Ero sivun ”Iptables/Reititin” versioiden välillä

Siirry navigaatioon Siirry hakuun

Iptables/Reititin (muokkaa)

Versio 5. huhtikuuta 2024 kello 13.49

2 682 merkkiä lisätty ,  5. huhtikuuta 2024
ei muokkausyhteenvetoa
Ei muokkausyhteenvetoa
Ei muokkausyhteenvetoa
Rivi 5: Rivi 5:
Useimmissa valmiissa reitittimissä on joku mini-Linux ja joihinkin saa jälkeenpäin asennettua [[OpenWrt]]:n. Valmiissa purkeissa turvallisuus on pääsääntöisesti varsin puutteellinen ja OpenWrt on vähän hankala ylläpitää. Mikään ei luomasta reititintä itse. Pelkkä [[Raspberry Pi]] tai vanhempi kannettava voi riittää jos tarvitsee vain [[WLAN|langattoman lähiverkon]]. Joku sopiva mini-PC useammalla LAN-portilla toimii, ja jos haluaa oikean kotipalvelimen, voi käyttää jotain vanhaa työpöytä-konetta.
Useimmissa valmiissa reitittimissä on joku mini-Linux ja joihinkin saa jälkeenpäin asennettua [[OpenWrt]]:n. Valmiissa purkeissa turvallisuus on pääsääntöisesti varsin puutteellinen ja OpenWrt on vähän hankala ylläpitää. Mikään ei luomasta reititintä itse. Pelkkä [[Raspberry Pi]] tai vanhempi kannettava voi riittää jos tarvitsee vain [[WLAN|langattoman lähiverkon]]. Joku sopiva mini-PC useammalla LAN-portilla toimii, ja jos haluaa oikean kotipalvelimen, voi käyttää jotain vanhaa työpöytä-konetta.


Sivulla esitetään kolmet ohjeet eri ratkaisuille. Ensimmäisessä tapauksessa tehdään PC-koneesta tavallinen lähiverkko-reititin, toisessa [[Virtualbox]]-virtuaalikoneesta [[Whonix]]-tyylinen portti [[Tor]]-verkkoon ja kolmannessa Raspberry Pi:stä WLAN-reititin. Ensimmäisessä tapauksessa käytetään 64-bittistä [[Debian]]-versiota 10.10.0, toisessa 32-bittistä Debian-versiota 9.13.0 ja kolmannessa kirjoitushetkellä uusinta [[Raspberry Pi OS]]-jakelua. Lähtökohtana kahdessa ensimmäisessä tapauksessa on täysin uunituore, asetuksia vailla oleva Debian-asennus ilman mitään työkaluja (base system). Koneissa tulee olla kaksi verkkolaitetta.
Sivulla esitetään kahdet ohjeet eri ratkaisuille. Ensimmäisessä tapauksessa tehdään PC-koneesta tavallinen lähiverkko-reititin, toisessa [[KVM]]-virtuaalikoneesta [[Whonix]]-tyylinen portti [[Tor]]-verkkoon. Ensimmäisessä tapauksessa käytetään 64-bittistä [[Debian]]-versiota 10.10.0 ja toisessa 64-bittistä Debian-versiota 11.0. Lähtökohtana on täysin uunituore, asetuksia vailla oleva Debian-asennus ilman mitään työkaluja (base system). Koneissa tulee olla kaksi verkkolaitetta.


== LAN-reititin ==
== LAN-reititin ==
Rivi 63: Rivi 63:


== Tor-reititin ==
== Tor-reititin ==
Tarvitaan paketit <tt>apt-transport-tor</tt>, <tt>openssh-server</tt> ja <tt>isc-dhcp-server</tt>. iptables-säännöt otetaan käyttöön itsetehdyllä skriptillä ja unohdetaan esimerkiksi <tt>[[ufw]]</tt> ja <tt>iptables-persistent</tt>.
Tarvitaan paketit <tt>apt-transport-tor</tt>, <tt>openssh-server</tt> ja <tt>isc-dhcp-server</tt>. iptables-säännöt otetaan käyttöön itsetehdyllä skriptillä ja unohdetaan esimerkiksi <tt>[[ufw]]</tt> ja <tt>iptables-persistent</tt>. Oleellisena erona wifi-reitittimeen tässä on se että palomuurin osoitemuunnokseen liittyvä MASQUERADE-sääntö ja systemd:n ip_forward jää käyttämättä. Lähtötilanne on kaksi KVM-konetta joista ensimmäinen on tor-proxy ja toinen ns. takakone jota käytetään surffailussa. Tor-proxylla on kaksi verkkolaitetta. Toinen niistä (enp1s0) on tavallisen NATin takana ja toinen (enp2s0) omassa eritetyssä verkossa. Takakoneella on yksi verkkolaite eristetyssä verkossa.
Ensin asennetaan DHCP-palvelin käskyllä apt-get install isc-dhcp-server. Ihan suoraan se ei lähde toimimaan vaan se pitää konfiguroida. Avataan /etc/dhcp/dhcpd.conf-tiedosto ja korvataan kaikki sisältö seuraavalla:
ddns-update-style none;
authoritative;
subnet 192.168.42.0 netmask 255.255.255.0 {
      range 192.168.42.10 192.168.42.50;
      option broadcast-address 192.168.42.255;
      option routers 192.168.42.1;
      default-lease-time 600;
      max-lease-time 7200;
      option domain-name "local";
      option domain-name-servers 8.8.8.8, 8.8.4.4;
}
 
Seuraavaksi avataan /etc/default/isc-dhcp-server ja tehdään muokataan rivi
 
INTERFACESv4=""
 
muotoon
 
INTERFACESv4="enp2s0"
 
Pidetään mielessä että enp2s0 on nimenomaan sisäverkon laite.
Seuraavaksi asennetaan tor käskyllä apt-get install tor ja lisätään /etc/tor/torrc-tiedostoon seuraavat rivit
 
Log notice file /var/log/tor/notices.log
VirtualAddrNetwork 10.192.0.0/10
AutomapHostsSuffixes .onion,.exit
AutomapHostsOnResolve 1
TransPort 192.168.42.1:9040
DNSPort 192.168.42.1:53
 
Netistä löytää vielä vanhoja TransListenAddress- ja DNSListenAddress-asetuksia mutta ne on poistettu käytöstä ja niiden tiedot tulee nykyään TransPort- ja DNSPort-yhteyteen. Lopulta luodaan tor-lokitiedosto käskyillä touch /var/log/tor/notices.log, chown debian-tor /var/log/tor/notices.log ja chmod 644 /var/log/tor/notices.log.
Minimaalinen palomuurikonffaus luodaan käskyillä
 
iptables -A PREROUTING -i enp2s0 -p udp -m udp --dport 53 -j REDIRECT --to-ports 53
iptables -A PREROUTING -i enp2s0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports 9040
 
ja lopulta tallennetaan säännöt käskyllä iptables-save > /etc/iptables-torproxy.conf.
Sisäverkon laite pitää konffata. Avataan /etc/network/interfaces ja lisätään siihen rivit:
 
allow-hotplug enp2s0
iface enp2s0 inet static
  address 192.168.42.1
  netmask 255.255.255.0
up iptables-restore < /etc/iptables-torproxy.conf
 
Jälleen kerran on enp2s0 se sisäverkon laite. Tässä vaiheessa voi avata /etc/sysctl.conf-tiedosto ja varmustutaan siitä että asetus net.ipv4.ip_forward=1 on kommentoitu pois. Sisäkoneen ei kuulu päästä suoraan nettiin. Lopulta tallennetaan kaikki, uudelleenkäynnistetään proxy ja avataan sisäkoneesta osoite https://check.torproject.org.


[[Luokka:Järjestelmä]]
[[Luokka:Järjestelmä]]
Rekisteröitymätön käyttäjä
Noudettu kohteesta ”https://www.linux.fi/wiki/Toiminnot:MobileDiff/58030

Navigointivalikko