IPFire: domácí router za 15 minut

16. 4. 2010
Doba čtení: 5 minut

Sdílet

Linuxovým distribucím zaměřeným na sítě jsme se již věnovali, většinou ale neměly zrovna příjemné ovládání. Distribuce IPFire je pravým opakem. Je přesně zaměřená na domácí routery, čímž je také omezená. Router pomocí ní běží za pár minut a můžete si v něm nakonfigurovat i věci, o kterých jste ani nevěděli.

Domácí router

Když stavíte domácí router, stojíte před volbou té správné linuxové distribuce. Otázek na toto téma se povaluje po diskusích hromada, ale nikdo vám nic přesného neřekne, protože neví, co vlastně potřebujete. V prvé řadě vaše volba závisí na tom, kolik času tomu chcete věnovat, jaký máte hardware a kolik se toho chcete naučit. Pokud jde o klasický x86 počítač, třeba nějaké miniITX a vaše časové možnosti jsou velké, tak můžete sáhnout po běžné distribuci bez X serveru. Dobré je třeba Gentoo, Ubuntu Server, Debian, Slackware. Výhodou jsou prakticky neomezené možnosti služeb takového serveru od streamování DVB-T nebo S přes webový server až po síťový disk.

Pak je tu druhá možnost, kdy se chcete také něco naučit, ale zařízení, které se chystáte použít, má jen několik málo MB flash paměti. V takovém případě je vhodné OpenWRT, kde se do 8 MB vleze většina potřebného softwarového vybavení a i když OpenWRT ledasco ulehčuje, složitější věci si stejně musíte naskriptovat klasicky linuxovsky. Pokud neexistuje nějaké komunitní upravené OpenWRT pro váš malý router, tak krom originálního firmwaru nebudete mít moc jiných možností než právě OpenWRT.

Pak je tu třetí možnost, kdy pro konkrétní účel můžete použít konkrétní distribuci. Tak např. potřebujete router se síťovým tiskem, sdílením tiskárny, nahozeným QOS, sdílením sítě po kabelu a WiFi, s jednoduchou konfigurací a hlavně přehled o tom co se na síti děje. Přitom potřebujete vše nahodit co nejrychleji. Takovou distribucí je IPFire. Po CLI instalaci je vše základní již nakonfigurované a o příkazovou řádku ani nezakopnete. Je vhodný pro každého, kdo má alespoň základní znalosti sítí a angličtiny nebo němčiny.

 IPFire

Distribuce IPFire je jednoúčelový operační systém, kde se nemůžete moc rozhodovat ani nad počtem síťových rozhraní. Je nastavena tak, aby její konfigurace byla co nejjednodušší a seděla na většinu domácích sítí, tedy jedno rozhraní do internetu, druhé do domácí sítě, třetí na WiFi a čtvrté do demilitarizované zóny. DMZ a WiFi není povinností, ale bez minimálně dvou rozhraní si neporadíte. Jako bonus je velký důraz kladen na bezpečnost a splní nároky i některých kanceláří.

Hlavními výhodami jsou:

  • Rychlá instalace
  • Stabilní vývoj
  • Instalovatelné doplňky pro rozšíření funkcionality
  • Mocné webové rozhraní
  • Vysoká bezpečnost
  • Jednoduchá záloha kompletního systému

Instalace

Instalační média se dají stáhnout ve dvou variantách pro instalaci z CD média a z USB flash disku. Navíc je k dispozici image pro virtualizační technologii XEN, pro malé desky Alix a obecný image pro běh na embedded zařízeních. Velikost všech variant se pohybuje mezi 70 a 80 MB. Další prostor je potřeba pro ukládání logů, případně dat uživatelů, ale pokud nepotřebujete ukládat hromadu dat, měli byste se bez problémů vejít na 1 GB CF kartu. Samozřejmě bude IPFire fungovat i s jakýmkoli běžným pevným diskem.

IPFire - instalace/webinterface

Instalátor není nějak komplikovaný a zeptá se jen na jazyk, klávesnici, hesla, souborový systém a nastavení sítě. Sám si umí rozdělit disk, postará se o hardware, sestaví ramdisk a připraví všechno co je potřeba pro základní běh routeru. Po nabootování tedy máte plně připravený router, který můžete ještě dále vylepšovat a rozšiřovat.

IPFire - instalace/webinterface

Během instalace narazíte na pojmy zelené, červené, modré a oranžové rozhraní. Barvy jsou tu určitou analogii k použití rozhraní a systém s nimi takto také pracuje. Zelené rozhraní označuje bezpečnou vnitřní síť, modré představuje vzduch, tedy připojení do vnitřní sítě přes WiFi, na oranžové rozhraní označuje DMZ, kde jsou připojené stroje, na které je potřeba dát si pozor, jako jsou třeba servery a nakonec červené rozhraní označuje nebezpečné připojení do internetu. Při instalaci si můžete vybrat, které fyzické rozhraní je jaké.

