux als SOHO-Router

SOHO steht für kleine Büros und Home Offices, und in der Regel bezieht sich auf Situationen, in denen es gibt nur einen Computer zu Hause, ein paar Computer in einem kleinen Büro.
Es ist ein sehr großes Angebot von SOHO-Router auf dem Markt heute von verschiedenen Herstellern, sondern von dem, was ich getestet habe, die meisten von ihnen die gleichen grundlegenden Dingen (NAT, DHCP, und einige Port-Filterung). Sie sind billiger als jeder Computer, aber wenn Sie haben einen alten Computer, den Sie sind im Begriff, wegwerfen, können Sie leicht installieren Linux auf und machen Sie es Ihren eigenen SOHO-Router mit den Vorteil der höheren Flexibilität zum Nulltarif.
Normalerweise hat ein SOHO-Router eine WAN-Port, ein Ethernet-Port, den der Provider-Verbindung angeschlossen werden in. Der Anbieter CPE (Customer Premises Equipment) können von jedem Typ sein (xDSL-Modem, WLAN-Brücke, Kabelmodem-, Fiberoptik-Media-Konverter muss, ist ), die eine Ethernet-Verbindung bieten kann. SOHO-Router haben in der Regel vier bis acht Ethernet-Ports für das LAN. Das ist im Grunde ein kleines Vier-zu-acht-Port-Switch, die in den SOHO-Router integriert ist. Einige SOHO-Router verfügen über einen drahtlosen Zugangspunkt-Chipsatz, der zu überbrücken ist der integrierte Switch.
Unsere Computer, Linux und handeln ausgeführt wird, wie SOHO-Router müssen zwei Ethernet-Karten, eine für die WAN-Funktion eines SOHO-Router, in die der Provider CPE angeschlossen ist, und eine für das LAN. Wenn Sie die LAN wollen drahtgebundene und drahtlose werden, wird die Ethernet-Schnittstelle für das lokale Netzwerk angeschlossen werden, um einen Access Point mit integriertem Switch. Jedoch ist es, alles ist im Grunde eine LAN (drahtgebunden, drahtlos, überbrückt oder ausgeschaltet), so, von der Firewall Sicht ist es wirklich egal, was wir bei der ersten und der zweiten Schicht des OSI-Modells (Zugriffskontrolle Punkte, Hubs, Switches).
Der Anbieter weist uns in der Regel eine öffentliche IP-Adresse, die entweder statisch oder dynamisch zugeordnet mit DHCP oder PPPoE. Linux hat die Unterstützung für PPPoE, dies kann heruntergeladen werden von http://www.roaringpenguin.com/pppoe/.

Errichtung des Netzes

Bei der Einrichtung des lokalen Netzwerks, müssen wir eine Reihe von privaten IP-Adressen. In diesem Beispiel werden wir die private Klasse C-Netzwerk 192.168.1.0/24 verwenden, so das Beste, was zu tun wäre, um die IP-Adresse 192.168.1.1 auf dem Ethernet-Schnittstelle eth1 auf unseren Linux-Router zuweisen.

Um eine ordnungsgemäße Firewall für alle Geräte hinter NAT zu schaffen, sollten wir weisen Sie statische IP-Adressen. Allerdings könnten wir wollen für die DHCP-Gaming-Gerät verwenden und für den Laptop. Um das tun, müssen wir den DHCP-Server zu installieren. Dies ist ein Vertriebs-spezifische Aufgabe. Zum Beispiel, auf Debian laufen wir die folgenden Befehle:

Als nächstes müssen wir die Einrichtung der DHCP-Server. Wir möchten, dass der Laptop erwerben IP-Adressen von 192.168.1.2 bis 192.168.1.10, zum Beispiel. Wir stellten eine Reihe nur für den Fall haben wir ein paar Freunde besuchen mit ihren Laptops. In der / etc / dhcpd.conf, müssen wir den folgenden Text eingeben:

Für den Drucker, Desktop-Computer und Computer der Kinder, möchten wir ihnen denselben IP-Adressen jeder Zeit. Wir finden heraus, die MAC-Adressen für jeden einzelnen, und über ihre MAC-Adresse, wir weisen Sie IP-Adressen, indem Sie in der Datei / etc / dhcpd.conf den folgenden Zeilen:

Nun müssen wir die Datei / etc / init.d / dhcp-Skript zu bearbeiten und die Schnittstelle zum eth1 gesetzt:

und starten Sie den DHCP-Server, indem Sie die / etc / init.d / dhcp-Skript mit dem Argument start.

An dieser Stelle haben wir:

• Der Linux-Router hat eine öffentliche IP-Adresse für eth0, die private IP-Adresse auf eth1 192.168.1.1 und DHCP-Server aktiv.
• Der Laptop erwirbt eine private IP-Adresse aus dem Bereich 192.168.1.2-192.168.1.10.
• Die Desktop-Computer übernimmt immer die private IP-Adresse 192.168.1.11.
• Computer der Kinder übernimmt immer die private IP-Adresse 192.168.1.55.
• Der Netzwerkdrucker übernimmt immer die private IP-Adresse 192.168.1.100.
• Die Gaming-Gerät kauft immer die private IP-Adresse 192.168.1.200.

Definition der Sicherheitspolitik

Vor dem Aufbau einer Firewall, müssen wir entscheiden, was die Firewall muss durch die Schaffung einer Sicherheitspolitik, die sich von einem Dokument tun können (empfohlen), um ein Stück Papier, oder ein paar Gedanken in unseren Köpfen.
Für das einfache und sehr häufig Netzwerk, das nur behandelt werden, können wir entscheiden, die folgenden einfachen Regeln:

• Die Gaming-Gerät zugreifen kann alles auf dem Internet. Auch wollen wir die Spiele auf das Host mit GameSpy Arcade.
• Der Netzwerkdrucker ist nur von innen unser Netzwerk zugegriffen werden kann.
• Die Kinder müssen den Computer auf das Internet und die Nutzung durchsuchen Yahoo! Messenger. Wir wollen nicht, dass sie in der Lage, pornografischen Inhalten oder Download Viren zugreifen. Wir wollen auch nicht zu lassen, sie zu benutzen P2P-Software, so im Grunde beschränken wir den Zugang zum Internet und Yahoo! Messenger.
• Der Laptop und Laptops können Gäste alles auf dem Internet-Zugang (wir wollen nicht unhöflich sein und verweigern ihnen den Zugang zu Websites xxx, zum Beispiel).
• Die Desktop-Zugriff hat. Außerdem wollen wir in der Lage sein auf dem Desktop-Computer von außen mit VNC (Virtual Network Computing).
• Der Linux-Router muss SSH, so dass wir in log, um es aus dem internen Netz und aus dem Büro.

Am schwierigsten ist aus unserer Liste ist es, alle diese Einschränkungen für Computer der Kinder durchzuführen. Um Porno-Seiten und Viren zu blockieren, müssen wir einen Proxy-Server und machen sie transparent.