Ubuntu jako router pro začátečníky

[Veselá#Houba]

Zdravíčko vespolek.
Strávil jsem nějakou dobu hledáním vhodného nastavení svého ubuntu jako routeru. Tento článeček by měl pomoci těm, kteří netuší o routování téměř nic a prostě to chtějí odklikat a nemořit se příliš s CLI.
Předpokladem je připojení WAN do eth0 a LAN do eth1 (WAN je ten kabel, který vede od vašeho počítače k modemu nebo jinému zařízení, kterým se připojujete k internetu)

Vím že většina z Linuxových příznivců (včetně mě) dává přednost CLI, ale chtěl bych tuhle základní funkci zpřístupnit i začátečníkům

Všechny návrhy a zlepšení jsou vítany!
DHCP neuvádím z důvodu zjednodušení

Takže:

• 1) Chcete hezké klikací hozhraní? Stáhněte si Webmin.
  Hodní vývojáři připravili deb balíček:
  
  Klikněte na tuto url:
  http://prdownloads.sourceforge.net/webadmin/webmin_1.390_all.deb
  a soubor uložte někam na disk.
• 2) Instalace Webminu
  klikněte na stažený soubor pravým tlačítkem a vyberte: otevřít v programu -> GDebi package installer
  a po načtení zvolte nainstalovat.
• 3) Použití Webminu
  Otevřte váš oblíbený prohlížeč (Opera, Mozilla, ...) a zadejte do něj adresu:
  https://localhost:10000
  Vyskočí vám přihlašovací okno. Zde se přihlašte vaším NORMÁLNÍM uživatelským jménem a heslem.
• 4) Nastavení LAN
  Otevřte vaše nastavení sítě (buď přes systém nebo přes webmin Networking -> Network Configuration -> Network Interfaces ) a nastavte pro eth1 následující
  

Kód: [Vybrat]

ip address: 192.168.1.1
netmask: 255.255.255.0 (maska podsítě)
gateway: NEVYPLŇUJTE (výchozí brána)


• 5) Nastavení NAT
  Poté ve Webminu vyberte záložku: Networking -> Linux Firewall
  a vyberte Do network address translation on external interface: a zvolte eth0
  Dole zaškrtněte Enable firewall at boot time? a Stiskněte Setup Firewall
  Poté ještě stiskněte apply configuration.
  

• 6) Malý systémový zásah
  Aby mohlo na Vašem Ubuntu router opravdu fungovat, je NUTNÉ, aby jste provedli ještě následující.
  Ve webminu vyberte System -> bootup and shutdown -> Create a new bootup and shutdown action a vytvořte nový záznam, který bude mít nějaké jméno a v kolonce "Bootup commands" bude:
  
  Kód: [Vybrat]
  modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward


Tím je dokončena konfigurace vašeho nového "routeru" tak aby fungoval. Je ještě nutný jeho restart

• 7) Nastavení klienta
  Na počítači, který se bude k internetu připojovat skrz tento router, nastavte síť následovně:
  
  Kód: [Vybrat]
  ip address: 192.168.1.2
netmask: 255.255.255.0 (maska podsítě)
gateway: 192.168.1.1 (výchozí brána)


Ještě asi budete muset nastavit DNS. Otevřte znovu Webmin na vašem "routeru" (to nyní můžete i z vašeho clienta přes https://192.168.1.1:10000) a podívejte se do:
Networking -> Network Configuration -> Hostname and DNS Client a zkopírujte odtud DNS servers do vašeho nastavení

Teď by vše mělo fungovat.

Jistě brzy zjistíte že webmin je opravdu promáknuté prostředí a dá se v něm pohodlně spravovat spousta věcí. O DHCP zase někdy jindy

[JurajM]

ahoj
potrebujem pomôct z nastavením DHCP v programe WEBMIN
tak aby prideloval IP podla MAC adresy (tabulku MAC-IP) s tým že PC ktoré nemá definované v DHCP MAC adresu nepripoji k sieti

ďakujem za odpoveď

[Veselá#Houba]

Zdravicko! Jak mas nastaveni podsiti (Subnets and shared networks) pod polozkou "DHCP Server"
Tak pokud NECHCES, aby nikdo cizi, ktery NEMA registrovanou MAC adresu nedostal automaticky IP, musis zatrhnout: "Allow unknown clients" jako "deny".

PS: Samozrejme to tomu cloveku nezabrani, aby si ji nastavil rucne. Potom uz prichazi na radu IP filter we firewallu.

[Martin Kiklhorn]

PC ktoré nemá definované v DHCP MAC adresu nepripoji k sieti

Maximálně mu nepřidělí IP adresu, připojení k síti tím nezabrání.

To by chtělo spíše nějaký managed switch (Juniper, Cisco, jeden příklad za všechny: Allied Telesyn AT-8948) propojený s nějakým Radius serverem (třeba freeradius) kde to funguje tak že po připojení PC do portu switche tento předá MAC adresu Radius serveru a ten ji ověří. Pokud bude povolená tak switch otevře port a počítač může přistupovat do sítě.
Jsou i další možnosti - switch může následně kontrolovat zda počítač dostal IP adresu z jednoho určitého DHCP serveru, pokud ne tak port zablokovat - to je ochrana proti ručnímu nastavení IP adresy
a třeba také modifikace kdy když MAC souhlasí tak port otevře, ale pustí počítač jen do definované karanténní VLAN ve které pak na aplikační úrovni se identifikuje uživatel (ideálně SmartCard, nebo jiným HW prostředkem a svým heslem), teprve pak switch přeřadí port do správné VLAN a počítač je teprve potom ve své síti - to je ochrana proti podvržení cizí MAC adresy člověkem který do sítě nemá přístup (chybí mu přístupová karta nebo heslo).
Některá klíčová slova pro hledání: X.509, 802.1X, radius (příp. diameter) protokol, smartcard