Webové rozhraní

Hlavní správa IPFire se provádí přes webové rozhraní na adrese vnitřního rozhraní přes protokol HTTPS a portu 444. Příklad takové adresy je třeba tento:

https://192.168.1.1:444/ 

Uživatelské jméno pro přístup do administrace je „admin“ a heslo jsme volili při instalaci.

Základní informace a zálohování

Webové rozhraní je rozdělené na několik sekcí, kde hned první se věnuje základnímu přístupu k routeru přes SSH, ukazuje nějaké základní informace, obsahuje nastavení samotného webového rozhraní a hlavně tu najdeme velmi pěkný zálohovací systém.

IPFire - instalace/webinterface

Ten umožňuje správci stáhnout si kompletní iso soubor a malý soubor s konfigurací, pomocí kterých nahodí nový router během několika minut.

Grafy

Nebylo by správného routeru bez komplexních statistik jeho činnosti a IPFire má statistiky opravdu bohaté. Krom sledování činnosti na síti umožňuje sledovat i stav např. disků, paměti, zatížení procesoru, ale i jednotlivá spojení. Pomocí programu vnstat zobrazuje graficky i kompletní statistky přenosu dat.

IPFire - instalace/webinterface

 Firewall

Základem každé dobré sítě je firewall. IPFire má připravená pravidla a chainy v iptables pro každé své barevné síťové rozhraní a přes webové rozhraní můžete zasahovat do jeho chodu. V sekci firewall můžete pohodlně nastavit port forwarding neboli destination NAT, přístup na porty z vnější sítě, tedy červeného rozhraní, mód odchozích spojení z vnitřní sítě a jsou tu k nalezení i volby pro větší ochranu před útoky apod. Většina změn v konfiguraci se dá udělat na několik málo kliknutí a není potřeba zvláštních znalostí iptables.

IPFire - instalace/webinterface

 Proxy

Dalo by se říci že základem IPFire je práce s proxy a blokováním obsahu přenášených dat. Jako proxy je zde populární Squid a může být nastaven i jako transparentní proxy. Z něj IPFire vyždímá vše, co by se v domácích podmínkách mohlo hodit. K proxy můžete nastavit omezený přístup, omezovat s ní celkovou rychlost přenášených dat. Dále jsou tu nástroje na filtrování dat, odstraňování reklamy, blokování přístupu na různé URL i služby.

IPFire - instalace/webinterface

Konfiguruje se zde i všechno, co souvisí s DHCP a DNS na zeleném rozhraní.

 IPSec, QOS, OpenVPN

Pro připojení do vnitřní sítě se dá použít IPSec a OpenVPN. Obojí se konfiguruje v menu services a nezabere to víc než několik kliknutí. Dále zde najdeme konfiguraci QOS neboli Quality of Service, pomocí které můžeme rozdělit přidělené pásmo mezi počítače ve vnitřní síti, případně jednotlivým službám. Zajímavá je funkce pro detekci proniknutí pomocí snort.org.

bitcoin_skoleni

IPFire - instalace/webinterface

 Balíčky a logy

V posledních dvou položkách menu se nachází prohlížeč logů systému a správce rozšíření. Mezi těmi můžeme dále najít např. Postfix, QEMU, XEN, Amavisd, Spamassassin, Javu, cups, bluetooth a mnoho dalšího. Z IPFire lze tedy udělat i emailový server, spouštět na něm virtualizované systémy, tisknout atd. Jednoduchá je i aktualizace standardních i doplněných částí, kterou lze nastavit na automatické stahování i instalaci, takže o routeru nebudete vůbec vědět a stále zůstane aktualizovaný.

IPFire - instalace/webinterface

Závěr

Sečteno a podtrženo, pokud vám vyhovuje, jakým způsobem IPFire pracuje, resp. jak přistupuje k jednotlivým síťovým rozhraním, tak pro vás udělá dobrou práci s minimálním nasazením vašeho vlastního času. Je vytvořen s důrazem na bezpečnost a jednoduchost, to mu ovšem neubírá na jeho funkcích. Dokáže téměř vše, co byste doma mohli potřebovat.

Odkazy

Autor článku

Adam Štrauch je redaktorem serveru Root.cz a svobodný software nasazuje jak na desktopech tak i na routerech a serverech. Ve svém volném čase se stará o komunitní síť, ve které je již přes 100 členů.