web-dev-qa-db-ja.com

2枚のLANカードを設定する方法は?

Ubuntu 14.04をシステムにインストールし、15人の従業員が勤務するオフィスでサーバーとして使用しています。システムに2つのLANカードがあります:

  • ルーターからUbuntuサーバーへの入力用
  • もう1つはシステムからスイッチに接続し、すべての従業員をそのスイッチからLANケーブル経由で接続します。

ここで、いくつかのサイトをブロックしてネットワークを制限したいので、両方のLANカードをどのように構成できますか。

3
Gurupal singh

サーバーでeth0がスイッチに接続され、eth1ルーターに接続されています。 LANネットワークアドレスが10.1.1.0/255.255.255.0であると仮定しますルーターが192.168.0.1/255.255.255.0であると仮定します

スイッチに接続されているNICで、スイッチがサービスを提供するLANと同じ範囲のIPアドレスを割り当てます。しかし、ゲートウェイの定義はありません。/etc/network/interfaces内:

auto eth0
iface eth0 inet static
   address 10.1.1.1
   netmask 255.255.255.0

ルーターに接続されているNICには、独自のセットアップに関する2つの可能性があります。

  1. ルーターの1つと同じ範囲で固定IPを割り当て、このルーターIPに向けてデフォルトゲートウェイを設定します。この場合、これを/etc/network/interfacesに追加する必要があります
auto eth1
iface eth1 inet static
    address 192.168.0.2
    netmask 255.255.255.0
    gateway 192.168.0.1
  1. ルーターは動的にIPをサーバー(DHCP)に割り当てることができるので、このNICをDHCP対応NICとして設定するだけです。この場合、これを/etc/network/interfacesに追加する必要があります
auto eth1
 iface eth1 inet dhcp

2番目のセットアップでは、これら2つのNIC間でトラフィックをルーティングできるようにします。これを可能にするには、ファイル/etc/sysctl.confを適合させる必要があります。このファイルで、次の行のコメントを解除します。

net.ipv4.ip_forward = 1

この設定は、次回の再起動時に有効になります。再起動せずに手動で有効にしたい場合は、次を実行できます。

Sudo echo 1 | Sudo tee /proc/sys/net/ipv4/ip_forward

3番目のステップは、従業員のすべてのPCがスイッチに接続されたLANカードのIP10.1.1.1を使用するように設定されていることを確認することです。デフォルトゲートウェイとして。

上記の手順は、サーバーのネットワーク接続のセットアップに役立ちますが、従業員に制限を適用する必要がある場合は、次のことも考慮する必要があります。

  1. iptables(別名Linuxファイアウォール)を使用して、インターネットへのアクセスを許可しないトラフィックをブロックします。 Iptablesルールは管理が非常に複雑になる可能性があるため、ufwUncomplicated Firewallというソフトウェアをインストールして試してみることをお勧めしますIptablesであなたの人生を楽にします。このツールの詳細については、 buntu Community Help Wiki をご覧ください。
  2. また、SquidのようなWeb Proxyサーバーのインストールを検討することもできます。 Webプロキシサーバーを使用すると、従業員がアクセスできるWebサイトを制限できます。 Webプロキシは認証を有効にすることもできるため、既知のユーザーのみが認証を使用できます。 Squidのルールは、user1とuser2に同じ制限がないように設定できます。設定方法については この製品のサイト をご覧ください。
  3. 各PCのWebブラウザで、サーバー(私の例では10.1.1.1)の内部IPアドレスをプロキシサーバーとして指定する必要があります。従業員がインターネットに直接アクセスしてプロキシとその保護をバイパスしないようにするには、サーバー上でファイアウォールルールを作成して、LANからインターネットへのポート80および443へのトラフィックをブロックする必要があります。
  4. Squidのセットアップは、より簡単にブロックできるようにWebサイトカテゴリのリストを取得するいくつかのアドオンで完了できます。たとえば、squidguardをSquidと組み合わせて、Webサイトのブラックリストを取得して、これらのサイトへのアクセスを自動的にブロックすることができます。標準のSquid構成。 詳細情報

上記のこれら3つのソフトウェアはすべて、標準のUbuntuリポジトリから利用できます。

Sudo apt-get install ufw squid squidguard

ソフトウェアをインストールします。ニーズに合わせて構成を調整する必要があります。

備考:

サーバーにNICが1つしかない場合は、サーバーをWebプロキシにすることもできます。ルーターの種類によっては、ルーター内のすべてのファイアウォール処理を実行できる場合があります。この場合、ネットワークのセットアップがより簡単になります。

  1. ルーターIPは、ネットワーク、PC、およびサーバー上のすべてのデバイスのデフォルトゲートウェイです
  2. ルーター、サーバー、PCが同じスイッチに接続されている
  3. ルーター、サーバー、PCは同じサブネットにあるため、ルーターがDHCP対応であれば、PCに対してもDHCPを実行でき、各PCのネットワーク構成を気にする必要はありません。
  4. Squid&squidguardは引き続きサーバーにインストールして、すべてのPCで使用できます。
5
Benoit