Firestarter - Zdieľanie internetového pripojenia

Firestarter - Nastavenie zdieľania internetového pripojenia

Firestarter umožňuje zdieľať internetové pripojenie s počítačmi v lokálnej sieti. Toto zdieľanie je vytvorené pomocou techniky, ktorá sa volá Network Address Translation alebo skrátene NAT (preklad sieťových adries). Z pohľadu vonkajšej siete sa celé zoskupenie počítačov javí ako jeden počítač s jednou adresou.

Ak chcete vytvoriť zdieľanie internetového pripojenia, musí te mať aspoň dve sieťové zariadenia na počítači, na ktorom bude firewall. Ak je lokálna sieť správne zostavená, povolenie zdieľania internetového pripojenia sa veľmi jednoducho nastaví zaškrtnutím možnosti buď cez sprievodcu nastavením firewallu alebo cez predvoľby programu.

Fyzické zapojenie a nastavenie sieťových zariadení

A complex NAT setup
Sharing a connection with a local network

Procedúra nastavenie siete, ktorá používa zdieľanie pripojenia, je v podstate rovnaká či už máte dva počítače alebo zložitú sieť s rozbočovačmi alebo prepínačmi, ku ktorým je pripojených mnoho počítačov. V našom príklade použijeme ako zariadenie cez ktoré je pripojený Internet bežnú sieťovú kartu, ale funguje to rovnako aj keď použijeme modem alebo ISDN.

Počítač fungujúci ako firewall/brána je pripojený k sieti Internet musí mať aspoň dve sieťové karty a každá stanica v lokálnej sieti musí mať po jednej.

Prvá sieťová karta vo firewalle, predstavuje vonkajšie rozhranie a je fyzicky pripojená k sieti Internet. Táto karta sa väčšinou automaticky nakonfiguruje cez DHCP. Druhá sieťová karta vo firewalle, predstavuje vnútorné rozhranie a je fyzicky pripojená k druhému počítaču cez tzv. krížený kábel ak je kábel pripojený priamo k druhému počítaču alebo bežným káblom ak máte rozbočovač alebo prepínač.

A simple NAT setup
Sharing a connection with a single computer

Vnútorné rozhranie firewallu vyžaduje ručné nastavenie. Existuje mnoho spôsobov akým sa dá nastaviť sieťové rozhranie, ktoré závisia od použitej distribúcie Linuxu. Fedora a Red Hat Linux sa dodávajú s jednoduchým nástrojom pre príkazový riadok s názvom netconfig a so sofistikovanejším grafickým nástrojom s názvom system-config-network. Nástroj system-config-network pracuje lepšie s viacerými sieťovými kartami v jednom počítači, preto ho odporúčame vyskúšať. Ostatné distribúcie obsahujú vlastné konfiguračné nástroje, napríklad v SuSE môžete použiť program Yast.

Nezáleží na tom ako sa rozhodnete nastaviť sieťové karty. Môžete použíť napríklad takéto nastavenie:

Pre vonkajšie zariadenie (zvyšajne eth0):

  • Zapneme dynamickú IP konfiguráciu (DHCP)
  • To je všetko. O nič iné sa nemusíme starať.

Poznámka prekladateľa: v praxi to nie vždy takto jednoducho funguje, niekedy vám poskytovateľ internetových služieb, pridelí celý rad nastavení, ktoré je potrebné ručne. Nastavenie prebieha rovnako ako to, ktoré je popísané nižšie v časti Ručná konfigurácia klientov.

Vnútorné rozhranie (zvyčajne eth1):

  • Vypneme dynamickú IP konfiguráciu
  • IP adresa: 192.168.0.1
  • Sieťová maska: 255.255.255.0
  • Predvolená brána (IP): <ponecháme prázdne>

Zmeny, ktoré vykonáte sa prejavia až po reštarte počítača, alebo stačí ak reštartujete sieťové služby (vo väčšine distribúcií stačí ak spustíte príkaz "/etc/init.d/network restart").

Konfigurácia klientov

Existujú dva spôsoby ako nakonfigurovať klientské počítače. Elegantnejší a z dlhodobého hľadiska jednoduchší spôsob je spustiť službu DHCP na firewalle. DHCP server distribuuje sieťové nastavenia ako IP adresa počítača, predvolená brána, adresy DNS serverov, atď. počas behu všetkým klientom. Miesto použitia DHCP servera môžeme ešte každú stanicu nastaviť ručne.

