Организация школьной локальной сети - процесс достаточно сложный. Нужно не только проложить кабели, разместить коммуникационную аппаратуру, настроить компьютеры, но и распланировать логическую структуру сети. То есть определить, какие компьютеры будет использовать администрация школы, какие компьютеры будут учебными.

Соответственно, какие компьютеры будут иметь непосредственный выход в интернет, какие будут подключаться через фильтр. Будут ли "видеть" друг друга компьютеры из разных групп. Сколько будет таких групп. Планирование такой сети - работа не менее сложная, чем настройка ПО, поскольку все ошибки планирования системы скажутся на дальнейшей работе.

 

Вышеозначенные группы компьютеров принято называть подсетями. Для них в адресном пространстве локальной сети выделяется своя сеть со своей маской. Физическое разбиение на подсети обычно реализуется с помощью дополнительных сетевых карт, установленных на шлюзовой компьютер. Есть другие варианты, но этот - самый дешевый из эффективных.

Ниже приведено схематическое изображение структуры школьной сети, состоящей из 2х подсетей. Ромбом обозначен шлюзовой компьютер. Окружностями - Swith компьютерного класса и административной подсети. Красной и зеленой линиями - соединения с соответствующими сетевыми интерфейсами (сетевыми картами) шлюзового компьютера.

 

Далее мы внесем соответствующие изменения в настройки шлюзового компьютера (см. предыдущие статьи), чтобы сделать на его основе сеть по вышеозначенной схеме.

Добавление подсети

Первое, что нужно сделать для добавления еще одной подсети, это установить еще одну сетевую карту в компьютер. Подробно на этом останавливаться не будем - процедура простая.

Затем включим компьютер и отредактируем некоторые конфигурационные файлы. Еще раз напоминаю, что конфигурационные файлы нужно редактировать от имени пользователя root, либо вызывая редактор от имени этого пользователя с помощью команды sudo, либо войдя под этим пользователем, либо заранее вызвав файловый менеджер с помощью sudo. Самый популярный Файловый менеджер у нас -  это Midnight Commander. То есть, его можно вызвать с помощью sudo mc. Все, что вы будете делать с его помощью, будет производиться от имени root, что нам и нужно.

Итак. После установки еще одной сетевой карты у нас добавился интерфейс eth2. Если вставим еще одну, появится eth3, и так далее. В любом случае нам нужно назначить этим интерфейсам адреса и правила в фаерволе.

В файле /etc/network/interfaces в самую первую строку:

auto lo eth0 eth1

меняем на

auto lo eth0 eth1 eth2

То есть в нашу систему мы добавили сетевой интерфейс.

Теперь в конец файла добавим:

iface eth2 inet static

address 192.168.1.254

netmask 255.255.255.0

Вы можете установить другой адрес вместо 192.168.1.254, но потом во всех настройках нужно будет использовать именно такой адрес. В том числе и на компьютерах в сети этот адрес будет использоваться как шлюз.

Замечание. Если у DSL-модема используется внутренний адрес 192.168.1.1, то не стоит использовать адреса из сети 192.168.1. В вышеозначенном конфигурационном файле нужно будет вписать, например, address 192.168.2.254 или address 192.168.3.254, соответственно изменив настройки, описанные ниже.

Теперь исправим настройки фаервола /etc/iptables.up.rules.

После строки -A IP_FW -i eth1 -j ACCEPT добавим строку:

-A IP_FW -i eth2 -j ACCEPT

Если вам необходим был только доступ в интернет для второй подсети, без фильтрации и учета трафика, то этого достаточно.

Если необходимо эту подсеть так же «пропустить» через фильтр, необходимо в секцию nat дописать:

-A PREROUTING -i eth2 -p tcp -m tcp --dport 3128 -j DNAT --to-destination 192.168.1.254:8081
-A PREROUTING -i eth2 -d ! 192.168.0.0/16 -p tcp -m multiport --dport 80,8080 -j DNAT 
--to-destination 192.168.1.254:8081

В этих строках eth2 обозначает номер интерфеса, который мы добавили. Когда вы добавляете еще сетевые карты, то таким образом можно дописывать конфигурацию фаервола. Вот, например, для интерфейса eth3 с ip-адресом 192.168.2.254 (сеть 192.168.2.0/255.255.255.0):

-A PREROUTING -i eth3 -p tcp -m tcp --dport 3128 -j DNAT --to-destination 192.168.2.254:8081
-A PREROUTING -i eth3 -d ! 192.168.0.0/16 -p tcp -m multiport --dport 80,8080 -j DNAT 
--to-destination 192.168.2.254:8081

В случае подсети, используемой администрацией школы необходимо заблокировать весь трафик из других подсетей. Это делается для того чтобы вредоносные программы из компьютерных классов не проникли в эту подсеть. Для этого, для интерфейсов eth1 и eth2 в секции filter сразу после строки -A IP_FW -i lo -j ACCEPT добавим:

-A IP_FW -i eth2 -o eth1 -j REJECT

-A IP_FW -i eth1 -o eth2 -j REJECT

Точно так же, если появится у вас 4я сетевая карта, то есть 3й интерфейс. Для него можно добавить:

-A IP_FW -i eth3 -o eth1 -j REJECT

-A IP_FW -i eth1 -o eth3 -j REJECT

-A IP_FW -i eth2 -o eth3 -j REJECT

-A IP_FW -i eth3 -o eth2 -j REJECT

Настройки завершены. По Windowsовской традиции перезагружаем компьютер (хотя в Linux этого можно и не делать, достаточно перезагрузить службу сети).

sudo reboot