Ein LAN-Netzwerk hat einen Verbindungspunkt, an dem alle Kommunikationen zu anderen Netzwerken usw. im Internet “geroutet” werden. Normalerweise installiert der Internetdienstanbieter (Internet Service Provider, ISP) bei inländischen Verbindungen ein Gerät, das als Modem und Router des Netzwerks fungiert und allen Computern im LAN den Zugriff auf Internetdienste ermöglicht.

Die Router verbinden dann die Netzwerke; Wenn sich Bob beispielsweise im Subnetz 10.0.0.0/24 und Alice im Subnetz 20.0.0.0/24 befindet, können sie nicht direkt kommunizieren, da sie zu verschiedenen Subnetzen gehören. Wenn ein Router mit Zugriff auf beide Subnetze installiert ist (z. B. mit 2 Netzwerkkarten, die jeweils in jedem Subnetz konfiguriert sind), kann Bob den Router verwenden, um Daten an Alice zu senden und umgekehrt.

Jeder Host verwaltet eine Routing-Tabelle, in der er im Wesentlichen auf die IP-Adresse des Routers verweist, der ihn an eine IP-Adresse (Netzwerk oder Host) weiterleiten kann. Im Falle desselben Subnetzes “weiß” jeder Host, dass er direkt mit anderen Systemen im Subnetz selbst kommunizieren kann (weil sie “Nachbarn” im selben Subnetz sind und keine Router zur Kommunikation benötigen).

In einem typischen LAN konfigurieren Hosts eine IP-Adresse und eine Subnetzmaske, die den Adressraum bestimmen, der erreicht werden kann, ohne dass Router erforderlich sind. Wenn die Hosts auf das Internet zugreifen müssen, wird auch ein Standard-Gateway konfiguriert, das die IP-Adresse des Routers angibt, der für den Internetzugang verwendet wird.
Die Konfiguration von Nameservern oder DNS ist ebenfalls wichtig. In diesem Handbuch wird jedoch Internet-DNS verwendet, z. B. 8.8.8.8 (Google Public DNS).

Für den Fall des Standard-Gateways in einem LAN bietet der Router nicht nur Routing-Dienste, sondern auch Masquerading. Die Maskierung ist erforderlich, damit die Pakete mit der IP-Adresse des Routers, dh der IP, die der Router im Subnetz des Internetproviders hat, an das Internet gesendet werden, damit die zwischengeschalteten Systeme den Weg von routen können Rückgabe unabhängig von der IP-Adresse des LANs, das das Paket gesendet hat. Auf diese Weise kann jedes LAN-Subnetz mit einer beliebigen Adresse konfiguriert werden, unabhängig davon, ob andere Clients sie verwenden, da der Router die Quell-IP-Adresse vor dem Senden der Pakete mit einer eigenen ändert. Wenn ein Paket aus dem Internet “zurückkommt”, verwendet der Router ein Verbindungsprotokoll und “weiß”, an welchen Host das Paket zugestellt werden soll.

In einem typischen LAN fungiert das ADSL-Modem als Router und Standardgateway des LAN. Das Problem ist, dass die öffentliche IP-Adresse dem ADSL-Gerät zugewiesen wird und über das konfigurierbare LAN (normalerweise ein 192.168.1.0/24-Netzwerk) zugänglich ist.

Das gleiche ADSL-Gerät weist dem LAN normalerweise über DHCP Netzwerkkonfigurationen zu. Daher muss der Computer nur so konfiguriert werden, dass er automatisch eine Konfiguration vornimmt, und dann funktioniert alles.

Abhängig vom Modemmodell und der Art des Internetzugangs ist es möglich, dass das Modem nur als solches fungiert. Dies setzt voraus, dass der mit ihm verbundene Host die Verbindung zum Internet initiiert (z. B. über PPPoE). In anderen Fällen ist es möglich, das Modem als Modem-Router zu “routen” und die Verbindung zum Internet selbst herzustellen. Einige Anbieter bieten direkten Zugriff auf das öffentliche Netzwerk und geben dem Client die ihm zugewiesene feste öffentliche IP-Adresse, das Standardgateway und DNS an. Dass die IP-Adresse öffentlich ist, bestimmt grundsätzlich, dass jeder mit dem Internet verbundene Host der Welt (ohne Einschränkungen) direkt mit uns Kontakt aufnehmen kann.

Dies ist normalerweise in Unternehmensnetzwerken der Fall. Aus diesem Grund wird dieses Handbuch in einem solchen Szenario vorgestellt.

In der Grafik sind die Systeme rechts von der Internet-Cloud Systeme, die mit dem öffentlichen Netzwerk verbunden sind. Bob ist in einem LAN und der Router, der als Standard-Gateway (oder Standard-Gateway von Bobs LAN) fungiert, ist das System, auf das wir uns konzentrieren werden.

Letzterer muss dem LAN- und Gateway-Dienst von Bob DHCP-Dienste bereitstellen (Router mit Maskierung).

Konfiguration des LAN Gateways basierend auf GNU / Linux

En primer instancia, se deberán configurar las interfaces de red del router, para que éste cuente con conexión en la LAN (192.168.1.1/24) y en la Internet (WAN, 200.51.2.1/30); 1) Zunächst müssen die Netzwerkschnittstellen des Routers so konfiguriert werden, dass eine Verbindung im LAN (192.168.1.1/24) und im Internet (WAN, 200.51.2.1/30) besteht. Bearbeiten Sie dazu die Netzwerkkonfigurationsdatei:

 # vim / etc / network / interfaces 

Suponiendo que eth0 es la interfaz LAN y eth1 la interfaz WAN, especificar la configuración de la siguiente manera: 2) Unter der Annahme, dass eth0 die LAN-Schnittstelle und eth1 die WAN-Schnittstelle ist, geben Sie die Konfiguration wie folgt an:

Beachten Sie, dass zu Beginn angegeben wurde, dass die Netzwerkschnittstellen mithilfe der Anweisung “auto” automatisch über die Loopback-Schnittstelle angehoben werden sollen

Dann wurde für jede Schnittstelle, LAN oder eth0 und WAN oder eth1, die Netzwerkkonfiguration statisch angegeben.
In diesem Fall gehen wir davon aus, dass der Internetprovider oder ISP Bob die öffentliche IP-Adresse zugewiesen und 200.51.2.1/30 festgelegt hat und sein Gateway 200.51.2.2 ist.

Configurar el nombre del Gateway editando los ficheros “/etc/hostname” y “/etc/hosts” 3) Konfigurieren Sie den Namen des Gateways, indem Sie die Dateien “/ etc / hostname” und “/ etc / hosts” bearbeiten.
Ersetzen Sie den Namen, der derzeit angezeigt wird, und achten Sie darauf, dass er in beiden Fällen identisch ist. Für dieses Tutorial habe ich als Namen “Gateway” gewählt.

Ausführen:

 # vim / etc / hostname 

Geben Sie den neuen Namen ein:

Dann im Terminal laufen:

 # vim / etc / hosts 

Geben Sie den Namen des Routers wie folgt an:

Debe activarse la funcionalidad de reenvío de paquetes en el Gateway que estamos configurando, para que actúe como router. 4) Die Paketweiterleitungsfunktion muss in dem von uns konfigurierten Gateway aktiviert sein, um als Router zu fungieren. Auf einem Gateway-Terminal ausführen:

 # vim /etc/sysctl.conf 

Luego descomentar la línea “ net.ipv4.ip_forward=1 ” y reiniciar (por cuestiones de testing) 5) Dann die Zeile ” net.ipv4.ip_forward = 1 ” auskommentieren und neu starten (zu Testzwecken)

Führen Sie zum Testen der Konfiguration Folgendes im Terminal aus:

 # cat / proc / sys / net / ipv4 / ip_forward 

Wenn der Ausgang “1” ist, bedeutet dies, dass die Paketweiterleitungsfunktion aktiviert ist:

Una vez configurado el sistema como router, añadir funcionalidad de enmascaramiento. 6) Sobald das System als Router konfiguriert ist, fügen Sie Maskierungsfunktionen hinzu. Mit iptables kann angegeben werden, dass ausgehender Datenverkehr von einem LAN zu einem beliebigen Netzwerk (Internet) von diesem Gateway maskiert wird.

Führen Sie den folgenden Befehl aus:

 # echo "iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQUERADE" >> /etc/init.d/reglas-fw.sh 

Dies erzeugt die Datei “/etc/reglas-fw.sh”. Erteilen Sie nun Ausführungsberechtigungen:

 # chmod + x /etc/init.d/reglas-fw.sh 

Dann geben Sie mit update-rc.d an, dass rules-fw.sh beim Start ausgeführt werden soll:

 # update-rc.d rules-fw.sh start 90 2 3 4 5. 

Starten Sie schließlich neu und testen Sie, ob die Regel angewendet wurde. Führen Sie dazu nach dem Neustart Folgendes aus:

 # iptables -t nat -L -n 

Die Ausgabe sollte die angewendeten Regeln anzeigen, in denen die Maskierung erscheinen soll:

Para que el router asigne configuraciones de red a los hosts de la LAN, instalar un servidor DHCP con el siguiente comando: 7) Damit der Router den Hosts im LAN Netzwerkkonfigurationen zuweisen kann, installieren Sie einen DHCP-Server mit dem folgenden Befehl:

 # apt-get install isc-dhcp-server 

Configurar el servicio DHCP para que sólo utilice la interfaz de red LAN (no queremos repartir IPs hacia Internet!). 8) Konfigurieren Sie den DHCP-Dienst so, dass er nur die LAN-Schnittstelle verwendet (IPs sollen nicht ins Internet verteilt werden!). Bearbeiten Sie dazu die Konfigurationsdatei:

 # vim / etc / default / isc-dhcp-server 

Geben Sie die LAN-Schnittstelle an:

Editar el fichero de configuración del servidor DHCP para determinar el pool de direcciones IP, la puerta de enlace a asignar, etc. 9) Bearbeiten Sie die Konfigurationsdatei des DHCP-Servers, um den Pool der IP-Adressen, das zuzuweisende Gateway usw. zu bestimmen. Im Ziel ausführen:

 # vim /etc/dhcp/dhcpd.conf 

Geben Sie die Konfiguration des Subnetzes, die zuzuweisenden DNS und den Link-Port ein. Für Bobs Host wurde die IP-Adresse 192.168.1.2 immer zugewiesen:

 Subnetz 192.168.1.0 Netzmaske 255.255.255.0 { Optionsrouter 192.168.1.1; Option Domain-Name-Server 8.8.8.8; Option Domain-Name "LAN"; maßgebend; } Gastgeber Bob { AA-Ethernet-Hardware: BB: CC: 22: 33: 44; feste Adresse 192.168.1.2; } 

Starten Sie den Dienst neu:

 # /etc/init.d/isc-dhcp-server restart 

Überprüfen Sie im System-Syslog, ob ein Client eine IP-Zuweisung anfordert:

Wie im Tutorial zum einfachen Spoofing von DHCP zu sehen ist , weist die IP-Zuweisung über DHCP Bob die Adresse zu, die wir mit seiner MAC-Adresse angeben.

Si todo está bien configurado, Bob podría hacer ping a Alice: 10) Wenn alles gut konfiguriert ist, könnte Bob Alice anpingen:

Finalmente, Bob accede a la página web de Alice: 12) Schließlich greift Bob auf die Website von Alice zu:

Letzte Überlegungen

Es ist wichtig zu beachten, dass dieses Handbuch zwar auf einem einfachen Szenario basiert, die Befehle und Konfigurationsmethoden jedoch nicht von Szenario zu Szenario variieren, da die beteiligten Komponenten und Software identisch sind. Es gibt Linux-Distributionen wie OpenWRT, DD-WRT und Pfsense (freeBSD), die speziell darauf vorbereitet sind, als Router in einem LAN zu fungieren. Diese Distributionen bieten eine benutzerfreundliche Konfigurationsoberfläche und erfordern keine manuell in die Terminals eingegebenen Befehle. Dies ist ein einfacher Vorschlag, um unser eigenes Gateway basierend auf GNU / Linux ohne die Hilfe von Konfigurationsassistenten zu mounten, das heißt “vollständig von Hand gemacht”.

In späteren Lernprogrammen wird in diesem Handbuch die Option zum Konfigurieren eines lokalen DNS, einer vollständigen Firewall und des Proxy-Diensts zum Verwalten des Internetzugriffs hinzugefügt. Seien Sie also wachsam.