Službu DHCP zapneme jednoduchým zaškrtnutím možnosti v programe Firestarter. Viac informácií o službe a o tom, ako sa konfiguruje, sa nachádza v časti nastavenie DHCP servera.

Ak používame DHCP, na klientoch stačí nastaviť aby použili dynamickú IP konfiguráciu. Žiadne ďalšie nastavenia nemusíme meniť.

Ručná konfigurácia klientov

Ak nechcete používať službu DHCP, nastavte sieťové zariadenia klientov podľa nasledujúcich pokynov:

  • Vypnite dynamickú IP konfiguráciu
  • IP adresa: od 192.168.0.2 do 192.168.0.254, každému počítaču nastavte inú IP adresu - žiadne dva počítače nesmú mať rovnakú adresu
  • Sieťová maska: 255.255.255.0
  • Predvolená brána (IP): 192.168.0.1
  • Hlavný DNS server: sem nastavte rovnakú adresu DNS servera akú používa firewall. Správne nastavenie nájdete v súbore /etc/resolv.conf na počítači, na ktorom je spustený firewall.

Reštartujte sieťové služby.

Testovanie nastavenia

Počítače by teraz maili byť pripojené a nastavené hardvéru by malo byť hotové. Ak chcete otestovať, či je všetko ok, skúste urobiť ping bránu z každého klientského počítača a naopak.

Zadajte nasledujúci príkaz na počítači, na ktorom beží firewall, aby ste zistili či má brána spojenie s klientom:

[bash]$ ping 192.168.0.2
PING 192.168.0.2 (192.168.0.2) from 192.168.0.1 : 56(84) bytes of data.
64 bytes from 192.168.0.2: icmp_seq=1 ttl=255 time=1.37 ms
64 bytes from 192.168.0.2: icmp_seq=2 ttl=255 time=0.635 ms
64 bytes from 192.168.0.2: icmp_seq=3 ttl=255 time=0.638 ms

--- 192.168.0.2 ping statistics ---
3 packets transmitted, 3 received, 0% loss, time 2010ms
rtt min/avg/max/mdev = 0.635/0.882/1.375/0.349 ms
[bash]$

V prípade použitia DHCP, sa IP adresy môžu pridelovať náhodne

Ak to nefunguje, problém je buď v hardvéri alebo v sieťovom nastavení. Častou chybou je, že je zle nastavená predvolená brána, preto ju ešte raz skontrolujte.

Ak je nastavenie správne musí platiť:

  • Počítač, na ktorom je spustený firewall, sa vie pripojiť do siete Internet
  • Klienti a firewall si vedia navzájom poslať echo pomocou nástroja ping
  • Klienti sa vedia pripojiť do siete Internet ak je v programe Firestarter povolená možnosť Povoliť zdieľanie internetového pripojenia.

Firestarter - Nastavenie DHCP servera

DHCP je sieťový protokol, ktorý okrem iného môže dynamicky distribuovať IP adresy a ostatné sieťové nastavenia do počítačov. Ak DHCP použijete spolu so zdieľaním internetového pripojenia v programe Firestarter, nebude musieť nastavovať TCP/IP nastavenia na každom počítači v lokálnej sieti zvlášť. Ak používate DHCP a chcete do siete pripojiť nový počítač, potom ho stačí iba pripojiť, a nemusíte nič nastavovať.

Ak je DHCP služba povolená v programe Firestarter a DHCP server je spustený na počítači s firewallom, potom tento počítač cez DHCP systém požičiava adresy klientským počítačom. Pôžička poskytne klientovi všetky potrebné informácie, aby sa vedel pripojiť do siete. Tieto informácie obsahujú jedinečnú IP adresu, ktorá je pre každý klientský počítač iná, adresu predvolenej brány, masku siete a adresy používaných DNS serverov. DHCP pôžička sa dá chápať ako dohoda medzi serverom a klientom, ktorá platí obmedzený čas. 

