Domácí router
Když stavíte domácí router, stojíte před volbou té správné linuxové distribuce. Otázek na toto téma se povaluje po diskusích hromada, ale nikdo vám nic přesného neřekne, protože neví, co vlastně potřebujete. V prvé řadě vaše volba závisí na tom, kolik času tomu chcete věnovat, jaký máte hardware a kolik se toho chcete naučit. Pokud jde o klasický x86 počítač, třeba nějaké miniITX a vaše časové možnosti jsou velké, tak můžete sáhnout po běžné distribuci bez X serveru. Dobré je třeba Gentoo, Ubuntu Server, Debian, Slackware. Výhodou jsou prakticky neomezené možnosti služeb takového serveru od streamování DVB-T nebo S přes webový server až po síťový disk.
Pak je tu druhá možnost, kdy se chcete také něco naučit, ale zařízení, které se chystáte použít, má jen několik málo MB flash paměti. V takovém případě je vhodné OpenWRT, kde se do 8 MB vleze většina potřebného softwarového vybavení a i když OpenWRT ledasco ulehčuje, složitější věci si stejně musíte naskriptovat klasicky linuxovsky. Pokud neexistuje nějaké komunitní upravené OpenWRT pro váš malý router, tak krom originálního firmwaru nebudete mít moc jiných možností než právě OpenWRT.
Pak je tu třetí možnost, kdy pro konkrétní účel můžete použít konkrétní distribuci. Tak např. potřebujete router se síťovým tiskem, sdílením tiskárny, nahozeným QOS, sdílením sítě po kabelu a WiFi, s jednoduchou konfigurací a hlavně přehled o tom co se na síti děje. Přitom potřebujete vše nahodit co nejrychleji. Takovou distribucí je IPFire. Po CLI instalaci je vše základní již nakonfigurované a o příkazovou řádku ani nezakopnete. Je vhodný pro každého, kdo má alespoň základní znalosti sítí a angličtiny nebo němčiny.
IPFire
Distribuce IPFire je jednoúčelový operační systém, kde se nemůžete moc rozhodovat ani nad počtem síťových rozhraní. Je nastavena tak, aby její konfigurace byla co nejjednodušší a seděla na většinu domácích sítí, tedy jedno rozhraní do internetu, druhé do domácí sítě, třetí na WiFi a čtvrté do demilitarizované zóny. DMZ a WiFi není povinností, ale bez minimálně dvou rozhraní si neporadíte. Jako bonus je velký důraz kladen na bezpečnost a splní nároky i některých kanceláří.
Hlavními výhodami jsou:
- Rychlá instalace
- Stabilní vývoj
- Instalovatelné doplňky pro rozšíření funkcionality
- Mocné webové rozhraní
- Vysoká bezpečnost
- Jednoduchá záloha kompletního systému
Instalace
Instalační média se dají stáhnout ve dvou variantách pro instalaci z CD média a z USB flash disku. Navíc je k dispozici image pro virtualizační technologii XEN, pro malé desky Alix a obecný image pro běh na embedded zařízeních. Velikost všech variant se pohybuje mezi 70 a 80 MB. Další prostor je potřeba pro ukládání logů, případně dat uživatelů, ale pokud nepotřebujete ukládat hromadu dat, měli byste se bez problémů vejít na 1 GB CF kartu. Samozřejmě bude IPFire fungovat i s jakýmkoli běžným pevným diskem.
Instalátor není nějak komplikovaný a zeptá se jen na jazyk, klávesnici, hesla, souborový systém a nastavení sítě. Sám si umí rozdělit disk, postará se o hardware, sestaví ramdisk a připraví všechno co je potřeba pro základní běh routeru. Po nabootování tedy máte plně připravený router, který můžete ještě dále vylepšovat a rozšiřovat.
Během instalace narazíte na pojmy zelené, červené, modré a oranžové rozhraní. Barvy jsou tu určitou analogii k použití rozhraní a systém s nimi takto také pracuje. Zelené rozhraní označuje bezpečnou vnitřní síť, modré představuje vzduch, tedy připojení do vnitřní sítě přes WiFi, na oranžové rozhraní označuje DMZ, kde jsou připojené stroje, na které je potřeba dát si pozor, jako jsou třeba servery a nakonec červené rozhraní označuje nebezpečné připojení do internetu. Při instalaci si můžete vybrat, které fyzické rozhraní je jaké.
Webové rozhraní
Hlavní správa IPFire se provádí přes webové rozhraní na adrese vnitřního rozhraní přes protokol HTTPS a portu 444. Příklad takové adresy je třeba tento:
https://192.168.1.1:444/
Uživatelské jméno pro přístup do administrace je „admin“ a heslo jsme volili při instalaci.
Základní informace a zálohování
Webové rozhraní je rozdělené na několik sekcí, kde hned první se věnuje základnímu přístupu k routeru přes SSH, ukazuje nějaké základní informace, obsahuje nastavení samotného webového rozhraní a hlavně tu najdeme velmi pěkný zálohovací systém.
Ten umožňuje správci stáhnout si kompletní iso soubor a malý soubor s konfigurací, pomocí kterých nahodí nový router během několika minut.
Grafy
Nebylo by správného routeru bez komplexních statistik jeho činnosti a IPFire má statistiky opravdu bohaté. Krom sledování činnosti na síti umožňuje sledovat i stav např. disků, paměti, zatížení procesoru, ale i jednotlivá spojení. Pomocí programu vnstat zobrazuje graficky i kompletní statistky přenosu dat.
Firewall
Základem každé dobré sítě je firewall. IPFire má připravená pravidla a chainy v iptables pro každé své barevné síťové rozhraní a přes webové rozhraní můžete zasahovat do jeho chodu. V sekci firewall můžete pohodlně nastavit port forwarding neboli destination NAT, přístup na porty z vnější sítě, tedy červeného rozhraní, mód odchozích spojení z vnitřní sítě a jsou tu k nalezení i volby pro větší ochranu před útoky apod. Většina změn v konfiguraci se dá udělat na několik málo kliknutí a není potřeba zvláštních znalostí iptables.
Proxy
Dalo by se říci že základem IPFire je práce s proxy a blokováním obsahu přenášených dat. Jako proxy je zde populární Squid a může být nastaven i jako transparentní proxy. Z něj IPFire vyždímá vše, co by se v domácích podmínkách mohlo hodit. K proxy můžete nastavit omezený přístup, omezovat s ní celkovou rychlost přenášených dat. Dále jsou tu nástroje na filtrování dat, odstraňování reklamy, blokování přístupu na různé URL i služby.
Konfiguruje se zde i všechno, co souvisí s DHCP a DNS na zeleném rozhraní.
IPSec, QOS, OpenVPN
Pro připojení do vnitřní sítě se dá použít IPSec a OpenVPN. Obojí se konfiguruje v menu services a nezabere to víc než několik kliknutí. Dále zde najdeme konfiguraci QOS neboli Quality of Service, pomocí které můžeme rozdělit přidělené pásmo mezi počítače ve vnitřní síti, případně jednotlivým službám. Zajímavá je funkce pro detekci proniknutí pomocí snort.org.
Balíčky a logy
V posledních dvou položkách menu se nachází prohlížeč logů systému a správce rozšíření. Mezi těmi můžeme dále najít např. Postfix, QEMU, XEN, Amavisd, Spamassassin, Javu, cups, bluetooth a mnoho dalšího. Z IPFire lze tedy udělat i emailový server, spouštět na něm virtualizované systémy, tisknout atd. Jednoduchá je i aktualizace standardních i doplněných částí, kterou lze nastavit na automatické stahování i instalaci, takže o routeru nebudete vůbec vědět a stále zůstane aktualizovaný.
Závěr
Sečteno a podtrženo, pokud vám vyhovuje, jakým způsobem IPFire pracuje, resp. jak přistupuje k jednotlivým síťovým rozhraním, tak pro vás udělá dobrou práci s minimálním nasazením vašeho vlastního času. Je vytvořen s důrazem na bezpečnost a jednoduchost, to mu ovšem neubírá na jeho funkcích. Dokáže téměř vše, co byste doma mohli potřebovat.