Linux come SOHO Router

SOHO sta per piccoli uffici e home office, e di solito si riferisce a situazioni in cui esiste un solo computer a casa per alcuni computer in un piccolo ufficio.
Vi è una grande offerta di router SOHO sul mercato ormai da diversi produttori, ma da quello che ho provato, la maggior parte di loro fare le stesse cose di base (NAT, DHCP, e una porta di filtraggio). Sono meno costosi rispetto a qualsiasi computer, ma se avete un vecchio computer che si sta per buttare via, si può facilmente installare Linux su di esso e lo rendono il router SOHO proprio avendo il vantaggio di una maggiore flessibilità a costo zero.
Di solito, un router SOHO ha una porta WAN, che è una porta Ethernet in cui il fornitore di connessione deve essere collegato poll CPE del provider (Customer Premises Equipment) possono essere di qualsiasi tipo (modem xDSL, bridge wireless, modem via cavo, fibra ottica media converter ) che può fornire una connessione Ethernet. SOHO router di solito hanno quattro a otto porte Ethernet per la LAN. Questo è sostanzialmente un quattro piccole-a-otto-port switch che ha costruito nel router SOHO. Alcuni router SOHO anche avere un chipset wireless access point che è un ponte per il built-in switch.
Il nostro computer che esegue Linux e agire come router SOHO devono avere due schede di rete Ethernet, una per la funzione WAN di un router SOHO CPE in cui il prestatore è collegato, e una per la LAN. Se si desidera che la LAN sia cablate e wireless, l'interfaccia Ethernet per la rete locale sarà collegata a un punto di accesso con un built-in switch. Comunque sia, tutto ciò che è fondamentalmente una rete LAN (wired, wireless, ponte, o commutata), così, dal punto di vista firewall, non importa cosa si usa negli strati prima e la seconda del modello OSI (accesso punti, hub, switch).
Il prestatore di solito ci assegna un indirizzo IP pubblico che può essere sia staticamente assegnato o assegnato dinamicamente tramite DHCP o PPPoE. Linux ha il supporto per PPPoE, questo può essere scaricato dal http://www.roaringpenguin.com/pppoe/.

L'istituzione di reti

Quando si configura la rete locale, dobbiamo utilizzare un intervallo di indirizzi IP privati. In questo esempio, useremo la rete privata di classe C 192.168.1.0/24, così, la cosa migliore da fare sarebbe quella di assegnare l'indirizzo IP 192.168.1.1 per l'interfaccia Ethernet eth1 sul nostro router Linux.

Al fine di creare un buon firewall per tutti i dispositivi dietro NAT, dovremmo assegnare loro indirizzi IP statici. Tuttavia, si potrebbe desidera utilizzare DHCP per la periferica di gioco e per il laptop. Per fare ciò, in primo luogo, abbiamo bisogno di installare il server DHCP. Questa è una distribuzione compito specifico. Per esempio, su Debian si eseguire i seguenti comandi:

Successivamente, abbiamo bisogno di impostare il server DHCP. Vogliamo lasciare che il computer portatile di acquisire gli indirizzi IP da 192.168.1.2 a 192.168.1.10, per esempio. Abbiamo creato una serie solo nel caso in cui abbiamo alcuni amici in visita con il proprio portatile. Nel file / etc / dhcpd.conf, abbiamo bisogno di immettere il seguente testo:

Per la stampante, computer desktop, e il computer per i bambini, vogliamo assegnare loro lo stesso indirizzo IP ogni tempo. Troviamo gli indirizzi MAC per ciascuna di esse, e, sulla base dell'indirizzo MAC, si assegna loro indirizzi IP, scrivendo nel file / etc / dhcpd.conf le seguenti righe:

Ora, abbiamo bisogno di modificare il file / etc / init.d / dhcp e impostare l'interfaccia eth1:

e avviare il server DHCP eseguendo il file / etc / script / init.d DHCP con l'argomento start.

A questo punto, abbiamo:

• Il router Linux ha un indirizzo IP pubblico su eth0, l'indirizzo IP privato su eth1 192.168.1.1 e DHCP in esecuzione.
• Il portatile acquisisce un indirizzo IP privato della gamma 192.168.1.2-192.168.1.10.
• Il computer desktop acquisisce sempre l'indirizzo IP privato 192.168.1.11.
• Computer dei bambini acquisisce sempre l'indirizzo IP privato 192.168.1.55.
• La stampante di rete acquisisce sempre l'indirizzo IP privato 192.168.1.100.
• Il dispositivo di gioco acquisisce sempre l'indirizzo IP privato 192.168.1.200.

Definire la politica di sicurezza

Prima di costruire qualsiasi firewall, dobbiamo decidere che cosa il firewall deve fare con la creazione di una politica di sicurezza che può essere da un documento (consigliato) per un pezzo di carta, o alcuni pensieri nelle nostre teste.
Per la rete semplice e molto comune appena discusso, possiamo decidere le seguenti regole semplici:

• Il dispositivo di gioco possono accedere a qualsiasi cosa su Internet. Inoltre, vogliamo ospitare i giochi su di essa con GameSpy Arcade.
• La stampante di rete devono essere accessibili solo dall'interno della nostra rete.
• I bambini devono utilizzare il computer per navigare in Internet e usare Yahoo! Messenger. Non vogliamo che siano in grado di accedere a contenuti pornografici o virus download. Anche noi non vogliamo lasciare che l'uso di software P2P, quindi in fondo abbiamo limitare il loro accesso al Web e Yahoo! Messenger.
• Il laptop e computer portatili ospiti possono accedere a qualsiasi cosa su Internet (non vogliamo essere scortese e negare loro l'accesso a siti xxx, per esempio).
• Il desktop può accedere a qualsiasi cosa. Inoltre, vogliamo essere in grado di accedere al computer desktop da fuori con VNC (Virtual Network Computing).
• Il router Linux deve essere eseguito SSH in modo che possiamo accedere ad esso dalla rete interna e da ufficio.

La cosa più difficile dalla nostra lista è quello di eseguire tutte queste restrizioni per i computer dei bambini. Per essere in grado di bloccare i siti porno e virus, è necessario utilizzare un server proxy e rendere trasparente.