Zapnutie služby DHCP

Poznámka: Firestarter sám o sebe neobsahuje DHCP server, potrebuje aby mu systém, v ktorom je spustený túto funkciu poskytol. V systéme nemusí byť DHCP server nakonfigurovaný alebo spustený. Stačí ak sa program dhcpd nachádza v systéme, a potom Firestarter bude DHCP server kompletne spravovať miesto používateľa.

Ak sa spustiteľný súbor pre DHCP v systéme nenachádza, riadenie DHCP nebude aktívne

Balíky, ktoré je potrebné nainštalovať aby bola v programe Firestarter funkcia pre službu DHCP aktívna, sú tieto:
DistribúciaNázov balíkaPríkaz pre nainštalovanie
Red Hat 9, Fedora Coredhcp"yum install dhcp"
Debiandhcp"apt-get install dhcp"
Mandrakedhcp-server"urpmi dhcp-server"
Gentoodhcp"emerge dhcp"
SuSEdhcp-serverRučne počas inštalácie systému alebo pomocou RPM

Služba DHCP sa dá nastaviť pomocou sprievodcu nastavením firewallu alebo v predvoľbách programu. Zaškrtnutím možnosti "Povoliť DHCP pre lokálnu sieť" na obrazovke pre zdieľanie internetového pripojenia a služba sa aktivuje po dokončení sprievodcu alebo po uložení predvolieb. Všimnite si, že možnosť pre DHCP je dostupná iba ak je povolené zdieľanie internetového pripojenia a služba DHCP je poskytovaná iba počítačom pripojeným do lokálnej siete. Vďaka tomu program Firestarter nebude v konflikte s DHCP systémom, ktorý prevádzkuje poskytovateľ internetového pripojenia.

Niekoľko nastavení súvisiacich s DHCP serverom sa dá voliteľne nastaviť cez grafické rozhranie. Kliknutím na odkaz "Podrobnosti DHCP servera" sa zobrazia ďalšie možnosti. Pomocou nich sa dá zmeniť rozsah IP adries, ktoré sa budú klientom zapožičiavať. Stačí zmeniť najnižšiu a najvyššiu IP adresu rozsahu. V predvolenom stave Firestarter bude zapožočiavať IP adresy z rozsahu od 192.168.0.100 po 192.168.0.254. Rozsah IP adries môžete ľubovoľne meniť, ale rozsah musí spadať pod rozsah limitovaný nastavením sieťovej adresy a maskou siete, ktorá je priradená sieťovému adaptéru, ku ktorému je pripojená lokálna sieť.

Adresu DNS servera tiež môžeme nastaviť ľubovoľnú. Akceptovaná je bodkami oddelená číselná IP adresa aj menná adresa DNS servera. Je možné zadať aj viacero adries, ktoré oddelíte čiarkami. Môžete zadať aj špeciálnu hodnotu <dynamic>, v takom prípade sa adresy DNS serverov nastavia dynamicky podľa sieťových nastavení vonkajšieho rozhrania firewallu. Toto nastavenie je užítočné v prípade, že samotný počítač, na ktorom beží firewall, používa DHCP systém na získanie adries DNS serverov od poskytovateľa Internetu. V predvolenom stave sa DNS servery určujú dynamicky.

Vytvorenie vlastnej DHCP konfigurácie

Možnosť ponechania súčasného nastavenia DHCP je dostupná ak program Firestarter zistí, že sa nastavenie DHCP už nachádza v systéme. Táto možnosť má niekoľko použití. Ak ste pred tým ručne nastavili DHCP server vo vašom systéme, je možné program Firestarter použiť iba na riadenie serverových procesov bez toho aby menil konfiguráciu. Môžete tiež zobrať DHCP nastavenia vygenerované programom Firestarter a rozšíriť ich, s vedomím, že ich už program Firestarter nebude bez vášho súhlasu meniť. Existuje mnoho zaujímavých DHCP funkcií, ktoré môžete ručne nastaviť, vrátanie povoľovania počítačov na základe hardvérových MAC adries, prideľovania statických IP adries konkrétnym počítačom, rozdeľovania počítačov do rôznych tried, ktoré majú odlišnú konfiguráciu, poskytovania obrazov pre zavedenie systému pre sieťové terminály atď. Viac informácií sa dozviete v súbore dhcpd.conf a na man stránkach dhcpd .

Firestarter generuje DHCP konfiguráciu, ktorú ukladá do súboru /etc/dhcpd.conf.