Linux jako router a firewall

9. března 2023

Lang: cs en de es

Pokud máte víc než jedno internetové zařízení potřebujete router. Zároveň potřebujete chránit zařízení ve vaší síti před nebezpečným Internetem a někdy i před vašimi vlastními zařízeními. K tomuto všemu potřebujete router s firewallem. A toto je přesně jedna s úloh na kterou se hodí operační systém Linux. Při použití mnohofunkčního Linuxu navíc získáte další funkcionality, které můžete použít. A další výhody standardizovaného linuxového řešení, které oceníte v dlouhodobém použití. Jaké konkrétní výhody má Linux na routeru a jak si takové řešení zajistit se dozvíte v tomto článku.

Co je to router?

Router je síťové zařízení, které slouží k propojení různých sítí a směrování datových paketů mezi nimi. Router obvykle pracuje na síťové vrstvě OSI modelu a umožňuje přenos dat mezi různými sítěmi s různými protokoly. Router může být použit v různých typech sítí, včetně LAN (lokální sítě), WAN (široké sítě), MAN (městské sítě) nebo internetové sítě. Router může sloužit také k distribuci připojení k internetu pro více počítačů v domácí nebo kancelářské síti. Kromě směrování dat router může poskytovat další funkce, jako je například firewall, který zajišťuje bezpečnost sítě, NAT, který umožňuje sdílení jedné veřejné IP adresy pro více zařízení v privátní síti, a DHCP, který umožňuje automatickou konfiguraci sítě a přidělování IP adres zařízením v síti.

Co je to NAT?

NAT (Network Address Translation) je technologie v počítačových sítích, která umožňuje měnit IP adresy a porty paketů přenášených mezi sítěmi. NAT se nejčastěji používá k propojení privátních sítí s veřejnou sítí, jako je například internet. To umožňuje, aby více zařízení v privátní síti používalo jednu veřejnou IP adresu, protože veřejných IPv6 adres je nedostatek. Někdy to uživatele považují i za zvýšení bezpečnosti sítě, ale k bezpečnému oddělení slouží firewall. NAT také může sloužit k filtrování přístupu do sítě a skrývání interních IP adres před vnějším světem.

Co je to firewall?

Firewall (česky "ohraničovač") je bezpečnostní systém, který slouží k ochraně počítačové sítě nebo jednotlivých počítačů před neoprávněným přístupem, útoky a škodlivým softwarem z internetu nebo jiných sítí. Firewall funguje na základě určitých pravidel a filtrů, které určují, které síťové služby jsou povoleny nebo zakázány a které typy sítě mohou přistupovat ke konkrétním zdrojům. Firewall může být realizován v softwarově nebo hardwarové formě. (Za softwarový se považuje firewall na vašem počítači. Hardwarový je specializované zařízení, které má uvnitř blíže nespecifikovaný software, a tuto krabičku umístíte na hranici vaší sítě) firewall může být umístěn v různých bodech sítě, např. na routeru, serveru nebo na koncových stanicích. Hlavním účelem firewallu je zvýšit bezpečnost a ochranu počítačové sítě a minimalizovat riziko útoků ze sítě.

Proč nepoužívat běžně dostupné routery?

  • Málo funkcí.
  • Přesto, že téměř vždy uvnitř běží Linux, nejsou dostupné jeho pokročilé a pestré funkce.
  • Každé zařízení má jiné funkce.
  • Každé zařízení má jiné administrační rozhraní. Čili pokaždé se ho musíte učit znova.
  • Často chybí ssh přístup

Linux

Právě úlohu routeru, NATu, firewallu a dalších činností výborně zajistí Linux. Díky Linuxu tak získáte univerzální a mocný základ.

Proč Linux?

Proč mít na routeru linux? Proč mít jako firewall linux?

  • Flexibilita: Linuxové distribuce nabízejí mnoho funkcí a nástrojů, které umožňují konfigurovat router tak, aby vyhovoval specifickým potřebám uživatele. Díky tomu si můžete systém sestavit a nakonfigurovat plně na míru vašim potřebám.
  • Bezpečnost: Linux je známý svou bezpečností. Díky architektuře unixového typu, otevřenému zdrojovému kódu, masovým používáním a testováním je zajištěna vetší bezpečnost.
  • Výkon: Linux je nenáročný na výkonu, díky tomu a může běžet na starších zařízeních ne s novým hardwarem zajistit provoz na vytížených spojích.
  • Stabilita: Linux je známý pro svou stabilitu a spolehlivost, což znamená, že firewall postavený na tomto operačním systému bude mít mnohem nižší šanci na pády a výpadky.
  • Náklady: Linux je zdarma a mnoho Linuxových distribucí pro routery jsou také zdarma. Nemusíte tak řešit neustále platby a správu licencí.
  • Podpora: Linux má obrovskou komunitu uživatelů a vývojářů, což znamená, že uživatelé mohou najít jednoduše pomoc v řadách dobrovolníků nebo profesionálů. Existuje mnoho diskuzních fór a dokumentace, která obsáhlá a kvalitní, což vám usnadní konfiguraci routeru.
  • Standard: Linux je univerzální multiplatformní standardizované řešení. Můžete ho proto provozovat na různých zařízeních od různých výrobců a různých procesorech.
  • Multifunkční: Na zařízení s Linuxem můžete provozovat i další služby jako je VPN, web server, síťovou tiskárnu síťové úložiště.
  • Aktualizace: protože Linux je jeden z nejpoužívanějších operačních systému, tak pro něj pravidelně pro něj vychází aktualizace, které vám zajistí v první řadě bezpečnost a dále i nové funkce.
Díky linuxovému routeru v kombinaci s firewallem můžete rozdělit firemní síť na jednotlivé části a tím v kombinaci s firewallem výrazně lépe ochránit vaši síťovou infrastrukturu.

Jak získat router s Linuxem?

Máte několik možností jak si zajistit router s Linuxem:

  • Výrobce podporuje Linux. Například router Turris je dodáván se standardním Linuxem.
  • Běžný počítač - na běžný počítač s více síťovými kartami můžete nainstalovat Linux nebo Linuxovou distribuci předpřipravenou pro funkci routeru.
  • Hardware vyvíjený jako router s podporou Linuxu. Existují různé desky s CPU x86 nebo SOC ARM jako je například Banana PI R1, která je ideální pro použití jako router. Prodávají se i již zapouzdřené zařízení, určené pro použití jako router.
  • Pořídit běžný router, u kterého si dopředu ověříte, ze na něj můžete nahrát OpenWRT

Jaké jsou linuxové distribuce určené pro router/firewall?

Existuje mnoho linuxových distribucí, které jsou optimalizovány pro použití jako firewall. Některé jsou místo na Linuxu založené na BSD Jsou to například tyto distribuce:

  • pfSense: je založeno na FreeBSD. Komerční projekt, firma s tímto systémem dodává vlastní routery.
  • OPNsense: je založeno FreeBSD.
  • IPFire: Linuxová distribuce, která poskytuje široké spektrum funkcí firewallu a sítě.
  • IP cop - již nevyvíjená
  • ClearOS: Linuxová distribuce určená pro použití jako firewall, router a brána. Poskytuje také další funkce, jako je sdílení souborů, e-mailové servery a správa uživatelů.
  • RaspAP - aplikace, kterou si můžete doinstalovat do Debian base systémů.
Tyto distribuce jsou navrženy tak, aby co nejvíce usnadnily instalaci, konfiguraci a správu zařízení, které bude sloužit jako router a firewallu. Řeší nejen zabezpečení sítě, ale nabízejí širokou škálu dalších funkcí.

Video

Video Linux jako router a firewall a jak si o zajistit:

Jak je a by řešen v Linuxový firewall?

Když se bavíme o linuxovém firewall, tak je dobré vědět na čem je postaven. Protože se to průběžně měnilo, tak to vezmeme s historií.

ipfwadm

V letech 1995 – 1999 v jádře verze 1.2.1 – 2.2.0 byl firewall řešen technologií jménem ipfwadm Jednalo se o bezstavový filtr, byl IPv4 only. Neřešil NAT - ten se musel řešit stranou. Každý paket se posuzoval zvlášť. Firewall se musel nastavit tak, že se buď otevřel všem nebo nikomu, což je méně bezpečné.

ipchains

Mezi lety 1999 – 2001 v jádře verze 2.2.0 – 2.4.0 se používal ipchains. Do dneška na tuto technologii na internetu najdete návody. Měl podporu IPv6., více protokolů Stále bezestavový filtr a tedy stejné nevýhody.

iptables

Od roku 2001 je v jádře verze 2.4.0 technologie iptables/netfilter. Zatím je stále možno na něj přepnout Plně stavový firewall. Umí fungovat i bezstavově univerzální netfilter (hooky), conntrack a NAT + iptables implementující obecné tabulky s pravidly. Díky tomu je možno nastavit a používat plně stavový filtr. (umí i bezestavový).

nftables

Od leden 2014 je k dispozici nftables . V jádře je dostupný od verze 3.13 Nenahrazuje netfilter, jen iptables.

