AbcLinuxu:/ Poradna / Linuxová poradna / Domácí síť

Štítky: BitTorrent, DHCP, Internet, klient, NAT, PC, Samba, síť, sítě, switch, tablet, Windows

Dotaz: Domácí síť

6.3.2011 10:23 plant
Domácí síť

Přečteno: 1107×

Odpovědět | Admin

Příloha:

sit.png (23489 bytů)

Dobrý den, chystám se zprovoznit síť podle schématu na obrázku (příloha). Bohužel nevím, od čeho se odrazit, protože jsem na internetu článek, který by řešil obdobnou situaci nenašel. Zejména se jedná o nastavení druhého článku řetězu - tedy linuxového PC s firewallem a Sambou. Popis: - první v řadě je brána (wifi AP od poskytovatele - nevím, jestli je IP pevná nebo tam běží DHCP)s IP 10.9.8.1. Přístup ke konfiguraci je za heslem. - druhý by měl být PC s Debianem, na kterém poběží firewall, Samba a Bittorrent klient (tzn. nutný přístup do internetu). Hádám, že je nutné routování, nevím jestli je nutné DHCP nebo NAT - další článek je switch - ze switche se síť větví do PC s Windows 7 - a domácí WiFi AP, které umí DHPC i NAT - na toto WiFi se pružně připojuje několik zařízení, MACem počínaje přes tablet až po Wii

Prosím, můžete mi naznačit, jak jednotlivé uzly sítě nakonfigurovat (stačí obecná informace, kde by měl být dynamické přidělování IP nebo NAT)?

Velice děkuji

A.K.

Řešení dotazu:

Komentář #15 (Matěj Vaňátko, 1 hlasů)
Komentář #14 (Petr Maleček, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

6.3.2011 10:39 poky74 | skóre: 36 | blog: Zápisník | Vrchlabí
Rozbalit Rozbalit vše Re: Domácí síť

A jste si jistý tou skrukturou?

Co je to za AP, nemohl by firewall běžet na tom?

Chcete Linuxové samolepky nebo Tuxe na klíče? ->

6.3.2011 11:16 plant
Rozbalit Rozbalit vše Re: Domácí síť

Jistý si nejsem. Připadá mi to jako ideální řešení, ale pokud to tak nepůjde, budu to muset přehodnotit. Máte nějaký lepší tip? Jestli je tam Firewall nevím, protože to AP je za heslem od providera :(

6.3.2011 11:56 JanM | skóre: 28
Rozbalit Rozbalit vše Re: Domácí síť

poky74 asi myslel ten Váš AP.

Počítám, že to od poskytovatele bude jen wifi klient (AP má poskytovatel někde na stožáru) a debian PC je připojen k tomu klientu kabelem, ne?

6.3.2011 16:38 plant
Rozbalit Rozbalit vše Re: Domácí síť

Ten muj AP bohuzel potrebuji mit v jinem patre, takze ho neni mozne dat pred sit. Ano, Debian je pripojeny kabelem k wifi na strese.

6.3.2011 11:50 NN
Rozbalit Rozbalit vše Re: Domácí síť

Na debianu udelas DHCP server pro celou LAN a AP bude slouzit pouze jeko most adresu od ISP muzes nakonfigurovat staticky/dynamicky. Dale na debianu nakonfigurujes firewall pro NAT/MASQUERADE a filtrovani provozu.

6.3.2011 11:51 NN
Rozbalit Rozbalit vše Re: Domácí síť

Na debianu udelas DHCP server pro celou LAN a AP bude slouzit pouze jako most adresu od ISP muzes nakonfigurovat staticky/dynamicky. Dale na debianu nakonfigurujes firewall pro NAT/MASQUERADE a filtrovani provozu.

6.3.2011 16:52 plant
Rozbalit Rozbalit vše Re: Domácí síť

Ptám se hloupě, ale jak na tom Debianu zařídit, aby pakety z eth0 (pripojeni k ISP) tekly na eth1 (LAN)? Bridge asi není řešení, když potřebuju, aby i ta stanice měla přístup na internet.

6.3.2011 18:47 NN
Rozbalit Rozbalit vše Re: Domácí síť

Kdyz to AP v LAN nastavis jako bridge, muze transparentne predavat DHCP dotazy z routeru a nemusis nastavovat na PA ve vnitrni siti dalsi posit, dalsi DHCP atd..

Ad ten dotaz, komunikace je vetsinou obou smerna tudiz, pokud mas dobre nastavene brany, povoleny FORWARDING a pripadne nakonfigurovany NAT bude smer dovnit fungovat.

