Главная » Linux

Linux on the router

Содержание
  1. Выполняю установку, настройку, сопровождение серверов. Для уточнения деталей используйте форму обратной связи
  2. Обзор ОС’ов для роутера : 2 комментария
  3. Сайт ARNY.RU
  4. Выбор дистрибутива
  5. IPCop
  6. PfSense

Выполняю установку, настройку, сопровождение серверов. Для уточнения деталей используйте форму обратной связи

В статье будет рассмотрено несколько дистрибутивов специально заточенных для задач маршрутизации.

1) Vyatta

Специализированный Linux-дистрибутив для создания маршрутизаторов и межсетевых экранов — Vyatta, основанный на кодовой базе Debian GNU/Linux, но при этом содержащий в себе ряд оригинальных разработок. Компания Vyatta разрабатывает данный дистрибутив для своих аппаратных платформ, но поддерживает возможность его использования и на обычных компьютерах. Управление может производиться через Web-интерфейс или из командной строки в стиле Juniper. Имеются модули для создания VPN, организации кеширования трафика, фильтрации трафика на основе анализа содержимого IP-пакетов, ограничения доступа посредством специальных правил и URL фильтров

2) m0n0wall

Мини-дистрибутив на базе FreeBSD 6.4 для создания сетевых шлюзов. Дистрибутив снабжен простым и удобным web-интерфейсом для настройки всех параметров системы, поддерживает сохранение всей конфигурации в виде единого XML файла. Из функций можно отметить: поддержка работы в качестве беспроводной точки доступа, 802.1Q VLAN, firewall, NAT, ограничение трафика, мониторинг трафика с генерацией SVG графиков, SNMP-агент, DNS cache, DynDNS клиент, IPSec, клиент/сервер для PPTP VPN, PPPoE, 802.1Q VLAN, DHCP.

3) pfSense

Для организации совместного доступа в Сеть и защиты внутренних ресурсов администраторы со стажем предпочитают использовать специализированные мини-дистрибутивы, построенные на базе урезанных версий Linux или BSD. C их помощью можно легко превратить маломощный комп в надежный маршрутизатор. К подобным решениям как раз и относится pfSense.
Этот проект был начат в 2004 году, как ответвление от проекта m0n0wall для встроенных систем, ориентированное на полную установку на ПК. Также pfSense предлагает встроенные образы для установки на Compact Flash, однако это не является основным направлением.
Дистрибутивы для полной установки на ПК доступны в виде LiveCD образов объемом 55-65 Mb. При загрузке с LiveCD диска уже доступна полнофункциональная рабочая система. При этом конфигурацию возможно сохранить на флопи-диск для восстановления при следующей загрузке. К ограничениям в режиме LiveCD относится отсутствие возможности установки пакетов Packages. Для их использования необходимо установить систему с LiveCD на жесткий диск.

4) Alpine Linux

Alpine Linux является разрабатываемой сообществом операционной системой для развертывания на платформе x86 маршрутизаторов, межсетевых экранов, серверов VPN и VoIP. Дистрибутив сформирован с претензией на повышенную безопасность и собран с патчами PaX (http://pax.grsecurity.net/) и SSP (http://www.trl.ibm.com/projects/security/ssp/) (Stack Smashing Protection)
Загрузочный образ занимает всего 200 Мб, в качестве системой библиотеки используется uClibc, а в качестве стандартных утилит — BusyBox.

5) IPFire

Официальный сайт http://www.ipfire.org/

IPFire отличается предельно простым процессом установки и организацией настройки через интуитивно понятный web-интерфейс, изобилующий наглядными графиками. Размер установочного iso-образа составляет всего 67 Мб. Для установки дополнений в IPFire используется специальный пакетный менеджер Pakfire.

Система модульная, кроме базовых функций пакетной фильтрации и управления трафиком для IPFire доступны модули с реализацией системы для предотвращения атак на базе Snort, для создания файлового сервера (Samba, FTP, NFS), почтового сервера (Cyrus-IMAPd, Postfix, Spamassassin, ClamAV и Openmailadmin) и сервера печати (CUPS), организации VoIP шлюза на базе Asterisk и Teamspeak, создания беспроводной точки доступа, организации потокового аудио и видео-сервера (MPFire, Videolan, Icecast, Gnump3d, VDR).

Читайте также:  Rar machine mac os

6) Untangle Gateway

Официальный сайт http://www.untangle.com

Untangle Gateway — новый стабильный релиз основанного на Debian GNU/Linux специализированного дистрибутива для организации файрволлов и сетевых шлюзов. Главной особенностью этого выпуска является новое приложение для однородной интеграции с другими Untangle-системами или файрволлами сторонних производителей по протоколу IPsec (в списке протестированных платформ – Cisco, Sonicwall и Astaro).

7) BSD Router Project

Основан на FreeBSD 8.2 и предназначен для создания компактных программных маршрутизаторов, поддерживающих широкий спектр протоколов, таких как RIP, OSPF, BGP и PIM. Размер загрузочного образа составляет всего 18 Мб. Дистрибутив может работать на системах с 128 Мб ОЗУ и накопителях, размером 256 Мб. BSDRP не поддерживает web-интерфейс, всё управление производится в режиме командной строки через CLI-интерфейс, напоминающий Cisco.

Основные характеристики дистрибутива:

  • В комплект входят три пакета с реализацией поддержки протоколов маршрутизации:
    • Quagga 0.99.20: BGP, RIP, RIPng, OSPF v2, OSFP v3 и ISIS;
    • BIRD 1.3.3: BGP, RIP, RIPng , OSPF v2 и OSFP v3;
    • mrouted 3.9.5: поддержка протокола мультикаст-маршрутизации DVMRP (Distance Vector Multicast Routing Protocol);
  • Ядро FreeBSD и пакет BIRD модифицированы для параллельного использования нескольких обособленных таблиц маршрутизации (FIB). В сумме поддерживается ведение до 16 независимых таблиц маршрутизации, привязанных к реальным и виртуальным интерфейсам;
  • Для мониторинга и управления может использоваться SNMP (net-snmp 5.7). Поддерживается экспорт данных о трафике в форме потоков Netflow;
  • Для оценки производительности сети в состав входят такие утилиты, как NetPIPE, iperf, netblast, netsend и netreceive. Для накопления статистики о трафике используется fprobe;
  • Наличие freevrrpd 1.0 с реализацией протокола VRRP (Virtual Router Redundancy Protocol, RFC 3768) и ucarp 1.5.2_1 с поддержкой протокола CARP, предназначенных для организации работы отказоустойчивых маршрутизаторов путём привязки к активному серверу виртуального MAC-адреса, в случае сбоя перемещающегося на запасной сервер. В штатном режиме нагрузка может быть распределена на оба сервера, но в случае сбоя первый маршрутизатор может взять на себя нагрузку второго, а второй — первого;
  • mpd 5.5 (Multi-link PPP daemon) с поддержкой PPTP, PPPoE и L2TP;
  • Для управления пропускной способностью предлагается использовать шейпер из состава IPFW или систему очередей ALTQ;
  • Для Ethernet поддерживается работа с VLAN (802.1q), агрегация линков и использование сетевых мостов с задействованием протокола Rapid Spanning Tree Protocol (802.1w);
  • В состав входят DHCP-сервер и клиент isc-dhcp 4.2.2, а также почтовый сервер ssmtp 2.64;
  • Поддержка управления через SSH, последовательный порт, telnet и локальную консоль. Для упрощения администрирования в комплект входит утилита tmux 1.5 (BSD-аналог screen);
  • Загрузочные образы сгенерированы на основе FreeBSD 8.2 при помощи скрипта NanoBSD;
  • Для обеспечения обновления системы на Flash-карте создаётся два раздела, при наличии обновлённого образа, он загружается во второй раздел, после перезагрузки этот раздел становится активным, а базовый раздел ожидает появления очередного обновления (разделы используются по очереди);
  • Для каждого файла имеется контрольная сумма sha256, что позволяет проконтролировать целостность информации;
Читайте также:  What is windows operating system fundamentals

Обзор ОС’ов для роутера : 2 комментария

может вы этим и не занимаетесь, но нужен совет по работе untangle, если можете помочь, буду признателен

Источник

Сайт ARNY.RU

Не знаю насколько это была хорошая идея, но мне срочно понадобился роутер, а под рукой был только старый компьютер. Покупать новый.. 2000 рублей не лишние, «высиживать AVITO» чтобы c 50% вероятностью купить глючное устройство, зато «задёшево» — тоже как-то не очень.

А компьютер не потянет ничего лучше XP и значит светит ему дальняя дорога.. Подумал-подумал.. попробую. Некоторое время потребовалось чтобы компьютер перебрать, уж что-что, а это я умею — выкинуть 2 плашки памяти (осталась Kingston 512Mb DDR PC3200), туда же жесткий диск IDE 80Gb, заменить CR2032 батарейку BIOS, заменить термопасту на процессоре (Barton 2600+), промыть и переставить вентиляторы в потребные места корпуса. Покопавшись в заначке («..ничего не выбрасывать. «), нашел 3 PCI сетевые карты на 100Mbit — 3Com 905C, VIA, IC+ IP100A. Последняя оказалась нерабочей и благополучно ушла в мусорку. Со встроенным Reatek’ом всего получилось 3 сетевых интерфейса.

Выбор дистрибутива

Про славные роутеры на линуксе наслышан еще с 2004 года, но вот трогать руками не доводилось. Яндекс в помощь, сначала меня заинтересовал проект Untangle — все так красиво и заманчиво. Дистрибутив 500Mb — мощно! Долго-предолго искал болванку, она оказалась последней. Очень аккуратно чтобы не запороть записал ISO. Системные требования подходящие: We recommend at least a Pentium 4 Processor (or a similar AMD processor), 80 GB hard drive, 2 network cards, and 1 GB of memory. Думаю, если памяти ну совсем будет мало, тогда найду еще планку. На всякий случай посмотрел «дополнительные железные требования» — нет, все в порядке, незачем волноваться, вот говорят сотрут все данные на диске — это нормально. Установщик радостно сказал, что CPU — Ok! RAM — Ok! и начал копировать файлы. Минут через 30 копирование завершилось и пошла перезагрузка, в самом конце которой, увидел надпись — ..процессоры без SSE2 не поддерживаются.. — дословно и кнопка Okey. Вот такие люди мне нравятся больше всего — просто красавцы 🙂 Болванка ушла в мусорку.

IPCop

Следующий проект IPCop — сначала меня он не сильно вдохновил, весит дистрибутив всего 60Mb, хотя последнее 2.1.9 обновление 2015 года, но на него нет дистрибутива. Скачал ISO 2.1.8, записал на флешку, установщик начал устанавливать, потом проверил оборудование, не нашел CD-ROM и на этом все. Тут я еще раз с благодарностью вспомнил Untangle, которые съели мою последнюю болванку. Решение нашлось быстро:

Скачал утилиту, сделал все как сказано — не записывает. Как побороть, описано там же — убить Explorer. Записал, начал инсталляцию и вот, что хочу сказать — IPCop вещь. Все сетевухи распознались правильно, для каждой из них выбирается цвет, где RED — сетевая, смотрящая в интернет, а GREEN — в локальную сеть (остальные настраиваются произвольно). После установки и перезагрузки можно локально зайти как root, набрать setup и перенастроить все параметры, help выдает много команд, это радует.

Читайте также:  Арч линукс как установить рядом с windows

В «веб-морду» можно попасть только с удаленного узла, набрав https://IP:8443, где IP — адрес «зеленого» интерфейса, ну и присоединиться шнуром нужно понятное дело тоже к нему. Все здесь есть, все красиво — загляденье, сразу автоматом определилось обновление 2.1.9 и предложило себя установить. Установка прошла моментально — замечательно. Есть необходимый мне проброс портов:

При включении, выключении и при настройке интерфейсов, роутер выдает прикольные звуки а-ля Dendy.

И когда уже все закончил настраивать, то нашел полезную статью (//www.thg.ru/network/ipcop/print.html), которая сэкономила бы час времени, найди я ее раньше и сделай выбор сразу в пользу IPCop — как обычно.

Если решение будет работать стабильно, то ничего другого и не нужно.

Добавление от 01.05.2016
  • Качаем дистрибутив, устанавливаем;
  • Заходим в Web-интерефейс роутера, VPNs->OpenVPN, нажимаем Advanced options, в разделе Push Routes отмечаем чекбокс Geen Network, сохраняем настройки;

  • Запускаем OpenVPN Server. Все настройки можно оставить по умолчанию. Я поменял протокол на TCP и поставил шифрование AES-256;

  • Создаем подключение, нажимаем Add, далее Host-to-Net -> Add, вбиваем Name, User’s Full Name и PKCS12 File Password;

  • Сохраняем файлы для подключения;

  • Распаковываем, кладем в папку Config программы OpenVPN;

  • Запускаем OpenVPN, появится значок программы в трее, правый клик -> Подключиться, вводим пароль, пройдет процесс подключения, после успешного подключения значок станет зеленым;

  • Теперь маршрут в удаленную локальную сеть доступен напрямую, проверяем — пингуем, запускаем RDP-сессии.
Добавление от 06.05.2016

Окончательный вывод: IPCop — очень полезное решение. Старых компьютеров всегда хватает, в том числе старых серверов — два таких сервера и соединение офисов VPN туннелями для небольшой компании готово, а также VPN сервер для удаленных сотрудников. Без вложения средств, с минимальной настройкой, стабильная работа.

Добавление от 05.08.2016

В рекомендациях OpenVPN сказано, что основным является протокол UDP, а TCP нужно использовать только в случае проблем с UDP. Я настроил изначально на TCP и никаких недочетов не заметил — все работает. Возможно на медленном канале TCP не прокатит, но на моем быстром никаких нареканий.

PfSense

PfSense аналогичен по назначению IPCop, но обладает расширенными возможностями, главными из которых являются:

  • Кеширующий прокси-сервер;
  • Возможность интеграции с AD и RADIUS;
  • Многое другое: //libreportal.net/networking/pfsence.html

Соответственно IPCop — для простых решений, где не нужны навороты и дополнительные требования, к примеру — доступ к отдельностоящему, удалённому серверу. Причём, если этот удалённый сервер — сервер виртуализации, то IPCop можно реализовать как виртуальную машину (VM) на этом сервере. На Hyper-V как VM 1 поколения с Legacy LAN-адаптерами.

PfSence — для среднего офиса, где есть AD и необходимость, допустим, ограничить доступ сотрудников к социальным сетям. Это и файрвол, это прокси-сервер, это шейпинг трафика, это работа с LDAP.

Системные требования примерно такие же как у IPCop:

  • CPU минимальный/рекомендуемый — 500Mhz/ 1Ghz;
  • RAM минимум/рекомендовано — 256Mb/ 1Gb;
  • HDD — 1Gb;
  • CD-ROM или USB-порт.

Если потребуется использовать шейпинг трафика, то железо нужно брать с запасом, так как нагрузка на него прилично возрастёт.

Загрузить можно здесь. Установка рассказана тут.

Источник

Оцените статью
© 2024 Советы по настройке компьютера