Se la vostra rete locale è composta da più computer, magari utilizzati per lavoro o per motivi di studio da più persone, potrebbe essere interessante inserire nell'infrastruttura un server che svolga la funzione di "mediatore" e si faccia carico di gestire l'accesso ad Internet in maniera più "ordinata"
Nel corso di questo articolo, vedremo come ottenere un risultato simile a quello illustrato in figura.
Perché farlo? Non basta un router?
Ci sono molti motivi per i quali preferire l'uso di un server dedicato rispetto ad un più semplice router domestico, ma la più importante riguarda la flessibilità.
In particolare, questo approccio vi consente di impostare sul server una serie di politiche di regolazione del traffico, accettare liberamente connessioni VPN, impostare filtri sui contenuti inadeguati, gestire il firewall e molto altro ancora.
Gli utenti Fastweb apprezzeranno inoltre la possibilità di condividere la connettività senza essere soggetti alle gravose limitazioni al numero massimo di terminali utilizzabili contemporaneamente imposte dal provider.
In ultimo, tutti coloro che abbiano oggi a che fare con un router che si blocca periodicamente a causa delle eccessive connessioni dovute ai software di P2P potranno porre rimedio al problema in modo definitivo.
Pre-requisiti
Prima di entrare nel vivo della trattazione, è necessario sincerarsi di essere dotati di quanto segue:
- Una macchina da adibire al ruolo di server, sulla quale sia installata la distribuzione CentOS: se già non l'avete, potete predisporla facilmente seguendo le istruzioni proposte in "Guida semplificata all'installazione di CentOS";
- Questo server dovrà essere dotato di almeno due schede di rete: una "rivolta" verso la LAN, l'altra verso Internet (è possibile raggiungere il medesimo risultato anche con un interfaccia soltanto, ma la procedura si complica un po'. Tale scenario non verrà quindi affrontato). In caso il vostro server ne abbia una sola, è sufficiente acquistarne una su slot PCI: si parte da appena 5-6 euro;
- Un parco di computer "client" con il quale testare il servizio (vi raccomando di usarne quantomeno due);
- Un hub, uno switch o un access point tramite i quali connettere fisicamente il server e i client: vi raccomando di evitare i router (in particolar modo quelli domestici), poiché quasi tutti i modelli integrano già un server DHCP e sono pre-configurati con una serie di opzioni che potrebbero interferire con la nostra infrastruttura;
- Partiremo dal presupposto che la rete locale sia funzionante e configurata tramite DHCP dal server stesso. Prima di proseguire, sinceratevi quindi di aver raggiunto la situazione illustrata in "Guida: realizzare un server DHCP con CentOS". Vi raccomando caldamente di non iniziare a preparare un server per il collegamento ad Internet fino a quando non sarete sicuri al 100% che la componente DHCP della LAN sia operativa e funzionante esattamente come desiderato;
- È necessario svolgere la maggior parte delle operazioni seguenti con i privilegi di root: per la massima comodità, suggerisco di accedere direttamente al sistema con tale account. Se preferite utilizzare il vostro utente deprivilegiato, potrebbe bastare comunque lanciare tutti i comandi proposti anteponendo la striga sudo ;
Verificare la rete
Accedete al server e verificate che sia possibile utilizzarlo per accedere direttamente ad Internet: per farlo rapidamente, potete seguire Applications -> Internet -> Firefox Web Browser e provare a navigare su un sito qualsiasi (in caso Firefox non sia presente, cliccate Applications -> Accessories -> Terminal ed impartite yum install firefox -y per installarlo ora, quindi provate a lanciarlo di nuovo).
Seguite quindi System -> Administration -> Network per visualizzare le vostre interfacce di rete. Dovete ora capire qual è quella rivolta verso Internet e quale quella che guarda la LAN. Per farlo, basta disattivare la prima premendo Deactivate e provare nuovamente a navigare sul web. Se l'operazione fallisce, avete trovato l'interfaccia che guarda Internet, altrimenti provate con l'altra
Una volta che avrete compreso come stanno le cose, assicuratevi che nessuna delle due sia rimasta disattivata! Per farlo, basta verificare che la colonna Status riporti l'indicazione Active (se così non fosse, selezionate l'interfaccia in questione e premete il pulsante Activate nella barra degli strumenti).
Nel prosieguo, faremo finta che eth0 sia l'interfaccia che connette ad Internet, mentre eth1 sarà quella che collega il server al resto della rete locale.
Prendete nota di questa indicazione perché ci servirà fra poco
Copiare il file di configurazione
Scaricate ora l'archivio con il file "routing.sh" ed estraetene il contenuto all'interno di una cartella a piacere (raccomando di scegliere /root/ per motivi di sicurezza e comodità)
Se per qualche motivo l'utility di gestione dei file zip non dovesse funzionare correttamente, potete installare tutto il necessario impartendo questo semplice comando da terminale:
yum install unzip file-roller zip -y
Personalizzare lo script di routing
Fate ora doppio click sul file appena estratto e, quando richiesto, scegliete Display per aprirlo nell'editor di testo
La vostra principale preoccupazione deve essere relativa alla giusta assegnazione delle due variabili WAN= e LAN1=. La prima deve essere seguita dal nome dell'interfaccia che collega il server ad Internet, mentre la seconda deve essere uguagliata al nome dell'interfaccia di rete rivolta verso la LAN.
Queste due informazioni sono quelle che vi eravate segnati durante la fase preliminare (vedi paragrafo "Verificare la rete" poco più su).
Ecco quindi che nel nostro caso di esempio si leggerà:
- WAN="eth0"
- LAN1="eth1"
Completata questa verifica, salvate il file e chiudete l'editor di testo.
Impostare i permessi giusti
Aprite ora il terminale (ricordo nuovamente ai meno esperti che si trova in Applications -> Accessories -> Terminal) ed impartite quanto segue per sincerarvi che il file sia eseguibile
chmod ugo+x /root/routing.sh
(modificate, ovviamente, il percorso a seconda della cartella nella quale avete salvato il file).
Eseguire lo script ora
A questo punto, tutto dovrebbe essere pronto per un giro di prova. Impartite quindi sh /root/routing.sh (modificando, ovviamente, il percorso a seconda della cartella nella quale avete salvato il file) ed il server dovrebbe iniziare a svolgere la sua funzione
Per sincerarvene, provate ad aprire una pagina web da uno dei client e, magari, eseguire il comando tracert megalab.it da uno dei PC Windows. La prima riga dovrebbe sempre riportare l'indirizzo del vostro server, chiaro segnale che il traffico sta passando attraverso lo stesso e tutto sta funzionando come previsto
Auto-eseguire lo script al boot
Sebbene il servizio sia ora operativo, al primo riavvio del server tutto tornerà come prima. Per essere sicuri che il "super router" continui a svolgere il proprio compito correttamente anche fra una sessione e l'altra, impartite gedit /etc/rc.local quindi accodate al file il comando usato in precedenza per abilitare manualmente l'instradamento (nel nostro caso, era sh /root/routing.sh)
Salvate, chiudete e riavviate per sincerarvi che tutto continui a funzionare.
Abilitare il "port forwarding"
Proprio come avviene su di un router tradizionale, anche il nostro server deve essere configurato opportunamente per rilanciare le porte verso i computer della LAN (in questo modo, ad esempio, sarà possibile far sì che eMule non sia più "bendato").
Per farlo, aprite il file routing.sh nell'editor di testo (potete farlo rapidamente con gedit /root/routing.sh, se avete seguito i consigli alla lettera) e localizzate la riga che recita # QUESTO BLOCCO DI ISTRUZIONI È DEDICATO AL PORT FORWARDING.
Prima del commento di chiusura del blocco di istruzioni, trovate due righe di esempio: copiate subito di seguito rimuovendo il carattere # iniziale. Si leggerà quindi:
- $IPT -t nat -A PREROUTING -i $WAN -p [scrivi tcp oppure udp] --dport [scrivi il numero della porta] -j DNAT --to [scrivi l'indirizzo IP del computer di destinazione]
- $IPT -A FORWARD -i $WAN -p [scrivi tcp oppure udp] --dport [scrivi il numero della porta] -m state --state NEW -j ACCEPT
Per configurare la regola non dovrete far altro che personalizzare questi due comandi con i vostri valori. In particolare:
- [scrivi tcp oppure udp]: sostituitelo con le sole tre lettere tcp oppure udp, a seconda del protocollo di trasporto relativo alla porta che volete gestire;
- [scrivi il numero della porta]: indicate qui il solo valore numerico della porta in questione;
- [scrivi l'indirizzo IP del computer di destinazione]: specificate qui l'indirizzo IP del PC di rete al quale dovrà essere inoltrato il traffico in questione;
Se, ad esempio, volessimo inoltrare la porta 80 TCP (server web) verso il PC che ha l'indirizzo 192.168.0.87, scriveremo:
- $IPT -t nat -A PREROUTING -i $WAN -p tcp --dport 80 -j DNAT --to 192.168.0.87
- $IPT -A FORWARD -i $WAN -p tcp --dport 80 -m state --state NEW -j ACCEPT
Salvate il file ed eseguite nuovamente lo script da terminale (nel nostro caso, era sh /root/routing.sh) per rendere immediatamente attive le modifiche.
Usate poi il sempre comodo "ShieldsUP" per sincerarvi che la porta sia effettivamente aperta come desiderato.
Gestire il server da remoto
L'impostazione predefinita del file che state utilizzando prevede che sia possibile eseguire login sul server tramite SSH oppure VNC da qualsiasi PC appartenente alla rete LAN, ma siano invece bloccate tutte le connessioni di questo tipo provenienti dall'interfaccia rivolta verso Internet.
In caso aveste la necessità di amministrare il vostro server anche durante le vacanze alle Maldive, individuate il testo PRUDENZA! Questo vi consente di gestire il server da tutto il mondo (è verso la fine), cancellate il simbolo # dalle due righe sottostanti, salvate il file e lanciate nuovamente lo script da terminale (nel nostro caso, era sh /root/routing.sh) per rendere attive le modifiche.
Ricordate soltanto che il server è predisposto di default solo per l'amministrazione via SSH. Per quanto riguarda VNC invece, potete abilitare il servizio seguendo "Come abilitare l'accesso remoto a CentOS senza che vi siano sessioni aperte".
Bloccare i contenuti inadatti
Abbiamo detto in apertura che uno dei più interessanti vantaggi garantiti da questo approccio è la possibilità di bloccare con grande comodità l'accesso ai siti "per adulti" e a tutte quelle risorse che risultino inopportune in determinate circostanze.
Per la guida operativa si veda "Bloccare Facebook, YouTube, pornografia ed altre risorse inadeguate con un server CentOS".
Altre risorse su CentOS
Le guide relative a VPN ed altri benefici relativi all'impiego di un server CentOS utilizzato come gestore della rete saranno raccolte, mano a mano che diverranno disponibili, sotto il tag "CentOS".
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati