Xây dựng Linux router và proxy với iptables + squid

Linux router là một hệ thống đứng giữa Internal network và Internet hoặc phân cách một network và một network khác. Linux router là một firewall được xây dựng bằng Netfilter/iptables, luôn có sẵn trên hầu hết các bản phân phối của Linux. Nếu bạn là một người dùng bình thường truy cập internet thông qua modem thông thường, bạn không cần thiết phải có một firewall vì IP của bạn thường xuyên thay đổi, bạn không sử dụng một dịch vụ nào đặc biệt cần được bảo vệ, và hạn chế bởi một tường lửa chuyên dụng....
Nội dung trích xuất từ tài liệu:
Xây dựng Linux router và proxy với iptables + squid Xây dựng Linux router và proxy với iptables + squidLinux router là m ột hệ thống đứng giữa Internal network và Internet hoặc phâncách một network và một network khác. Linux router là một firewall được xâydựng bằng Netfilter/iptables, luôn có sẵn trên hầu hết các bản phân phối củaLinux.Nếu bạn là một người dùng bình thường truy cập internet thông qua modemthông thường, bạn không cầ n thiết phải có một firewall vì IP của bạn thườngxuyên thay đổi, bạn không sử dụng một dịch vụ nào đặc biệt cần được bảo vệ,và hạn chế bởi một t ường lửa chuyên dụng.Đối với môi trường doanh nghiệp, việc triển khai nhiều hệ thống, dịch vụ cầnsự bảo mật, và tối ưu trong quản lí, cả mạng Lan và các truy xuất từ bên ngoàivào, tường lửa là một nhu cầu thiết yếu và tối cần thiết. Các sản phẩm routerphần cứng thường rất mắc và cần sự hỗ trợ t ương đối từ phía cung cấp, trongkhi việc xây dựng riêng một Linux firewall là việc không quá khó, tốn ít tàinguyên + ti ền bạc, mà còn có thể xây dựng một hệ thống all in one tùy theonhu cầu và mục đích, quản lí chặt chẽ và quan trọng là khả năng bền bỉ mà bảnthân Linux mang lại.Bài viết này sẽ cố gắng đưa ra một mô hình cụ thể, cách cài đặt và vận hànhmột Linux Firewall, transparent proxy, DHCP server trên một máy chủ Linux.Mô hình thực hiện với máy chủ có cấu hình : Pentium Dual Core 2.8 GB, 1GBRam và 80GB hard disk, sử dụng centos 5.3 enterprise với các gói c ài đặtchuẩn, không có giao diện đồ họa.Trước tiên hãy mô tả một chút về mô hình network mà ta cố gắng xây dựng:Một công ty sử dụng đường truyền cáp quang từ FPT, với đ ường truyền nàycông ty được cung cấp một đia chỉ IP tĩnh 111.111.111.111, đ ường truyền điqua một router, sau đó đi vào mạng bên trong. Nhu cầu của công ty cần mộtvài dịch vụ web, mail, ftp, vpn....và chia cách, quản lí truy cập từ bên ngoàivào LAN bằng một firewall, proxy. 1. Kiểm sóat luồng truy cập từ b ên ngoài vào mạng LAN. 2. Cấm các truy cập bất hợp lệ từ LAN ra internet 3. Cấm sử dụng các dịch vụ chat (Instant message) từ LAN. 4. Xây dựng một DHCP server tự động cung cấp IP cho mạng LAN.Mô hình mạng được miêu tả như hình.Cách thức họat động: Linux router có 2 netwok cards:eth0 là địa chỉ mặt ngoài tiếp xúc với Modem có địa chỉ là 192.168.1.2eth1 là địa chỉ mặt trong tiếp xúc với LAN có địa chỉ l à 172.16.0.1Trên Router ta triển khai DHCP server cung cấp IP cho toàn bộ mạng LAN.Cũng trên server này ta xây d ựng router và squid proxy để thực hiện các yêucầu đưa ra. 1. DHCP server: Đây là dịch vụ đơn giản và dễ dàng nhất trong bài viết này. Gói cài đặt được cung cấp sẵn + một vài thay đổi nhỏ trong cấu hình là ta đã cấp được IP cho toàn bộ mạng LAN.Dùng yum để download và cài đặt dhcpd:view plaincopy to clipboardprint? 1. [hungnv@home ~]$ sudo yum 2. install dpcp dhcp-devel 3. [sudo] password for hungnv:[hungnv@home ~]$ sudo yuminstall dpcp dhcp-devel[sudo] password for hungnv:Mở file /etc/dhcpd.conf, xóa trắng nếu có nội dung v à thêm vào tương t ự:view plaincopy to clipboardprint? 1. 2. [hungnv@home ~]$ vim /etc/dhcpd.conf 3. 4. # 5. # DHCP Server Configuration file. 6. # see /usr/share/doc/dhcp*/dhcpd.conf.sample 7. # 8. ddns-update-style none; 9. deny bootp; 10. authoritstive; 11. subnet 172.16.0.0 netmask 255.255.0.0 12. { 13. option subnet-mask 255.255.0.0; 14. option domain-name opensource.com.vn; 15. option routers 172.16.0.1; 16. option domain-name- servers ns1.opensource.com.vn, ns2.opensource.com.vn, dns.fpt.vn; 17. #option netbios-name-servers 192.168.0.2; 18. range dynamic-bootp 172.16.0.20 172.16.0.120; 19. default-lease-time 31200; 20. max-lease-time 62400; 21. } 22.[hungnv@home ~]$ vim /etc/dhcpd.conf## DHCP Server Configuration file.# see /usr/share/doc/dhcp*/dhcpd.conf.sample#ddns-update-style none;deny bootp;authoritstive;subnet 172.16.0.0 netmask 255.255.0.0{option subnet-mask 255.255.0.0;option domain-name opensource.com.vn;option routers 172.16.0.1;option domain-name-servers ns1.opensource.com.vn, ns2.opensource.com.vn,dns.fpt.vn;#option netbios-name-servers 192.168.0.2;range dynamic-bootp 172.16.0.20 172.16.0.120;default-lease-time 31200;max-lease-time 62400;}Khởi động dhcp serverview plaincopy to clipboardprint? 1. 2. [root @home ~]# 3. service dhcpd restart 4. Shutting down dhcpd: [ OK ] 5. Starting dhcpd: [ OK ] 6.[root @home ~]#service dhcpd restartShutting down dhcpd: [ OK ]Starting dhcpd: [ OK ]Ở client, dùng dhclient để lấy IP:view plaincopy to clipboardprint? 1. 2. [user@client~]# dhclient eth0 3.[user@client~]# dhclient eth0Sau đó dùng ifconfig để xem IP hiện tại của client này.Squid như là m ột transparent pro ...