V letech 2022 je nftables běžně k dispozici v serverových linuxových distribucí. Například Debian 10 Buster ho má nastaven jako výchozí.

Firewall nadstavby

Iptables a nftables je nástroj pro správu firewallu v operačním systému Linux. Pomocí iptables nebo nftables může uživatel nastavit pravidla pro přijímání, blokování a přeposílání síťového provozu na základě různých kritérií, jako jsou zdrojová a cílová adresa, port, protokol a další. Iptables/nftables je integrován přímo v jádře Linuxu, což umožňuje efektivní a výkonnou ochranu sítě.

Nemusíte se však ponořovat do hloubky technologie iptables respektive nftable. K dispozici jsou nástroje pro správu firewallu, které nabízejí jednoduché uživatelské rozhraní pro konfiguraci firewallu.

Zjednodušené nástroje pro konfiguraci firewallu, které nabízejí jednoduché uživatelské rozhraní a snadnou správu pravidel jsou tyto:

  • Shorewall je nadstavba, která je defaultně v distribuci Mageia
  • UncomplicatedFirewall (UFW) najdete například defaultně v distribuci Ubuntu a jeho klonech
  • Firewalld umožňuje správu firewallu pomocí jednoduchého rozhraní příkazové řádky nebo grafického rozhraní a také umožňuje dynamické řízení přístupu ke službám pomocí tzv. zón. Firewalld je výchozí firewall řešení pro distribuce Linuxu, které používají systémový démon systému systemd. Mezi tyto distribuce patří například RHEL/CentOS 7 a novější, Fedora 18 a novější a OpenSUSE 15.0

Doplňky

Protože Linux je otevřené řešení odjakživa vznikají doplňky, které využívají funkce přímo linuxového kernelu a nebo si můžete naprogramovat vlastní. Ale to už se týká specifických požadavků jako je data centrum, pokročilé sledování co se děje na síti nebo poskytování internetového připojení.

Nasazení Linuxu

Nasadit Linux je jednoduché, můžete použít běžný počítač, vyřazený router nebo si vyzkoušet linuxový router na virtuálním počítači(VPS). Pokud potřebujete poradit s implementací Linuxu jako routeru a firewallu neváhejte se na mě obrátit, poskytuji IT služby v oblasti vývoje a Linuxu.

Články na podobné téma

Změna licencování VMware
Provoz Microsoft SQL serveru na Linuxu
Zálohování: Proxmox backup server
Jak náhrát docker image do Docker Registry
Linux: Logical Volume Management
Linuxový softwarový RAID
Provoz webové aplikace za proxy
Migrace mail schránek
Docker multistage build
Zálohování dat zapnutím počítače
Podman
Import Windows do virtualizace Proxmox
Docker a PHP mail
Virtualizace Proxmox
Docker a Cron
Lenovo ThinkPad X1 Carbon: zprovoznění LTE modemu EM7544
Yocto Project: Build vlastního operačního sytému pro embedded zařízení
Příprava linuxového serveru pro běh webové aplikace v jazyce Python
Jak řešit špatný výkon sdílených souborů u Dockeru
Jak začít správně používat Docker
Instalace Linuxu na dedikovaný server HPE ProLiant DL320e
Jak provést zátěžový test webové aplikace
Proč používat filesystém JFS
Jak bootovat z 4TB disku s GTP pomocí UEFI
Jak nainstalovat operační systém Mageia Linux bez DVD mechaniky
Souborový systém Btrfs
Raspberry PI
Jak zprovoznit vzdálené přehrávání přes síť na televizi s DLNA
Upgrade Mandriva Linuxu za běhu
Poznámky ke GNU/Linux
WINE - spouštíme programy pro Windous pod Linuxem
Operační systém GNU/Linux

Odběr novinek

Pokud máte zájem dostávat příležitostně na email novinky.
Můžete se vyplněním emailu registrovat k odběru novinek.


+