6.3.2011 21:07 plant
Rozbalit Rozbalit vše Re: Domácí síť

Diky vsem za snahu pomoct. Zda se, ze obecne informace jsou pro me malo a plodi dalsi dotazy. Zatim mi bude stacit, kdyz rozjedu tok paketu z eth0 na eth1 a dhcp, abych se mohl k serveru pripojit pres ssh. Firewall, sambu a nat na wifine necham na pozdeji. IP od providera opravdu je pridelovana dynamicky - rekneme 10.9.8.15 - je nutne instalovat bind nebo muzu pouzit jiny name server? - jak zjistim IP adresu wifi AP providera, bude to pro me gateway?

Jak asi tusite, nejsem zbehly v tcp/ip, ale makam na sobe.

Diky

6.3.2011 22:44 NN
Rozbalit Rozbalit vše Re: Domácí síť

Muzes pouzit nameserver providera, pokud nepotrebujes z nejakeho duvodu vlastni resolver. Banu muzes ji zjistit pomoci traceroute.

10.3.2011 02:18 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Domácí síť

Až budeš dělat tu wifinu, tak doporučuju nedávat ani NAT, ani DHCP, a udělat z wifi AP obyčejný bridge (tedy klasický obyčejný wifi accesspoint).

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

8.3.2011 09:51 plant
Rozbalit Rozbalit vše Re: Domácí síť

Uvazuji tedy spravne takto?: AP od ISP prideluje dynamicky IP debianu na eth0 (funguje, ven se dostanu). Na eth1 nahodim statickou IP.

/etc/network/interfaces tedy vypada takto:

auto lo eth0 eth1 iface eth0 inet dhcp iface eth1 inet static address 192.168.1.1 (tim chci nadefinovat podsit za routerem) netmask 255.255.255.0 gateway (tady vubec nevim, gateway ma byt v subnetu, ale brana pro me preci je na eth0, tedy 10.9.8.15)

DHCP mam nainstalovany, ale vubec nevim, jak ho nakonfigurovat, aby prideloval IP adresy v podsiti 192.168.1.1

Diky moc za pomoc.

A.K.

8.3.2011 10:58 NN
Rozbalit Rozbalit vše Re: Domácí síť

Jany, jako gateway nic nedas, protoze gateway jsi ty sam, takze tam bude jen address a netmask. Ad DHCP, zalezi jake DHCP mas nainstalovane, bude pro pravdepodobne ISC, nebo udhcp.. konfigurace = manual.

Mimochodem, ten most jsem sminoval proto, zemas v siti krome switche a pocitacu jeste dalsi AP. A kdyz to AP zamojist jako most, muze ti predavat dotazy DHCP ze "serveru" a nemusis na nem konfigurovat dalsi sit a cele reseni se ti podstatne zjednodusi.

8.3.2011 11:25 plant
Rozbalit Rozbalit vše Re: Domácí síť

jj, tak to planuji. Wifi AP bude jenom bridgeovat pakety z pripojenych zarizeni primo na server.

Asi se zeptam blbe, ale ja jsem myslel, ze i gateway musi mit adresu na dalsi gateway, aby vedel, kam odesilat pakety do internetu. Bude stacit takhle konfigurace v interaces nebo musim resit i routovani?

Zkusim to popsat "lidsky"

Mily Debiane, vezmi si na eth0 IP adresu, kterou dostanes od ISP. Na eth1 si vytvor sit se statickou IP a na ni spust dhcp, aby kazdy pocitac, ktery se pripoji ke switchi za tebou dostal svoji IP adresu a mel pres tebe pristup na internet. Zaroven ale mej pristup k internetu sam.

Zda se, ze jsem si ukousl vetsi krajic, nez jsem mel, protoze to i pres intenzivni hledani na googlu nemuzu rozseknout. Opravdu budu moc vdecny za trochu konkretnejsi navod, jak vse nastavit.

Diky moc

A.K.

Řešení 1× (plant (tazatel))

9.3.2011 16:01 Petr Maleček | skóre: 29 | Plzeň - Bolevec
Rozbalit Rozbalit vše Re: Domácí síť

Na tom nevidím vůbec nic složitého.

Na ETH0 ti poběží DHCP klient (to by měl už teď), takže "milý debian" si IP do internetu vezme (pujde na něm internet).

Dále nastavíš pro ETH1 staticky adresu 192.168.1.254 (třeba, nebo 192.168.1.1).

Na ETH1 spustíš DHCP server (konfigurace triviální, hledej zde na abclinuxu). Ten tedy nastavíš tak, že bude klientům dávat následující údaje: - rozsah 192.168.1.2-200 (třeba), brána 192.168.1.1, dns (pokud Ti stačí od poskytovatele), tak IP dns poskytovatele, nebo 8.8.8.8 (což je DNS googlu). Hotovo.

Pak povolíš v jádře IPv4 forwarding a to IP tables dáš dvě pravidla (stavový firewall). Ta pravidla pro forwarding najdeš také zde, ne abclinuxu.

Hotovo.

LinMuck, WinFuck :-P

Řešení 1× (plant (tazatel))

9.3.2011 18:31 Matěj Vaňátko | skóre: 19 | Brno
Rozbalit Rozbalit vše Re: Domácí síť

Zdravím kolego. Ano, přesně tak. Jak říkají kolegové výše, na eth0 ti poběží DHCP klient, který si převezme IP adresu od providera. Tím má sám nakonfigurovanou svoji IP adresu, masku, síť, bránu a ví, kudy do internetu má jít. Ještě je vhodné si zapsat do /etc/resolv.conf i natvrdo DNS servery - providera nebo např. 8.8.8.8 a 8.8.4.4 což jsou DNS od Google.

V tuhle chvíli ten tvůj Debian ví, kudy on sám má jít do netu. Teď zbývá ho už jen "nasdílet" zařízením v tvé vnitřní síti.. Do /etc/network/interfaces tedy, jak si správně řekl, nastavíš eth1 takto

auto eth1
iface eth1 inet static
   address 192.168.0.254 (příklad)
   network 192.168.0.0
   netmask 255.255.255.0
   broadcast 192.168.0.255

Na něm už GATEWAY nezadáváš, protože on sám je tou GATEWAY. On ví, že do internetu se jde přes eth0, protože adresu default-gateway dostane z DHCP od providera. Pak samozřejmě následuje /etc/init.d/networking restart , což zapříčiní nahození eth1 a jeho správnou konfiguraci.

Pak stačí spustit DHCP server, v Debianu 5 je to balíček dhcp3-server, v Debianu 6 to bohužel změnili na isc-dhcp-server nebo tak nějak. Ten nakonfiguruješ např. pomocí návodů na google, možná i tady na abclinuxu.cz nějaké budou. Tím předáš konfiguraci počítačům v LAN a jako default-gateway jim pošleš tu IP adresu eth1, tzn. v tomto případě 192.168.0.254. V tuhle chvíli budou i ostatní vědět, kudy se dostanou do internetu...

Zbývá už jen jediná věc, a tou je, povolit Debianu fungování jako router. Udělá se to strašně jednoduše. Udělej si jednoduchý startovací script, který bude vypadat asi takto. Např. firewall.sh

# Definice základního chování firewallu
iptables -P INPUT DROP # Defaultně zahazuj veškerý příchozí provoz určený jen a jen pro mě (Debiana)
iptables -P OUTPUT ACCEPT # Defaultně povol veškerý odchozí provoz, který generuju jen já Debian
iptables -P FORWARD DROP # Defaultně zakaž směrování (routování) veškerého provozu mezi eth0 a eth1 a naopak

# Tímhle sis nastavil defaultní znění firewallu. Pak už si jen stačí povolit pomocí IPTABLES služby, (jako např. SSH a nebo SMTP či HTTP), které běží přímo na tom Debianu a mají být dostupné i z vnější.

iptables -A INPUT -i eth1 -j ACCEPT # Z LAN může přímo na služby serveru jít jakýkoliv provoz
iptables -A INPUT -i eth0 -p tcp --dport ssh -s 10.10.10.10 -j ACCEPT # Na server se z venčí dostaneš na port služby SSH z adres 10.10.10.10

# No a teď už se povolí jen to routování a na to stačí tato 2 pravidla
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT # Povolí provoz z vnitřní sítě ven
iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
# Povolí provoz z venkovní sítě do vnitřní, ale jen tehdy, byl už provoz z vnitřní sítě ven navázán... Jednoduše řečeno, nikdo nenaváže spojení dovnitř, když ho první nenaváže počítač zevnitř.

# Aby si providerovi nedělal v jeho síti bordel, je nutné aktivovat taky NAT. Na to nikdy nezapomínej. Já jsem na to omylem zapomněl 1x a shodil jsem providerovi 3/4 sítě, jelikož jsem si zvolil tak blbý adresy na vnitřní LANy, že jsem mu kolidoval s bránou. Na to fakt majzla. Takže určitě tam musí být toto pravidlo:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # To ti schová ty interní adresy za 1 adresu eth0. Kdybys měl přidělenou statickou adresu a nebo víc adres, dělá se to jinak. ALe to si dohledáš

# Pak už jen povolíš routování přímo v jádře (snad to říkám správně, nejsem přímo linuxák), a je to
echo "1" >> /proc/sys/net/ipv4/ip_forward
# A tím máš nakonfigurovaný tzv. stavový firewall + NAT a routování by mělo krásně chodit.

On je linux totiž velice chytrej systém a ví, že když mu přijde na eth1 rámec, který má cílovou adresu někam mimo, do sítě, kterou nezná a vidí, že má povoleno routování v /proc/sys/net/ipv4/ip_forward, tak si řekne "Aha, tohle bych měl asi routovat, tak to přeroutuju na eth0 a pošlu na defalut-gateway".. To je vše ;-)

Kdybys měl nějakej problém ohledně iptables této základní konfigurace, dej vědět na ICQ 222 960 497 a klidně rád poradim ;-)

Založit nové vlákno • Nahoru

Tiskni Sdílej: