Задумал я как-то настроить себе сетевой роутер по Linux-машиной. Чтобы через неё гнался весь трафик, а остальные машины получали бы адрес по DHCP и DNS запросы также обрабатывались бы этой машиной. Начал гуглить. Изначально мысль была просто настроить Netplan, но по ходу настройки я столкнулся с тем, что iptables всё-равно настраивать пришлось. Сложных DNS запросов мне делать не нужно, сеть будет состоять максимум из 10 — 15 машин, но DNS-сервер всё-равно нужен — периодически будет появляться один-два сетевых HTTP-сервера. Это — испытательный стенд, и не хотелось бы «гадить» в сеть. Гуглил я долго, и информацию пришлось собирать буквально по крупицам — где-то описано, как настраивать Netplan, где-то — iptables. С dnsmasq-ом тоже не всё было гладко — после полной настройки я выяснил, что все DNS запросы из сети обрабатываются, а с хоста — нет. Прошу обратить на это внимание — в статье будет момент об этом.
Но по итогу получил результат, который при re-тесте я настроил минут за 20! В тот день я задержался на работе, а до вечера хотелось ещё раз протестировать идею, чтобы — если будут замечания — подкорректировать материал перед тем, как публиковать статью. Но решение получилось настолько элегантным, что для сети из 10-20 машин лучше и не придумаешь: весь DNS настраивается в одном файле. Если у вас два интерфейса и две сети — большего и не нужно! Да, можно настроить netplan — но это будет чуть более громоздкое решение, и iptables всё-равно настраивать.
Несколько раз протестировал на Debian-12. Решение полностью работоспособное. Я — только «студент» пока, так что комментарии, замечания и конструктивная критика принимается и даже приветствуется.
А, если кому-то эта идея будет полезна — я только рад! Пользуйтесь!
Для настройки собственного роутера нам понадобится:
-
Сервер с двумя и более сетевыми интерфейсами (один из них уже должен быть настроен для выхода в интернет — выходит за рамки данной заметки)
-
В качестве сетевого менеджера я буду использовать netplan
-
Включить пересылку пакетов между интерфейсами (по умолчанию отключена в Linux)
-
Настроить iptables (мы будем использовать собственный DNS сервер с DHCP, поэтому перенаправление на другой сервер в iptables делать не будем)
-
Собственный DNS сервер (мы будем использовать dnsmasq)
1. Проверка настроек сетевых интерфейсов:
Проверяем, какие сетевые интерфейсы у нас есть:
ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00inet 127.0.0.1/8 scope host lovalid_lft forever preferred_lft foreverinet6 ::1/128 scope host noprefixroutevalid_lft forever preferred_lft forever2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000link/ether 08:00:27:1b:df:b1 brd ff:ff:ff:ff:ff:ff inet 10.0.2.15/24 metric 100 brd 10.0.2.255 scope global dynamic enp0s3 valid_lft 80772sec preferred_lft 80772secinet6 fd00::a00:27ff:fe1b:dfb1/64 scope global dynamic mngtmpaddr noprefixroutevalid_lft 86161sec preferred_lft 14161secinet6 fe80::a00:27ff:fe1b:dfb1/64 scope linkvalid_lft forever preferred_lft forever3: enp0s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500qdisc fq_codel state UP group default qlen 1000 link/ether 08:00:27:81:ff:ba brd ff:ff:ff:ff:ff:ffinet 192.168.10.1/24 brd 192.168.10.255 scope global enp0s8valid_lft forever preferred_lft foreverinet6 fe80::a00:27ff:fe81:ffba/64 scope linkvalid_lft forever preferred_lft forever
Значит, у нас есть интерфейсы enp0s3 и enp0s8, причём enp0s3 — выходит в интернет.
2. Проверяем настройки сети:
cat /etc/netplan/network_01.yaml
network: version: 2 renderer: networkd ethernets: enps03: dhcp4: yes dhcp6: no enp0s8: dhcp4: no dhcp6: no addresses: - 192.168.10.1/24 nameservers: addresses: - 8.8.8.8 - 77.88.8.8
Сеть у нас настроена, но по тому, как её настраивать в интернете много информации. Использовать netplan или network.intarfaces — дело вкуса.
Мы поняли главное: локальная сеть у нас работает на сети 192.168.10.0/24 и наша машина в локальной сети — 192.168.10.1 . Какие сервера использовать для DNS — тут не принципиально — мы будем настраивать их дальше. А, вот, имя сети и имя машины — очень важны — впоследствии именно она будет использоваться как шлюз.
3. Включаем в ядре бондинг:
а. Скачиваем, если он ещё не скачан — iptables:
apt install iptablessystetmctl start iptablessystetmctl enable iptables
б. Делаем первичную настройку iptables:
# Разрешаем перенаправление пакетов между интерфейсамиiptables -A FORWARD -i enp0s3 -o enp0s8 -j ACCEPTiptables -A FORWARD -i enp0s8 -o enp0s3 -j ACCEPTiptables -A FORWARD -i enp0s8 -j ACCEPT# Разрешаем принимать DNS запросы# Причем сами DNS запросы передавать не разрешаем - # мы будем обрабатывать их локальноiptables -A INPUT -p udp -m udp --dport 53 -j ACCEPTiptables -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT# Разрешаем подмену имёнiptables -A POSTROUTING -o enp0s3 -j MASQUERADEiptables -A POSTROUTING -o enp0s8 -j MASQUERADEiptables -t nat -A POSTROUTING -j MASQUERADE
в. Устанавливаем modprobe iptable_nat:
modprobe iptable_natecho 1 > /proc/sys/net/ipv4/ip_forward
г. Сохраним настройки модулей:
vim /etc/modules
# Добавляем эту строкуiptable_nat
д. Сохраним настройки трафика:
vim /etc/sysctl.conf
# Снимаем комментрарий с этой строкиnet.ipv4.ip_forward=1
3. Сохраняем настройки iptables:
а. Устанавливаем iptables-persistent:
apt install iptables-persistent
б. Сохраняем настройки:
iptables-save > /etc/iptables/rules.v4
Тестируем связь с другой машины в локальной сети:
-
Проверяем и — при необходимости — настраиваем сеть (у нас пока DHCP не поднят, поэтому — только статика):
ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00inet 127.0.0.1/8 scope host lovalid_lft forever preferred_lft forever inet6 ::1/128 scope host noprefixroute valid_lft forever preferred_lft forever2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500qdisc fq_codel state UP group default qlen 1000 link/ether 08:00:27:63:46:3b brd ff:ff:ff:ff:ff:ff inet 192.168.10.2/24 brd 192.168.10.255 scope global enp0s3valid_lft forever preferred_lft foreverinet6 fe80::a00:27ff:fe63:463b/64 scope linkvalid_lft forever preferred_lft forever
-
Пингуем наш шлюз:
ping 192.168.10.1PING 192.168.10.1 (192.168.10.1) 56(84) bytes of data.64 bytes from 192.168.10.1: icmp_seq=1 ttl=64 time=1.45 ms64 bytes from 192.168.10.1: icmp_seq=2 ttl=64 time=0.923 ms64 bytes from 192.168.10.1: icmp_seq=3 ttl=64 time=1.15 ms64 bytes from 192.168.10.1: icmp_seq=4 ttl=64 time=1.12 ms64 bytes from 192.168.10.1: icmp_seq=5 ttl=64 time=1.02 ms64 bytes from 192.168.10.1: icmp_seq=6 ttl=64 time=0.958 ms64 bytes from 192.168.10.1: icmp_seq=7 ttl=64 time=0.964 ms--- 192.168.10.1 ping statistics ---7 packets transmitted, 7 received, 0% packet loss, time 6005msrtt min/avg/max/mdev = 0.923/1.084/1.447/0.168 ms
-
Пингуем интернет — DNS у нас пока не настроен, поэтому только по ip:
ping 8.8.8.8PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.64 bytes from 8.8.8.8: icmp_seq=1 ttl=254 time=55.3 ms64 bytes from 8.8.8.8: icmp_seq=2 ttl=254 time=25.3 ms64 bytes from 8.8.8.8: icmp_seq=3 ttl=254 time=25.5 ms64 bytes from 8.8.8.8: icmp_seq=4 ttl=254 time=25.1 ms64 bytes from 8.8.8.8: icmp_seq=5 ttl=254 time=25.4 ms64 bytes from 8.8.8.8: icmp_seq=6 ttl=254 time=65.0 ms64 bytes from 8.8.8.8: icmp_seq=7 ttl=254 time=87.4 ms64 bytes from 8.8.8.8: icmp_seq=8 ttl=254 time=25.0 ms64 bytes from 8.8.8.8: icmp_seq=9 ttl=254 time=28.8 ms--- 8.8.8.8 ping statistics ---9 packets transmitted, 9 received, 0% packet loss, time 8008msrtt min/avg/max/mdev = 24.952/40.314/87.449/21.920 ms
-
Перезагружаем шлюз и снова проверяем пинг со второй машины, чтобы проверить, что все настройки сохранились корректно.
5. Устанавливаем и настраиваем dnsmasq.
а. Устанавливаем сам dnsmasq:
apt install dnsmasqsystemctl enable dnsmasqsystemctl start dnsmasq
После установки или старта сервиса мы можем увидеть ошибку:
failed to create listening socket for port 53: Address already in use
Как правило, она связана с тем, что на компьютере работает сервис systemd-resolved, который занял порт 53. Чтобы это исправить, отключаем его:
systemctl disable systemd-resolved --now
б. Конфигурируем dnsmasq.conf:
vim /etc/dnsmasq.conf
# По умолчянию Linux слушает DNS в systemd-resolv,# Мы его отключили,# Поэтому - чтобы убрать ошибку, с этим связанную,# устанавливаем этот параметрno-resolv# Настраиваем адреса, на которых сервер будет слушать DNS запрсы# Первый адрес - обязателен - это именно адрес нашего# второго интерфейса, на которм сервер будет слушать# запросы из локальной сети# Второй - также важен - иначе сервер не будет обрабатывать# свои же DNS запросыlisten-address=192.168.10.1,127.0.0.1# Настройка DHCPdhcp-range=192.168.10.100,192.168.10.254,255.255.255.0,24h# Настройка внешних DNS серверов, куда будут# отправляться запросы на неизвестные сервераserver=8.8.8.8# Настройка внутренних доменных имён# address=/netbox.example.com/192.168.10.1# По умолчанию dnsmasq работает только с внутренними интерфейсами,# А, чтобы разрешить ему работать и с внешним интерфейсом# Нужно установить этот параметр.bind-interfaces
в. Перезагружаем dnsmasq:
systemctl restart dnsmasq
Снова тестируем работу со второй машины:
а. Проверяем DHCP:
vim /etc/network/interfaces
# This file describes the network interfaces available on your system# and how to activate them. For more information, see interfaces(5).source /etc/network/interfaces.d/*# The loopback network interfaceauto loiface lo inet loopback# The primary network interfaceallow-hotplug enp0s3iface enp0s3 inet dhcp# This is an autoconfigured IPv6 interface# iface enp0s3 inet6 auto
б. Перезапускаем сеть:
systemctl restart networkiing
в. Проверяем, что ip-адрес присвоился:
ip a1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00inet 127.0.0.1/8 scope host lovalid_lft forever preferred_lft foreverinet6 ::1/128 scope host noprefixroutevalid_lft forever preferred_lft forever2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000 link/ether 08:00:27:bf:4c:a6 brd ff:ff:ff:ff:ff:ffinet 192.168.10.111/24 brd 192.168.10.255 scope global dynamic enp0s3valid_lft 86370sec preferred_lft 86370sec inet6 fe80::a00:27ff:febf:4ca6/64 scope linkvalid_lft forever preferred_lft forever
г. Снова пингуем сеть:
ping 192.168.10.1PING 192.168.10.1 (192.168.10.1) 56(84) bytes of data.64 bytes from 192.168.10.1: icmp_seq=1 ttl=64 time=1.82 ms64 bytes from 192.168.10.1: icmp_seq=2 ttl=64 time=1.12 ms64 bytes from 192.168.10.1: icmp_seq=3 ttl=64 time=12.5 ms64 bytes from 192.168.10.1: icmp_seq=4 ttl=64 time=1.17 ms64 bytes from 192.168.10.1: icmp_seq=5 ttl=64 time=0.905 ms--- 192.168.10.1 ping statistics ---5 packets transmitted, 5 received, 0% packet loss, time 5242msrtt min/avg/max/mdev = 0.905/3.493/12.452/4.489 ms
ping 8.8.8.8PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.64 bytes from 8.8.8.8: icmp_seq=1 ttl=254 time=25.9 ms64 bytes from 8.8.8.8: icmp_seq=2 ttl=254 time=24.8 ms64 bytes from 8.8.8.8: icmp_seq=3 ttl=254 time=25.2 ms64 bytes from 8.8.8.8: icmp_seq=4 ttl=254 time=26.3 ms64 bytes from 8.8.8.8: icmp_seq=5 ttl=254 time=28.0 ms64 bytes from 8.8.8.8: icmp_seq=6 ttl=254 time=27.9 ms--- 8.8.8.8 ping statistics ---6 packets transmitted, 6 received, 0% packet loss, time 5745msrtt min/avg/max/mdev = 24.839/26.349/27.951/1.212 ms
ping ya.ruPING ya.ru (77.88.44.242) 56(84) bytes of data.64 bytes from ya.ru (77.88.44.242): icmp_seq=1 ttl=254 time=14.5 ms64 bytes from ya.ru (77.88.44.242): icmp_seq=2 ttl=254 time=13.2 ms64 bytes from ya.ru (77.88.44.242): icmp_seq=3 ttl=254 time=14.6 ms64 bytes from ya.ru (77.88.44.242): icmp_seq=4 ttl=254 time=14.9 ms64 bytes from ya.ru (77.88.44.242): icmp_seq=5 ttl=254 time=15.4 ms64 bytes from ya.ru (77.88.44.242): icmp_seq=6 ttl=254 time=14.5 ms--- ya.ru ping statistics ---6 packets transmitted, 6 received, 0% packet loss, time 6228msrtt min/avg/max/mdev = 13.187/14.517/15.367/0.662 ms
nslookup ya.ruServer:192.168.10.1Address:192.168.10.1#53Non-authoritative answer:Name:ya.ruAddress: 77.88.55.242Name:ya.ruAddress: 5.255.255.242Name:ya.ruAddress: 77.88.44.242Name:ya.ruAddress: 2a02:6b8::2:242
Мы видим наш сервер как первый в каскаде DNS запросов
Мы настроили шлюз!
ссылка на оригинал статьи https://habr.com/ru/articles/1033562/