После того, как настройка и проверка оборудования прошла успешно, Вы можете начать настраивать ваш Linux и проверять соединение с ISP. Несмотря на то, что я говорю про Linux-систему, есть возможность подсоединять к ANT любые устройства, поддерживающие 10baseT. Это могут быть маршрутизаторы, хабы, компьютеры и т.п.
Обратите внимание! Перед установкой соединения с ISP, вам надо уяснить степень опасности подключения к провайдеру. Установите firewall, закройте лишние порты, установите пароль для входа в Вашу систему. Прочитайте Security-HOWTO для получения подробной информации.
Установите NIC-карту в машину с ОС Linux, сконфигурируйте ядро и т.п. См. Linux веб-сайты и Ethernet-HOWTO для получения большей информации об этом.
Соедините кабель с разъемами RJ45 NIC и ANT. Обратите внимание: Некоторые ANT уже являются 10baseT-кроссоверами, и им требуется кабель для прямого соединения с NIC, минуя кроссовер. Я потратил 12 часов по собственной глупости, не повторяйте мою ошибку - прочитайте инструкцию.
Настройте IP-адрес, маску подсети, адрес шлюза по умолчанию и адрес
DNS-сервера. Каждый дистрибутив Linux (RH, debian, Slackware, S.U.S.E.)
настраивается по своему - вы должны знать, как это сделать. Вы можете
выполнить это вручную, используя команды ifcnfig и route. См.
NET3-HOWTO для получения большей информации.
Когда Ваша система будет полностью настроена, посмотрите, работает ли команда ping для шлюза по умолчанию, предоставленного ISP. Если команда выполнилась успешно, вы должны получить задержку около 20-мс при прохождении пакетов в обе стороны. Примите мои поздравления - Вы подсоединились к сети!
В зависимости от задачи, Вам надо будет выполнить еще несколько дополнительных настроек. Они включают настройку firewall, и т.п. Моя сеть показана на рисунке 3, я использую старую i486 машину в качестве firewall и маршрутизатора между ADSL линией и остальной частью моих машин. Я использую собственные IP-адреса в локальной подсети, и мой маршрутизатор настроен так, чтобы обеспечить IP-маскарадинг и защиту между Internet и локальной сетью. См. IP_Masquerading-HOWTO и Firewall-HOWTO для получения большей информации об этом. По своему опыту, скажу, что Linux обеспечивает превосходную маршрутизацию и защиту, при этом, если Вы отдадите под это старую 386/486 машину, то это будет стоить намного меньше, чем коммерческий маршрутизатор.
Рисунок 3: Моя сеть
<-Личная подсть--> <-Общая подсеть-> <-ADSL линия--------->
|
X----|
|
X------| X----| |----|
| |--------| | |ADSL| Маршрутизатор
| | Linux | |-----|ANT |----------> провайдера
X------|------| система|--------| | |
| E1|(Router)|E0 | |----|
| |--------| |
X------| IP_Masq 10baseT
IP_Firewall хаб
Я сделал маршрутизатор из i486 (Linux RH 5.0) с двумя интерфейсами Ethernet. Один - к ISP, другой к моей частной подсети, он поддерживает мою личную адресацию (т.е. 192.168.2.x). Использование в Вашей подсети собственной адресации дает дополнительную защиту, потому что это - не непосредственная адресация снаружи ISP. Вы должны использовать IP-маскарадинг для Вашей подсети, чтобы работать в Internet.
Предостережение: Удостоверьтесь, что Ваше ядро собрано с поддержкой ip_forward, и эта функция активизирована. Вы можете это сделать так:
cat /proc/sys/net/ipv4/ip_forwardЗначение "1" для включения, и "0" для выключения. Вы можете включить ее, например, так:
(e.g.) echo 1 > /proc/sys/net/ipv4/ip_forward
Если Вы напрямую подсоединены к Internet, но хотели бы работать через firewall и маскарадинг, то см. рисунок 4.
Предупреждение! Это не может гарантировать Вам полной безопасности. Для ее обеспечения нужно запретить работу из Internet с Вашим ftp, telnet и другими сервисами. Прочитайте Security-HOWTO, чтобы узнать, как правильно обеспечить безопасность своей подсети.
Рисунок 4: Защита и маскарадинг для ADSL
|-------| |-------| |-X
======X| ADSL |=------| Linux |-----|
ADSL | ANT | E0| |E1 |-X Частная сеть
линия |-------| |-------| | (например 192.168.2.x)
<-------> |...
ISP или хост
(общая сетевая адресация)
Ядро Linux необходимо пересобрать, включив в него поддержку пересылки IP-пакетов и маскарадинг. У вас должна быть установлена утилита "ipfwadm" со следующими опциями:
файл: /etc/rc.d/rc.firewall (называется rc.sysinit в RH5.0)
echo "Настройка firewall" # # Взято из "Firewall-HOWTO" # # убираем текущие настройки # ipfwadm -F -f # # устанавливаем firewall # ipfwadm -F -p deny # # разрешаем маскарадинг всем машинам с адресами 192.168.2.x. # ipfwadm -F -a accept -m -S 192.168.2.0/24 -D 0.0.0.0/0 # # разрешаем работать DNS серверу (udp 53) # ipfwadm -F -a accept -b -P udp -S 0.0.0.0/0 53 -D 192.168.2.0/24 ipfwadm -F -p masquerade # # остальное вносим в список для собственного удовольствия # ipfwadm -F -l ipfwadm -O -l ipfwadm -I -l
Вы должны быть внимательны, т.к. некоторые приложения не будут работать без специальных модулей (например, ftp, real audio и некоторые другие). См. документацию по ipfwadm, для получения большей информации. Мне лично кажется, что сделать это довольно просто.
Кроме того, использование частной сетевой адресации не требует дополнительных затрат и дает администратору полную гибкость настройки сети. Недостаток - это маскарадинг, который ограничивает число поддерживаемых машин - из-за этого могут не работать некоторые приложения, использующие IP, но таких приложений довольно мало.