FreeBSD, როგორც როუტერი ან როგორც როუტერი, FreeBSD აგზავნის პაკეტებს ერთი მარშრუტიდან მეორეზე. FreeBSD-ის ინტერნეტ კარიბჭის დაყენება Freebsd-ის დაყენება კარიბჭის

ბევრი დამწყები კიდეებზე და FreeBSD-შია ჩარჩენილი საკვებით:

"როგორ დააკავშირებთ ორ ფენას, როდესაც FreeBSD სერვერს აქვს ფიზიკური კავშირები ორივე ფენასთან?"

სხვა სიტყვებით რომ ვთქვათ, FreeBSD სერვერი არის დამნაშავე როუტერის როლში.

Ozhe, scho mi maєmo:

  • Ethernet ქსელი
  • "C" კლასის ორი ქვედანაყოფი (/24 - ნიღაბი 255.255.255.0)
  • FreeBSD სერვერი ორი კარტით
  • კლიენტები ორივე განზომილებაში

ჩვენი მიზანია კლიენტებმა 192.168.1.0/24 მხარდაჭერით გაცვალონ ტრაფიკი კლიენტებთან 192.168.0.0/24 მხარდაჭერიდან.

ახლა ჩვენ დავაყენეთ FreeBSD სერვერი და ადვილად გადავცემთ (მარშრუტს) პაკეტებს ერთი განზომილებიდან მეორეზე.

ეს მითითებულია net.inet.ip.forwarding პარამეტრით, რომელიც მითითებულია შემდეგი მნიშვნელობებით:

# sysctl net.inet.ip.forwarding
net.inet.ip.forwarding: 0

ჩართულია ნარაზიეს მნიშვნელობა არის "0", რაც ნიშნავს, რომ FreeBSD სერვერს არ აქვს მარშრუტიზაციის მხარდაჭერა.

მოდით შევხედოთ ამ ფუნქციას:

# sysctl net.inet.ip.forwarding=1
net.inet.ip.forwarding: 0 -> 1

ასე რომ, მნიშვნელობები შეიცვალა "0"-დან "1". ახლა თქვენ უნდა იმუშაოთ, რათა გადატვირთვის შემდეგ ეს მნიშვნელობა ისევ იგივე იყოს. ფულის გამომუშავება შეგიძლიათ ორი გზით:

  1. დაამატეთ შემდეგი ხაზი ფაილს /etc/rc.conf: gateway_enable=”YES”
  2. დაამატეთ შემდეგი ხაზი ფაილს /etc/sysctl.conf: net.inet.ip.forwarding=1

სერვერზე გვაქვს ორი კიდეების რუკა და არსებითად ორი ინტერფეისი: em0 და em1.

დაე, em0 „გაოცდეს“ ბოროტების ზღვარზე, em1 კი მარჯვნივ. მნიშვნელოვანი IP მისამართები FreeBSD სერვერის ინტერფეისებისთვის:

# ifconfig em0 დაამატეთ 192.168.1.1/24
# ifconfig em1 დაამატეთ 192.168.0.1/24

შენიშვნა:

თუ უპასუხებთ ifconfig ბრძანებას შემდეგნაირად:
ბრძანება ვერ მოიძებნა
დააჩქარეთ გუნდურად
# Whereis ifconfig
ifconfig: /sbin/ifconfig /usr/share/man/man8/ifconfig.8.gz /usr/src/sbin/ifconfig
როგორ ვითარდება თვით ifconfig უტილიტა?
როგორც ბრძანების შედეგიდან ჩანს Whereis, ifconfig უტილიტა მდებარეობს /sbin/ifconfig-ში
შეიყვანეთ ახალი გზა ifconfig უტილიტაში, შემდეგ ბრძანება არ არის ნაპოვნი და ბრძანება შეწყდება

ვნახოთ რა მოხდა:

# ifconfig -a

em0: დროშები=8843 მეტრიკა 0 mtu 1500 ether 00:02:a5:4e:92:48 inet 192.168.1.1 netmask 0xffffff00 მაუწყებლობა 192.168.1.255 მედია : Ethernet ავტომატური შერჩევა (100baseTX ) სტატუსი: აქტიური em1: დროშები=8802 მეტრიკა 0 mtu 1500 ether 00:02:a5:4e:92:49 inet 192.168.0.1 netmask 0xffffff00 მაუწყებლობა 192.168.0.255 მედია : Ethernet autoselect (100baseTX ) სტატუსი: აქტიური

მოდით შევხედოთ რას ნიშნავს ეს ყველაფერი:

em0і em1- კიდეების ინტერფეისების სახელები
ensign UP - ნიშნავს, რომ სასაზღვრო ბარათი ჩართულია, თუ ეს ნიშანი არ არის, მაშინ პაკეტები არ მიიღება ამ ინტერფეისზე (მის გასააქტიურებლად გამოიყენეთ ბრძანება: ifconfig IM_INTERFACE up)
ether - ეს არის ამ edge ბარათის Mac მისამართი
inet - მინიჭებული IP მისამართები, რომელთა ინტერფეისი და სამაუწყებლო მისამართები ამ ჩაძირვისთვის
მედია— ინფორმაცია სიჩქარისა და დუპლექსის ინტერფეისის შესახებ
სტატუსი - ინტერფეისის მიმდინარე სტატუსი. როგორც სტატუსი: არ არის გადამზიდავი, ეს ნიშნავს, რომ შუალედურ ბარათზე არ არის ბმული.

საჭიროა ფრთხილად კონფიგურაცია ისე, რომ სერვერის გადატვირთვის შემდეგ ინტერფეისებს მიენიჭოს IP მისამართები, რისთვისაც საჭიროა ფაილის /etc/rc.conf დამატება შემდეგი ნაბიჯებით:

ifconfig_em0="inet 192.168.1.1 ქსელის ნიღაბი 255.255.255.0"
ifconfig_em1=”inet 192.168.0.1 ქსელის ნიღაბი 255.255.255.0″

თუ იყენებთ Firewall-ს თქვენს სერვერზე, მაგალითად ipfw, მაშინ დაამატებთ წესებს, რომლებიც საშუალებას აძლევს პაკეტების გადატანას ერთი ფენიდან მეორეზე:

ipfw დაამატეთ 100 დაუშვით IP 192.168.1.1/24-დან 192.168.0.1/24-მდე
ipfw დაამატეთ 110 დაუშვით IP 192.168.1.0/24-დან 192.168.1.1/24-მდე

ახლა დააკონფიგურირეთ კლიენტის კომპიუტერები:

  • შეიყვანეთ IP მისამართი საჭირო ქვედანაყოფით: 192.168.1.ХХХ ან 192.168.0.ХХХ
  • კომპლექტი წყალქვეშა ნიღაბი 255.255.255.0
  • დააყენეთ კარიბჭე შემდეგ პარამეტრებზე: submersion-ისთვის 192.168.1.ХХХ არის 192.168.1.1, ხოლო submersion-ისთვის 192.168.0.ХХХ არის 192.168.0.1 (იგივე IP მისამართები ჩვენი FreeBSD სერვერის ინტერფეისებზე).

დადგა დრო, რომ შეამოწმოთ კავშირები სერვერსა და კლიენტებს შორის. ვისთვის უნდა მივიღოთ ეს მცოდნე რობოტი? კლიენტის კომპიუტერიმაგალითად, იქნება კომპიუტერები IP მისამართებით:

  • 192.168.1.11
  • 192.168.0.15

დააჩქარეთ სერვერზე ping პროგრამის გამოყენებით:

#ping 192.168.1.11

შედეგი იქნება ასეთი:

PING 192.168.1.11 (192.168.1.11): 56 მონაცემთა ბაიტი
64 ბაიტი 192.168.1.11-ში: icmp_seq=0 ttl=64 დრო=0.466 ms
64 ბაიტი 192.168.1.11-ში: icmp_seq=1 ttl=64 დრო=0.238 ms
64 ბაიტი 192.168.1.11-ში: icmp_seq=2 ttl=64 დრო=0.272 ms
^ C
- 192.168.1.11 პინგ სტატისტიკა -
3 პაკეტი გადაცემული, 3 პაკეტი მიღებული, 0.0% პაკეტის დაკარგვა
ორმხრივი მინ/საშუალო/მაქს/სტდდევ = 0,238/0,325/0,466/0,100 ms

ეს ნიშნავს, რომ ყველაფერი კარგად არის სერვერსა და კლიენტს შორის. ვიკონიტი იგივე z 192.168.0.15.

თუ პინგის შედეგი უარყოფითია, მაშინ შეამოწმეთ, რომ კლიენტის კომპიუტერს აქვს სწორი IP მისამართი და საზღვრის ნიღაბი, ისევე როგორც სასაზღვრო ბარათზე ბმულის არსებობა.

ახლა შეგიძლიათ სცადოთ კავშირების გადამოწმება სხვადასხვა კავშირების კლიენტ კომპიუტერებს შორის.

იგივე შეიძლება გაკეთდეს ping უტილიტის გამოყენებით, მაგრამ ასევე კომპიუტერზე IP მისამართით 192.168.1.11:

პინგი 192.168.0.15

როგორც ეს ადასტურებს, არსებობს კავშირები კომპიუტერებს შორის სხვადასხვა ქსელიდან.

ვინაიდან არ არსებობს მტკიცებულება, ის აჩქარებს Tracert უტილიტის გამოყენებით(Windows-ისთვის) ან traceroute (FreeBSD-ისთვის):

tracert 192.168.0.15

როგორც კი "ვარსკვლავები მიდიან":

1 * * *

შეამოწმეთ არის თუ არა კარიბჭე სწორად განლაგებული.

მარშრუტი ასე გამოიყურება:

1 192.168.1.1 (192.168.1.1) 0.421 ms 0.447 ms 0.485 ms
2 * * *

იმისათვის, რომ პაკეტი მიაღწიოს სერვერს, შეამოწმეთ, რომ სერვერის firewall არ ბლოკავს პაკეტებს და კლიენტის კომპიუტერი IP მისამართით 192.168.0.15 სწორად არის კონფიგურირებული და სერვერის „გაძლიერება“ (შეამოწმეთ IP მისამართი, პროქსი ნიღაბი, სტანდარტი კარიბჭე და სერვერზე პინგის შესაძლებლობა)

ყველაფერი გადაამოწმე, მაგრამ, როგორც ადრე, არაფერი არ მუშაობს? გაუშვით tcpdump პროგრამა სერვერზე, რათა ნახოთ პაკეტები, რომლებიც გადიან სერვერის ინტერფეისებში:


і

გაუშვით პინგი ერთი კლიენტის კომპიუტერიდან ერთი სუბმერგერით სხვა კლიენტის კომპიუტერზე სხვა სუბმერგერში (როგორც ეს გავაკეთეთ ზემოთ მოცემულ მაგალითებში) და მიჰყევით tcpdump ბრძანების ნაბიჯებს სერვერზე, რომელიც გამოყენებული იქნება დაახლოებით ასე:

# tcpdump -ni em0

12:17:23.398376 IP 192.168.1.11 > 192.168.0.15: ICMP echo მოთხოვნა, ID 49222, seq 0, სიგრძე 64
12:17:24.399906 IP 192.168.1.11 > 192.168.0.15: ICMP echo მოთხოვნა, ID 49222, seq 1, სიგრძე 64

ტობტო. კომპიუტერი 192.168.1.11 აგზავნის ICMP echo მოთხოვნის პაკეტს კომპიუტერზე 192.168.0.15, წინააღმდეგ შემთხვევაში განსხვავება არ არის. შემდგომში, სერვერი გადასცემს ამ პაკეტებს სხვა პროქსი ბარათზე:

# tcpdump -ni em1

12:21:18.167017 IP 192.168.1.11 >
12:21:19.168022 IP 192.168.1.11 > 192.168.0.15: ICMP echo მოთხოვნა, id 50246, seq 5, სიგრძე 64

მნიშვნელოვანია, რომ მოთხოვნები გადაეცეს სხვა სერვერის ინტერფეისს და არ იყოს შემდგომი შეყვანა, როგორც ადრე. გთხოვთ, შეამოწმოთ თქვენი კომპიუტერის პარამეტრები 192.168.0.15-ზე, რომ ნახოთ რაიმე პრობლემა ფიზიკური კავშირებიზღვრამდე.

თუ ყველაფერი ასე გამოვა:

12:21:17.165998 IP 192.168.1.11 > 192.168.0.15: ICMP echo მოთხოვნა, ID 50246, seq 3, სიგრძე 64
12:21:17.171199 IP 192.168.0.15 > 192.168.1.11: ICMP ექო პასუხი, ID 50246, თან 3, სიგრძე 64
12:21:18.167017 IP 192.168.1.11 > 192.168.0.15: ICMP echo მოთხოვნა, ID 50246, თანმიმდევრობა 4, სიგრძე 64
12:21:18.171353 IP 192.168.0.15 > 192.168.1.11: ICMP ექო პასუხი, ID 50246, თანმიმდევრობა 4, სიგრძე 64

ჩვენ ვიყენებთ სტანდარტულ „მოთხოვნა-პასუხის“ შაბლონს, თუ ICMP echo მოთხოვნის პაკეტი შეიცავს პასუხს ICMP echo პასუხის პაკეტის სახით.

შაბათ-კვირის თარიღები

მანქანას აქვს 2 ინტერფეისი:

გარე საზღვარი (em1) - 192.168.0.0/24

შიდა საზღვარი (em0) - 192.168.10.0/24 (გამოითქმის ასე)

გარე საზღვარზე კარიბჭე არის როუტერი, რომლის IP მისამართია 192.168.0.1.

სისტემა დაინსტალირებულია გამომავალი ტექსტებით, ამიტომ /usr/src საქაღალდე შეიძლება ცარიელი იყოს. ვინაიდან ყველა ერთი და იგივე გამომავალი ფაილი ყოველდღიურია, მაშინ როგორ გადმოწეროთ და დააინსტალიროთ ისინი.

ამოცანაა დააყენოთ ინტერნეტში წვდომა შიდა ქსელში ამ ოპერაციული სისტემის მეთოდების გამოყენებით.

გადაწყვეტილება.

1. კონფიგურირებადი კიდეების ინტერფეისები

გახსენით ფაილი /etc/rc.conf

და მოდით ჩავწეროთ (ან გავასწოროთ) შემდეგი რიგები:

ჰოსტის სახელი=″როუტერი″

ნაგულისხმევი როუტერი=″192.168.0.1″

gateway_enable=″YES″

ifconfig_em0=″inet 192.168.10.1 ქსელის ნიღაბი 255.255.255.0″

მე შევარჩიე IP 192.168.0.110, რადგან დაუშვებელია მისი შეყვანა DHCP დიაპაზონში.

თუ IP მისამართი გარე ინტერფეისიდან ავტომატურად უნდა მოიხსნას, მაშინ რიგის ნაცვლად

ifconfig_em1=″inet 192.168.0.110 ქსელის ნიღაბი 255.255.255.0″

მოდით დავწეროთ 2 სტრიქონი ასე:

ifconfig_em1=″DHCP″

ifconfig_em1=″SYNCDHCP″

ახლა ჩვენ ვხსნით /etc/resolv.conf და შევდივართ DNS სერვერზე.

სახელების სერვერი 192.168.0.1

2. ავიღოთ და დავაინსტალიროთ ჩვენი სისტემის ბირთვი

გადადით /sys/i386/conf საქაღალდეში

მოდით გავაკეთოთ ფაილის ასლი იმავე მამისგან გენერიულიდა აუცილებლად როუტერი

ფაილის გახსნა როუტერი

გამოსწორებადი მწკრივი

იდენტიფიკაცია GERERIC

როუტერის იდენტიფიკაცია

და დაამატეთ შემდეგი რიგები (პარამეტრები):

პარამეტრები IPFIREWALL

პარამეტრები IPDIVERT

პარამეტრები IPFIREWALL_VERBOSE

პარამეტრები IPFIREWALL_VERBOSE_LIMIT=5

პარამეტრები IPFIREWALL_NAT

პარამეტრები LIBALIAS

პარამეტრები ROUTETABLES=2

პარამეტრები DUMMYNET

პარამეტრები HZ=″1000″

IPFIREWALL- ipfw-ის გასააქტიურებლად

IPDIVERT- აუცილებელია NAT მუშაობისთვის

IPFIREWALL_VERBOSE- ipfw რობოტის ჟურნალის ჩასართავად

IPFIREWALL_VERBOSE_LIMIT=5- ახალი ჟურნალების რაოდენობის შეზღუდვა - თავდასხმებისგან დაცვა

IPFIREWALL_NAT- ჩართოთ ipfw NAT

ლიბალიები- საჭირო ლიბალიის ბიბლიოთეკების ბირთვში ჩართვისთვის

ROUTETABLES=2- ორი მარშრუტიზაციის ცხრილის შექმნა

DUMMYNET- ტრაფიკის შემქმნელის ფუნქციის გასააქტიურებლად

HZ=″1000″- გიგაბიტიანი ადაპტერის მუშაობის დაჩქარებისთვის

ავიღოთ ბირთვი

შექმენით buildkernel KERNCONF=ROUTER

და დააინსტალირეთ

შექმენით installkernel KERNCONF=ROUTER

ამის შემდეგ ჩვენ ხელახლა გამოვიგონებთ სისტემას

3. ჩვენ ჩართავთ firewall-ს ავტომატურ ჩართვაში და ვქმნით სკრიპტს ipfw წესების გამოყენებით

ფაილის გახსნა /etc/rc.confდა დავწეროთ ახალ რიგში:

firewall_enable=″YES″

firewall_nat_enable=″YES″

firewall_script=″/etc/ipfw.conf″

ფაილი ახლა გახსნილია /etc/sysctl.confდა დავწეროთ ახლებურად:

რობოტებისთვის ipfw NAT

net.inet.ip.fw.one_pass=1

რომ ipfw ჟურნალების შესანარჩუნებლად

net.inet.ip.fw.verbose=1

net.inet.ip.fw.verbose_limit=5

მოდით შევქმნათ სკრიპტი ipfw წესების გამოყენებით:

მოდით გავხსნათ

და დავწეროთ შემდეგ რიგებში:

exface=″em1″

inface=″em0″

in_ip=″192.168.10.1″

cmd=″ipfw -q″

$cmd -f flush

სახეі სახეში- გარე და შიდა ინტერფეისი კარიბჭისკენ

in_ip- შიდა ინტერფეისის IP მისამართები

სმდ- ბრძანების პრეფიქსი ipfw -q

$cmd -f flush- ნახულობს ყველა არსებულ წესს

$cmd დაამატეთ 100 დაუშვით IP ნებისმიერიდან ნებისმიერზე lo0-ის საშუალებით - დაშვებული ტრაფიკი loopback ინტერფეისზე - აუცილებელია შიდა OS საჭიროებებისთვის

$cmd დაამატეთ 200 უარყოფის IP ნებისმიერიდან 127.0.0.0/8-ზე - ბლოკავს IP ტრაფიკს ნებისმიერი მოწყობილობიდან მთელი loopback ინტერფეისისთვის

$cmd დაამატეთ 300 უარყოფის IP 127.0.0.0/8 ნებისმიერს - ბლოკავს IP ტრაფიკს მთელი loopback ფენიდან ინტერფეისამდე ნებისმიერ მოწყობილობაზე

$cmd დაამატეთ 400 დაუშვით ყველა ნებისმიერიდან ნებისმიერზე $inface-ის საშუალებით - საშუალებას აძლევს უწყვეტ ტრაფიკს, რასაც ჩვენ ვქმნით ადგილობრივი ზომები

$cmd nat 1 კონფიგურაციის ჟურნალი თუ $exface reset same_ports deny_in - რთავს ბირთვის NAT-ს em0 ინტერფეისზე პარამეტრებით, გადატვირთავს კავშირის ცხრილს შუა ინტერფეისის IP მისამართის შეცვლისას, ეხმარება პორტების შენახვას და იცავს შეყვანის კავშირებს

$cmd დაამატეთ 1030 nat 1 IP ნებისმიერიდან ნებისმიერზე $exface-ის საშუალებით - გადამისამართებს ყველაფერს, რაც გადის გარე ინტერფეისიდან NAT-ზე

სცენარი შეიძლება დაემატოს სიმღერის მოთხოვნებს.

Zrobimo დამწერლობა vikonuvanim

chmod u+x /etc/ipfw.conf

და სისტემის ხელახლა გამოგონება

4. დააინსტალირეთ და დააკონფიგურირეთ ISC DHCP სერვერი 4.2.

დასაწყებად, თქვენ უნდა შექმნათ პორტების ხე:

portsnap fetch && portsnap ამონაწერი

როგორც ადრე იყო ცნობილი, ეს განახლებულია:

DHCP სერვერის დაყენება შესაძლებელია პორტებიდან:

cd /usr/ports/net/isc-dhcp42-server

გაასუფთავეთ ყველაფერი

საბოლოოდ გადაწყვიტეთ კომპონენტების არჩევანი... ყველაფერს უკან ვტოვებთ.

ინსტალაციის შემდეგ, ფაილი იხსნება /etc/rc.confდა ამაში დავამატებთ:

dhcpd_enable=″YES″

dhcpd_flags=″-q″

dhcpd_ifaces=″em0″

შემდეგ ჩვენ ვხსნით ფაილს /usr/local/etc/dhcpd.confდა ახალში:

უკომენტაროდ

ავტორიტეტული;

რიგის შემდეგ

log-facility local7;

ჩვენ ვშლით ყველაფერს (როგორც ქვემოთ)

და დავწეროთ ასე:

ქვექსელი 192.168.10.0 ქსელის ნიღაბი 255.255.255.0 (

დიაპაზონი 192.168.10.21 192.168.10.151;

ვარიანტი მარშრუტიზატორები 192.168.10.1;

ოფცია domain-name-servers 8.8.8.8, 8.8.4.4;

dhcpd სერვისის დაწყება

სერვისის დაწყება isc-dhcpd

ან ჩვენ ხელახლა რთველის მანქანა

დამოწმებულია სხვა აპარატზე, მაგალითად, ვინდოუსი დაინსტალირებულია XP. კონფიგურირებულ პარამეტრებს შეიძლება ჰქონდეს „ავტომატური IP მისამართის არჩევა“ და „ავტომატური არჩევა DNS სერვერის მისამართი“. თუ XP ვერ დაარეგულირებს საზღვრებს, შეგიძლიათ გააკეთოთ შემდეგი:


თუ სტატია დაგეხმარათ, შეგიძლიათ დაუკავშირდეთ ავტორს:
გადარიცხვა WMR Gamanets-ზე (WebMoney): R301575071888
გადარიცხვა Yandex.Gamanet-ზე: 410011003938168
ან PayPal-ზე: ეს სტატია ეხება FreeBSD-ზე დაფუძნებული როუტერის დაყენებას, რომელიც ასრულებს ინტერნეტის კარიბჭის როლს firewall-ის დაყენებით და მხარს უჭერს Mac მისამართის სტატიკური arp ცხრილს ლოკალურ ქსელში. უკვე ბევრი ბედი არსებობს IPFW-ზე, რომელსაც FreeBSD ერთგულად და ერთგულად ემსახურება, განსაკუთრებით მას შემდეგ, რაც დარჩენილი ვერსიასაწყობი FreeBSD 4.0-ით გამოსწორდა და დაემატა ინტერფეისის მეშვეობით ტრაფიკის ურთიერთდაკავშირების სწორი შესაძლებლობა (მილის ვარიანტი bw ოფციით). მისაღებია, რომ ჩვენ შეგვიძლია გამოვიყენოთ როუტერი სამმაგი შუა დაფებიერთი მათგანი (ე.წ. її vx0, IP 200.200.200.1) გაკვირვებულია b_k ინტერნეტით და მეორე (ე.წ. її vx1, IP 200.200.200.2) გაოცებულია b_k ლოკალური ქსელით რეალური 18 IP მისამართით (სუბნეტი 2020.200.2). მესამე კიდემდე ბარათი (vx2 IP 192.168.1.1 და ზღვარი 192.168.1.0/28) 10 მბ უკავშირდება სასამართლო ოფისის კიდეს. ჩვენს წინაშე დაისვა შემდეგი ამოცანები: 1. 135,137,139 პორტებზე ზარების შიდა ქსელზე წვდომის დაბლოკვა 2. მონაცემები ლოკალური ქსელის მომხმარებლების მიერ ფოსტით და ბრაუზერით WWW-დან დამუშავების შესაძლებლობის შესახებ, FTP სერვერები სხვა კომპანიები. 3. გამორთეთ შეტევების შესაძლებლობა, როგორიცაა SYN Flood, ICMP Flood როუტერზე. 4. უარყოთ წვდომა კორპორატიულ WWW, FTP სერვერზე (200.200.200.5) ამ WWW სერვერზე გამოქვეყნებულ სახელებთან მუშაობისთვის მხოლოდ ლოკალური ლიმიტის ფარგლებში და წვდომა ფაილიდან, რომელიც არის IP 190.190.190.5 5. განბლოკეთ წვდომა კონფერენციაზე თქვენი როუტერის დაყენება სისტემის ადმინისტრატორის მთავარი ჰოსტისთვის. 6. დაიცავით ტრაფიკი IP მისამართებისთვის ლოკალურ ქსელში, რათა დარწმუნდეთ, რომ ვასია მთელი თვის განმავლობაში იყო დაკავებული სურათების ჩამოტვირთვით www.playboy.com-დან. 7. დაადგინეთ ტრაფიკი 64 კბ მესამე -მდნარ ბარათზე მეგობრული კლინტა კომპონენტებისთვის, შო ცნობილია ნაშუ როუტერზე 10 მბ-ით ძალიან მოხარშული. მოდით დავიწყოთ. 1. ბირთვის კონფიგურაცია და სკრიპტების შეფუთვის ვარიანტები. შემდეგი ოფციები უნდა დაემატოს ბირთვს: ოფციები IPFIREWALL (მოიცავს ბირთვში პაკეტების ფილტრაციის კოდს) ოფციები IPFIREWALL_VERBOSE (მოიცავს ფილტრაციის წესებისა და პაკეტების ჩანაწერების შენახვას, რომლებიც გადიან) ოფციები IPFIREEWALL_VERBOSE_LIMIT=10 (საშუალო ჩამონათვალის შესახებ ჩანაწერების პაკეტების რაოდენობა) ოფციები TCP_DROP_SYNFIN (ჩააგდებს TCP პაკეტებს SYN-ით და FIN-ით) შედეგად, სისტემის გადატვირთვისას, ჩვენ ვხსნით ბუხარს, რომელიც ბლოკავს ნებისმიერი IP ტრაფიკის გავლას ყველა ინტერფეისზე. შემდეგი, ჩვენ გვაქვს მნიშვნელოვანი წესები მხოლოდ იმ TCP და UDP პორტების გასახსნელად, რომლებიც აუცილებელია კომპიუტერული სერვერების მუშაობისთვის. თუ გსურთ განსხვავებული მიდგომა - "ყველაფერი ჯერ ღიაა და შემდეგ დახურულია", მაშინ უნდა მიუთითოთ ვარიანტი ბირთვში: პარამეტრები IPFIREWALL_DEFAULT_TO_ACCEPT /etc/defaults/rc.conf-ში მიუთითეთ ვარიანტი: tcp_extensions=" NO" (გათიშეთ "საშიში" TCP გაფართოებები) tcp_drop_synfin="YES" (SYN + FIN ჩართულია) icmp_drop_redirect="YES" (ICMP პაკეტის გადამისამართება იგნორირებულია) icmp_log_redirect="YES" (ICMP REDIRECT logging is enabled) "wall მითითებულია, რომ ჩვენი firewall პარამეტრები ცნობილია rc.firewall-ში, სექციაში "კომპანია") defaultrouter="199.199.199.1" (ჩვენს ISP-ის კარიბჭე) 2. IPFW კონფიგურაცია. ახლა ჩვენ ვიწყებთ IPFW წესების წერას. სინტაქსის უფრო დეტალური აღწერა შეგიძლიათ წაიკითხოთ სახელმძღვანელოში ან man ipfw. მას შემდეგ რაც ჩვენ შევქმნით საკუთარ კონფიგურაციას („კომპანია“), მაშინ უნდა აღვწეროთ ის rc.firewall-ში: # ჩვენ აღწერს ინტერფეისს fw="200. 200.200.1" local="200.200.200.2" კლიენტი="192.168.1.1 " net= "200.200.200.0/28" ნიღაბი = "255.255.255.255.240" # ნებადართული ტრაფიკი ნებისმიერი Via LO0 # დაშვებული ტრაფიკი ადგილობრივი Merezhi-ის მეზობებში $ (FWCMD) დაამატეთ Pass All Any From Any Via Vx1 # ფრაგმენტული შეფუთვა $(fwcmd) დაამატეთ უარყოფა icmp ნებისმიერიდან ნებისმიერ ფრაგმენტზე # ნებას რთავს ICMP პაკეტების გადაცემას $( fwcmd) დამატება ICMP ნებისმიერიდან ნებისმიერზე # ნებას რთავს რობოტს SMTP პროტოკოლით $(fwcmd) დაუმატოს pass tcp ნებისმიერიდან ნებისმიერ 25-ზე out $(fwcmd ) add pass tcp ნებისმიერი 25-დან ნებისმიერ out # ნებადართულია რობოტისთვის HTTPS პროტოკოლით $(fwcmd ) დაამატეთ pass tcp ნებისმიერიდან ნებისმიერ 443 out $(fwcmd) დამატება tcp ნებისმიერი 443-დან ნებისმიერ ნებადართულზე რობოტს, რომელიც რეკავს შიდა კომპანიის სერვერიდან $ (fwcmd) დაამატეთ pass tcp 199-დან. 199.199.10 v00.00 (fwcmd) დაამატეთ გადასასვლელი tcp 200.200.200.5 80-დან 199.199.199.10-მდე vx0 # დაიცავით რობოტი კომპანიის შიდა სერვერისგან $(fwcmd) დაამატეთ უარყოს tcp 200.200.5000-დან. # დაშვებული რობოტი HTTP პროტოკოლით $(fwcmd) დაამატეთ pass tcp ნებისმიერიდან ნებისმიერ 80-ზე vx1-ის საშუალებით დაშვებული რობოტი ყველა პროტოკოლის გამოყენებით # მხოლოდ ჩვენი კომპანიის ლოკალური საზღვრების ფარგლებში $(fwcmd) DNS სერვერები$(fwcmd) დაამატეთ pass udp ნებისმიერიდან ნებისმიერ 53 $(fwcmd) დაამატეთ გადასასვლელი udp ნებისმიერი 53-დან ნებისმიერ # ნებადართულია რობოტისთვის NEWS სერვერებით $(fwcmd) დაამატეთ pass udp ნებისმიერი 119-დან vx1-ის მეშვეობით დაამატეთ pass udp ნებისმიერი 119-დან ნებისმიერი out via vx1 # დასაშვებია ფოსტის მიღება POP3 პროტოკოლით $(fwcmd) დაამატეთ pass udp ნებისმიერიდან ნებისმიერ 110 $(fwcmd) გთხოვთ გაითვალისწინოთ, რომ TCP პროტოკოლის 20 პორტი გამოიყენება მონაცემთა გადაცემისთვის, გარდა პორტი 21. $(fwcmd) დაამატეთ pass tcp ნებისმიერი 21-ისთვის ნებისმიერ $(fwcmd) დაამატეთ pass tcp ნებისმიერიდან ნებისმიერ 21 $(fwcmd) დაამატეთ pass tcp ნებისმიერი 20-დან ნებისმიერ $(fwcmd) დაამატეთ pass tcp ნებისმიერიდან ნებისმიერზე 20 # დაშვებულია წვდომა ssh-ით სახლის აპარატიდან # admin IP 200.200.200.15 $(fwcmd) add pass tcp from 200.200.200.15 22 to (isp) $(fwcmd) add pass tcp from (isp) to 2002 vx2 cards in local network # ї 192.168.1.0/24-მდე vx1-ის მეშვეობით # დაშვებულია რობოტით ბაზის პორტები TCP ინტერფეისზე vx2 $(fwcmd) დაამატეთ pass tcp 192.168.1.0/24-დან ნებისმიერ 25-ზე vx2-ის საშუალებით $(fwcmd) დაამატეთ pass tcp ნებისმიერი 25-დან 192.168.1.0/24-ზე vx2 $(fwcmd) 1.0/10-ზე. vx2 $(fwcmd) მეშვეობით, დაამატეთ pass tcp ნებისმიერი 110-დან 192.168.1.0/24-ზე vx2 $(fwcmd) მეშვეობით, დაამატეთ pass udp 192.168.1.0/24-დან ნებისმიერ 53 udp-ზე ნებისმიერი 53-დან 192.120/5xa-მდე (vi. fwcmd) დაამატეთ pass tcp 192.168.1.0/24-დან ნებისმიერ 80-ზე vx2-ის საშუალებით $(fwcmd) დაამატეთ pass tcp ნებისმიერი 80-დან 192.1-მდე მაქსიმალური გამტარობა vx2 ინტერფეისზე არის 64 Kb. # შემომავალი ტრაფიკისთვის $(fwcmd) დაამატეთ მილის 1 ip ნებისმიერიდან ნებისმიერში vx0-ის საშუალებით $(fwcmd) დაამატეთ მილის 1 კონფიგურაცია bw 64Kbit/s # vx2 ინტერფეისის მაქსიმალური გამტარობა არის 64 Kb. # გამავალი ტრაფიკისთვის $(fwcmd) დაამატეთ მილის 2 ip ნებისმიერიდან ნებისმიერზე vx0-ის საშუალებით $(fwcmd) დაამატეთ მილის 2 კონფიგურაცია bw 64Kbit/s რობოტის წესების შესამოწმებლად შეგიძლიათ სწრაფად გამოიყენოთ პოპულარული TCP/IP NMAP სკანერი (წვდომა FreeBSD საწყობში) მაგალითად, ბრძანების მიცემით: nmap 200.200.200.1 ან nmap 200.200.200.2, ეძებეთ თქვენი ქსელის მისამართის დიაპაზონის გარეთ, ან სთხოვეთ თქვენს ISP-ს. 3. დეტალების დავიწყება Mac მისამართიჩვენ უნდა დავრწმუნდეთ, რომ ჩვენს როუტერს შეუძლია მიიღოს პაკეტები IP მისამართებით, რომლებსაც შეუძლიათ ლოკალურ ქსელში ზარების გაჟონვა ლეგიტიმური TCP/IP პაკეტების საფარქვეშ, რომლებიც შედიან ქსელის დიაპაზონში 200.200.200.0/28. როგორც ირკვევა, ამ ეტაპზე ჩვენ გვაქვს მჭიდროდ დაკავშირებული ცხრილის IP მისამართი MAC მისამართთან ზოგიერთი ბარათიჩვენი ISP როუტერის. ზოგჯერ საჭიროა, როგორც დაუბლოკავი spyware-ის სამყაროში, შეცვალოთ IP მისამართი თქვენი ჰოსტიდან სხვა კომპიუტერის მისამართით, რომელიც, მაგალითად, მდებარეობს გასასვლელში და კონუსში, შესაბამისად. დასაწყებად;) დასაწყებად, თქვენ უნდა შექმნათ MAC მისამართების ცხრილი, სადაც ფორმატი იქნება დაახლოებით ასეთი: petya 00:20:af:4a:3e:e3 00:20:fg:3a:3e: 21 fg:3a:3e: 21 marina 00:20:fg:3a:3e:21 და შეინახეთ ფაილში, მაგალითად /etc/ethers. ჰოსტის Ethernet მისამართის გასარკვევად, თქვენ მხოლოდ უნდა აკრიფოთ arp -a. როდესაც როუტერზე აწარმოებთ arp -f /etc/ethers-ს, ARP პროტოკოლის მუშაობისას Edge ბარათის IP მისამართისა და MAC მისამართის იდენტურობის შესახებ ყველა ინფორმაცია გროვდება /etc/ether ფაილში და იყინება. ამ პროცესის ავტომატიზირება შესაძლებელია როუტერზე arpwatch-ის გაშვებით (FreeBSD პორტებში) და შექმნით ფაილს /etc/hosts თითოეულ ჰოსტზე name_hosts IP_adress წყვილის და /etc/ethers-ის აღწერილობით ჩვეულებრივ გამოყენებულ ფორმატში. თუ აღმოჩნდება, რომ IP მისამართი შეიცვალა, მაშინ arpwatch აგზავნის ფურცელს მომხდარის აღწერით და arp ცხრილი გაყინულია. 4. ვასწორებთ სტატისტიკას. სტრატეგიის შესაქმნელად, ჩვენ გამოვიყენებთ ipfm-ს FreeBSD პაკეტის საცავში შესასვლელად. ინსტალაციის დროს ipfm.sh ფაილი იქმნება /usr/local/etc/rc.d-ში, ხოლო ipfm.conf ფაილი იქმნება /usr/local/etc-ში. ეს არის ზუსტად ის, რაც ჩვენ გვჭირდება რედაქტირება. ახლა დავიწყოთ: ##### FIRST LOGGING CONFIGURATION ##### # ჩვენ აღვწერთ შიდა ზომას, რომლისთვისაც აღებულია სტატისტიკა LOG 200.200.200.0/255.255.255.240 NOT WITH 200.200.0.5.5.5. var/log/ipfm/local_net-%d.%m-%H.%M.%S # დააყენეთ ჩვენს ფანჯარაში შესვლის პერიოდი, ჟურნალი განახლდება # ჯერ 7 დღე გადაჭრით დახარისხება ##### მეორე შესვლა კონფიგურაცია ##### NEWLOG # ჩვენ აღწერს ჩვენი კლიენტის შიდა ქსელს 192.168.1.0/24 ქვექსელი 192.168.1.0/255.255.255.0 NOT WITH 192.168.0.0/255.255-m%m.0.0. H.%M .%S # შესვლა ერთი კვირის განმავლობაში TIME 1 დღე დახარისხება გადაწყვეტილების მიღებაში თუ გჭირდებათ უფრო დეტალური ინფორმაცია პროტოკოლებზე და გადაცემული პაკეტების რაოდენობაზე, შეგიძლიათ სწრაფად გამოიყენოთ დათვლის ვარიანტი ipfw-ში: # დაიცავით შეყვანა გამავალი ტრაფიკი HTTP პროტოკოლის საშუალებით ipfw დაამატეთ count tcp ნებისმიერიდან ნებისმიერ 80-ში vx0 ipfw დაამატეთ count tcp ნებისმიერიდან ნებისმიერ 80-ში vx0 # თუ გსურთ მიიღოთ სტატისტიკა კონკრეტული IP მისამართიდან, უბრალოდ შეიყვანეთ იგი ასე: ipfw დაამატეთ დაითვალეთ tcp ნებისმიერიდან 200.200.200.3-მდე vx1 de 200.200.200.3-ში ეს არის koristuvach-ის IP მისამართი, მაგალითად, ვასია დაინტერესებულია გრაფიკული ფაილებით www.playboy.com-დან. თქვენ ასევე შეგიძლიათ დაბლოკოთ წვდომა თქვენს საიტზე, მაგალითად, ამ მეთოდის გამოყენებით: ipfw add log deny all from any to www.playboy.com ჟურნალში ჩაწერით, სცადეთ შემდეგი ნაბიჯი. გრაფიკული სტატისტიკა დაფუძნებული იქნება შენახულ MRTG (Multi Router Transfeer Grapheer) პაკეტებზე, როდესაც არჩეულია როუტერზე გაშვებული snmp აგენტი. ასევე აუცილებელია როუტერზე თავდასხმის აღმოჩენის შესაძლებლობების დაყენება, რაც სხვა სტატიის თემაა.

ფრიუხას სადისტრიბუციო კომპლექტს ხშირად უწოდებენ ყველაზე შესაფერისს ლოკალურ კიდეზე გამოყენებული ზღვრის მართვის უმაღლესი დონისთვის. დღეს ჩვენ გადავწყვეტთ ერთ-ერთ ყველაზე მნიშვნელოვან ამოცანას - Freebsd 10-ზე კარიბჭის დაყენებას ადგილობრივი ტერიტორიიდან ინტერნეტში წვდომისთვის. ეს არის მარტივი, პოპულარული და მომთხოვნი სერვერის ფუნქცია, რომელიც შეიძლება გაფართოვდეს დამატებითი შესაძლებლობებით.

ჩვენ განვიხილავთ სისტემის მომავალ ვერსიას, რათა განაახლოს ჩვენი ქარხანა კარიბჭის დაყენებით:

# uname -v FreeBSD 10.2-RELEASE-p8 #0 r292756M: შაბ, 26 დეკემბერი 22:49:34 MSK 2015 წ. [ელფოსტა დაცულია]:/usr/obj/usr/src/sys/GENERIC

სერვერზე დაინსტალირებულია 2 პირას ბარათი:

  • hn0- გარე ინტერფეისი, განსაზღვრავს ინტერნეტს პროვაიდერისგან, კონფიგურირებული dhcp-ის საშუალებით
  • hn1— ლოკალური საზღვარი, მისამართები 10.20.30.1, დაინსტალირებული ხელით

freebsd როუტერის პროგრამული უზრუნველყოფის ჩვენი დაყენება მოიცავს სერვერზე მარშრუტიზაციის დაყენებას, ipfw-ის ინსტალაციას და დაყენებას, nat-ის ჩართვას, ლოკალური dhcp და dns სერვერის დაყენებას.

სერვერის მომზადება კარიბჭის დაყენებამდე

ინფორმაცია იჯარის შესახებ dhcp სერვერის dnsmasq შეგიძლიათ იხილოთ ფაილში /var/db/dnsmasq.leases.

შუალედური აქტივობის ანალიზი freebsd-ში iftop-ის დახმარებით

ზოგჯერ გსურთ ნახოთ რა არის როუტერზე და ვინ იყენებს ინტერნეტს ამ მომენტში. თუმცა, სისტემას არ აქვს ამ ინფორმაციის წაშლის მზა მეთოდი. მოდი დაგვეხმარო მარტივი პროგრამა iftop, რომელიც საშუალებას გაძლევთ ნახოთ აქტივობა მონიტორინგის ინტერფეისზე რეალურ დროში.

ინსტალაციადია iftop Freebsd კარიბჭის დასაყენებლად:

# pkg დააინსტალირეთ iftop

გაუშვით iftop დანიშნული ინტერფეისიდან და არჩეული პორტების ჩვენება:

# iftop -i hn1 -P

ვნახოთ შესანიშნავი სურათი - ვინ, სად, რომელ პორტში და რომელი ლიკვიდობით.

მაგალითად, მე გავუშვი ინტერნეტ ტრაფიკის გენერატორი ჩემს ერთ-ერთ კომპიუტერზე. მან დაიპყრო მთელი არხი და ის სასწაულებრივად ხილული გახდა როუტერზე iftop-ის გამოყენებით. რა თქმა უნდა, ეს მარტივი პროგრამა არ ეხება საზღვრების აქტივობის მონიტორინგს, არამედ იძლევა ნაკადის სურათს, თუ სხვა არაფერი გჭირდებათ.

ვისნოვოკი

მოდით შევხედოთ რა გამოიმუშავეთ. მოკლე საათში ჩვენ დავაყენეთ სრულფასოვანი კარიბჭე (ფაქტობრივად პროგრამული როუტერი), რომელიც დაფუძნებულია Freebsd 10-ზე, რათა უზრუნველვყოთ ინტერნეტზე წვდომა სერვერის უკან კლიენტებისთვის. ამ შემთხვევაში, პარამეტრები ავტომატურად რეგულირდება. ნავიტი მოკრძალებულზე ვირტუალური სერვერიასეთი შენობის კარიბჭე შეიძლება გაუმკლავდეს უამრავ მოძრაობას.

ყველა დაყენებას ფაქტიურად 10-15 წუთი სჭირდება. დროის უმეტეს ნაწილს ბირთვების შეგროვებაში ვატარებ. Freebsd-ის რომელი ვერსიაც უფრო მაღალია, თქვენ მიიღებთ მეტ ფულს, მიუხედავად იმისა, რომ ჩამოტვირთვის ლიკვიდურობა მნიშვნელოვნად გაიზრდება.

მოდით გავიაროთ პუნქტები და გავარკვიოთ, რა შევაგროვეთ ჩვენ თვითონ:

  1. ჩვენ მოვამზადეთ სერვერი კარიბჭის დაყენებამდე.
  2. ჩვენ ხელახლა შევარჩიეთ ბირთვი საჭირო პარამეტრებით.
  3. ჩვენ დავაყენეთ ipfw და nat, ჩავრთეთ მარშრუტიზაცია.
  4. დაინსტალირებული და კონფიგურირებულია dnsmasq განაწილებისთვის მერეჟევიხმა ჭკუაზე dhcp და dns სერვერის საშუალებით.
  5. ჩვენ დავაინსტალირეთ iftop გარე ინტერფეისზე ქსელის აქტივობის უმარტივესი ანალიზისთვის.

ეს საკმარისია იმისათვის, რომ კარიბჭე სწორად იმუშაოს Freebsd 10-ზე. ვინაიდან საჭიროა კლიენტის ტრაფიკის მხარდაჭერა ან სხვა რესურსებზე წვდომის შეზღუდვა, ამის გაკეთება შესაძლებელია.

თქვენ გაქვთ საკუთარი ადგილობრივი საზღვარი,
თქვენ გადაწყვიტეთ, რომ გჭირდებათ ინტერნეტთან დაკავშირება ვიდეო ხაზის საშუალებით. კარგი, რა კარგი გამოსვლაა, დღეს ვეცდები შენთვის
ცოტათი დავეხმაროთ 🙂 დავასრულოთ FreeBSD-ის ინსტალაცია, ზოგიერთი ჩვენი შეცდომა
უსაფრთხოება, ჩვენ წინასწარ უნდა ვიზრუნოთ მასზე 🙂 ვირუსით ყველაფერი, უთხარით
მტკიცედ მუნჯი :), რა გვჭირდება და მერე ჩართეთ 🙂 როცა სისტემა დაინსტალირდება, ჩაირთვება თქვენთვის
„რატომ გაგიკვირდებათ პორტების კოლექცია?“, თქვით ასე. ჩვენ დაუყოვნებლივ დავაინსტალირებთ დანამატს
უსაფრთხოების პროგრამული უზრუნველყოფა. მოდი გადავიდეთ უსაფრთხოების განყოფილებაში და იქ ავირჩიოთ პროგრამა, სახელად PortSentry, მოგვიანებით გვექნება 🙂 ინსტალაციის შემდეგ, უნდა შევადგინოთ
ბირთვი... საფუძვლად ავიღოთ მზა GENERIC ბირთვი. ის უნდა მდებარეობდეს მისამართის უკან /sys/i386/conf. დაწერეთ ახალი ბირთვი სისტემისთვის, არაფერი დაგჭირდებათ (მაგალითად, არ დაგჭირდებათ USB, COM, LPT, SCSI, RAID და სხვა მოწყობილობების მხარდაჭერა, რომლებიც არ იქნება გამოყენებული სისტემაში, მოიგო USB არ არის საჭირო და არ დაგჭირდებათ როუტერი, მოწყობილობების დაკავშირება USB მხარდაჭერით და ა.შ. და ასე შემდეგ, ეს კიდევ უფრო გააუმჯობესებს სისტემის სიჩქარეს მთლიანობაში. დეტალური ინფორმაციათქვენ ნახავთ მას LINT ფაილში). შემდეგ ახალ ბირთვში ჩვენ ვამატებთ შემდეგ რიგებს:

ოფციები IPFIREWALL #Enable firewall support
ოფციები IPDIVERT #ეს პარამეტრი საჭიროა NAT მუშაობისთვის
ოფციები IPFIREWLL_VERBOSE # მიეცით ფეიერვოლს ჩაწეროს ჟურნალები
ოფციები IPFIREWALL_VERBOSE_LIMIT=10 # ჟურნალის ჩანაწერების გაცვლა მონაცემებისთვის
ოფციები TCP_DROP_SYNFIN #მარცხენა პაკეტები არ მიიღება
ოფციები ICMP_BANDLIMIT #ეს ვარიანტი განკუთვნილია DOS შეტევების თავიდან ასაცილებლად :)
ვარიანტები ACCEPT_FILTER_DATA #მე ვაფასებ ამ ვარიანტს 🙂
ოფციები TCP_RESTRICT_RST #ეს ვარიანტი ასევე გამორთულია

config proxy, cd ../../compile/proxy, make depend, make, make install

მემგონი სულ ეს იყო, მაგრამ შენ შეადგინე შენი ბირთვი, რადგან კომპილაციამ არ იმუშავა
დავმუნჯდი - გაოგნებული დავრჩი, იქნებ ასე ვერ მივხვდი, ასეც ხდება და ისევ ეცადე ბირთვის აღებას. ამის შემდეგ, სისტემები დაუყოვნებლივ გადაიტვირთება. და ჩვენი მანქანა შეიძლება დაინტერესდეს ახალი ბირთვით. ბოლოს და ბოლოს, ვისი არა
არ არის საჭირო მისი შეცვლა - სისტემის განახლება შესაძლებელია ძველი ბირთვით. ვისთვის
გთხოვთ, თუ ამბობთ, რომ გსურთ განახლების რეჟიმში გადასვლა, დააჭირეთ Enter, იქ
მიეცით ბრძანება unload, შემდეგ ჩატვირთეთ kernel.old და ჩატვირთეთ. ესე იგი, სისტემა შეპყრობილია ძველი ბირთვით.

სარეკლამო ნივთებისთვის სისტემა ამოწმებს გააქტიურებამდე 9 წამით.
მივდივართ /boot საქაღალდეში და იქ არის loader.conf ფაილი, იქ უნდა დავამატო შემდეგი მწკრივი
boot_autodelay=0, ასე რომ დარწმუნდით, რომ სისტემა 9 წამის განმავლობაში არ ამოწმებს კორისტუვაჩის დადასტურებას, ასევე გვჭირდება სისტემა სწრაფად შევიდეს ონლაინში ხელახლა ჩართვისას :) შემდეგ გადავალთ
/ etc საქაღალდეში და ვიწყებთ rc.conf ფაილის რედაქტირებას. ქვემოთ მე დავამატებ რამდენიმე კომენტარს, ასე რომ, მოდით, დაგიბრუნდეთ
არ იქნება რთული:

hostname="zlobix.evil.com" #მერეჟევე შენი მანქანა
firewall_enable="YES" #ჩართეთ firewall
firewall_script="/usr/local/etc/firewall.conf" #ფაილში firewall პოლიტიკით
firewall_type="close" #Firewall ტიპის, დანიური ტიპიიცავს ყველაფერს!
firewall_logging="YES" #მოაწესრიგეთ ჩვენი firewall და დაწერეთ ჟურნალები
natd_program="/sbin/natd" #აქ ნათდ დემონს
natd_interface="ed0" #ამ ინტერფეისზე გვექნება NAT, ინტერფეისი უნდა იყოს დაკავშირებული ISP-თან (ინტერნეტ სერვისის პროვაიდერი)
tcp_extension="არა" #გამორთეთ არაუსაფრთხო გაფართოებები TCP/IP-ისთვის
tcp_keepalive="YES" #ამ პარამეტრის დაყენებით, თქვენი როუტერი ნაკლებად გაიღვიძებს
მდგრადია DOS შეტევების მიმართ.
tcp_drop_synfin="YES" #მარცხენა პაკეტები არ მიიღება
tcp_restrcit_rst="YES" #არ მახსოვს რას ნიშნავს, მაგრამ გირჩევთ ჩართოთ :)
icmp_drop_redirect="YES" #არ მუშაობს ICMP-თან
პაკეტები
icmp_log_redirect="YES" #ლოგიკური ICMP პაკეტების თვალყურის დევნება ხდება
ifconfig_lo0="inet 127.0.0.1" #loopback მისამართის დაყენება,
შეავსეთ აქ ინსტრუქციის მიხედვით

ifconfig_ed0="inet 167.65.89.147 nemask 255.255.255.192" #ჩვენ გვაქვს ეს ამ აპლიკაციისთვის
ინტერფეისი უნდა ნახოთ bik პროვაიდერთან, სადაც ed0 არის ინტერფეისი, inet
IP მისამართი მოწოდებულია პროვაიდერის მიერ, netmask არის წყალქვეშა ნიღაბი.

ifconfig_ed1="inet 192.168.0.1 ქსელის ნიღაბი 255.255.255.0"

ifconfig_ed1_alias0="inet 192.168.1.1 netmask 255.255.255.0" # შეგიძლიათ დაამატოთ სტრიქონი ერთი კიდეის ინტერფეისში
IP მისამართი (IP aliasing) გადადის ამ აპლიკაციაში, რადგან ჩვენი ქსელი ლოგიკურად იყოფა ორ ქვედანაყოფად 192.168.0.0/24 და 192.168.1.0/24 de /24
- ნიღაბი კოდი CIDR მეთოდისთვის, რომელიც მიუთითებს
მასალები 255.255.255.0

syslogd_enable="YES" #ჩართავს დემონს
ჩვენ ვართ პასუხისმგებელი ჟურნალებზე
inetd_enable="არა" #Virubay ამ სერვისს უხდება!
named_enable="არა" #მოგესალმებით, ნუ გამოიყენებთ თქვენს როუტერს DNS სერვერად 🙂
nfs_client_enable="NO" # ქვემოთ მოცემული სამი პარამეტრი მიუთითებს ქსელის ფაილური სისტემის მხარდაჭერაზე, ჩემი სიამოვნება იგივეა
nfs_server_enbale="არა"
nfs_reserved_port_only="არა"
fsck_y_enable="YES"
portmap_enbale="არა" #ჩართეთ პორტმაპერი
sshd_enbale="YES" #ჩართეთ ssh, რათა ჩვენი როუტერი დისტანციურად გამოვიყენოთ :)
sshd_programm="/usr/sbin/sshd/" #გზა ssh დემონისკენ
sshd_flags="" #სთხოვეთ sshd-ის დაწყება, რადგან არ იცით როგორ გააკეთოთ ეს
defaultrouter="167.65.89.1" #საუკეთესო როუტერი ჩვენი პროვაიდერისგან
getaway_enbale="YES" #ჩართეთ კარიბჭე ჩვენს აპარატზე
icmp_bmcastecho="არა" #Virubaemye vіdpovidі ექო პროტოკოლზე ICMP, მაგრამ ჩვენი ნერვების გადასარჩენად 🙂
cron_enable="არა" #არ ვიცი, ჩართავს თუ არა უმეტესობა Cron-ს, მე გამოვრთე, არ მჭირდება ფრაგმენტები როუტერზე.
clear_tmp_enable="YES" #tmp დირექტორიას გასუფთავება, როდესაც სისტემა გავლენას ახდენს
lpd_enable="არა" #Friends არ გაგაღვიძებენ როუტერიდან, ამიტომ გამორთე
usbd_enable="არა" #ვირუსული დემონი USB მოწყობილობების მხარდასაჭერად
sendmail_enable="არა" #სენდმაილის გათიშვა, ადგილის პოვნა FreeBSD-ით, იცოდე ამიერიდან ყველა სარგებელი :))))
kern_securelevel_enable="YES" #უსაფრთხოების ჩართვა
kern_securelevel="0" #უსაფრთხოების ტიპის ინსტალაცია

ასე რომ, მას შემდეგ რაც დავიწყებთ rc.conf-ს, ჩვენ უნდა დავაკონფიგურიროთ ჩვენი როუტერი DNS-თან მუშაობისთვის, რისთვისაც გახსენით resolv.conf ფაილი იმავე საქაღალდიდან და ჩაწერეთ იქ:

nameserver="167.65.88.18" #DNS სერვერის მისამართები ჩვენი პროვაიდერის
nameserver="167.65.88.17" #ჩვენი პროვაიდერის სარეზერვო DNS სერვერის მისამართები

როგორც უკვე გესმით nameserver=""-ის შემდეგ თათები მიუთითებს
DNS სერვერის IP მისამართები. ლოკალური ქსელის DNS სერვერი უფრო ლამაზია, ღმერთმა ქნას 🙂 მოვიდა ssh.
ჩვენ უნდა უზრუნველვყოთ ეს 🙂 და ხელი შევუწყოთ დაცვას,
შემდეგ გადადით /etc/ssh საქაღალდეში და გახსენით sshd_config. შეტევას ვაპირებ:

#sshd_config
პორტი 666 #ამ პორტზე გვექნება ssh შეტყობინებები 🙂
პროტოკოლი 2 #Vikorist-ის მონაცემთა გადაცემის ყველაზე უსაფრთხო მეთოდი
PermitRootLogin no # მოიცავს სისტემაში root-ის სახით შესვლის შესაძლებლობას, ჩვენი საჭიროებისთვის ჩვენ ვქმნით სპეციალურ ანგარიშების მენეჯერს :)
PrintLastLog yes # აჩვენებს ბოლო შესვლის თარიღს სისტემამდე
PermitEmptyPasswords no #აკრძალავს მომხმარებლების შესვლას ცარიელი პაროლით

ახლა, როდესაც ჩვენ დავსახლდით, მოდით გადავიდეთ firewall-ზე.

აპლიკაცია © 2022 მობილური და კომპიუტერული გაჯეტები