Condividere la connessione a internet

Da Guide@Debianizzati.Org.
Vai alla navigazione Vai alla ricerca
Document-page-setup.png Attenzione: questo articolo è ancora incompleto e in fase di scrittura da parte del suo autore.

Sentitevi liberi di contribuire, proponendo modifiche alla guida tramite l'apposita pagina di discussione, in modo da non interferire con il lavoro portato avanti sulla voce. Per altre informazioni si rimanda al template.


Premessa

Oggi che la maggior parte degli utenti domestici ha la possibilità di accede ad internet con connessioni a banda larga (ad esempio ADSL) e che è sempre più frequente avere a disposizione almeno un paio di computers si avverte la necessità di poter condividere la connessione tra i vari computer della nostra rete domestica.

GNU/Linux è probabilmente la scelta più indicata in questi frangenti, essendo un sistema operativo nato espressamente in ambiente di rete: moltissimi dei router sul mercato fanno uso di GNU/Linux come sistema operativo, perchè non farlo anche noi ?

Prerequisiti

Tutto quello di cui abbiamo bisogno è la nostra Debian, una scheda di rete per ciascun pc da collegare alla rete locale ed un hub o switch.

Per fare in modo che Debian si comporti come un router avremo bisogno anche di iptables. Vi rimando alla guida Debian e iptables per la sua corretta installazione e configurazione.

Configurazione

Per fare in modo che Debian faccia da gateway tra i pc della LAN e internet dobbiamo utilizzare una tecnica chiamata masquerading (mascheramento) degli indirizzi locali.
Il motivo è semplice: per accedere a internet è necessario avere un indirizzo IP di tipo pubblico, che il nostro ISP ci fornisce. Per permettere anche ai computer sprovvisti di indirizzo pubblico di navigare, dobbiamo fare in modo che i loro indirizzi di tipo privato vengano "nascosti" dietro a quello pubblico.

Masquerading

Loghiamoci come utente root e digitiamo il seguente comando: 

# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

questo abilita il mascheramento degli indirizzi privati.

Ora salviamo la regola utilizzando il comando 

# iptables-save

in questo modo la regola verrà caricata ad ogni avvio del sistema, senza che sia necessario digitarla nuovamente.

Ip Forwarding

Configurare iptables non è però sufficiente. In base a specifiche universalmente accettate infatti, un pc comune non deve essere in grado di inoltrare pacchetti su una rete (non deve quindi comportarsi come un router). Questa è appunto la fondamentale differenza tra computer host e router.
Dato che per noi è fondamentale abilitare questa possibilità, dobbiamo agire su un paramentro del kernel che regola questa funzione: l' ip-forwarding.

L' ip-forwarding è abilitabile "al volo", semplicemente impostando a "1" la relativa variabile del kernel, con il comando: 

# echo 1 > /proc/sys/net/ipv4/ip_forward

così facendo però, ad ogni riavvio dovremo reimpostare la variabile.

E' possibile creare scripts appositi che impostano a "1" l' ip-forwarding, ma il sistema che presumibilmente è più comodo, consiste nell' associare questo comando alla creazione delle interfacce di rete, in fase di boot.

Per prima cosa, apriamo con il nostro editor preferito il file /etc/network/interfaces e cerchiamo la sezione relativa alla nostra scheda di rete.
Dovreste individuare qualcosa di simile a: 

auto eth0
iface eth0 inet static
	address 10.40.10.21
	netmask 255.255.255.0
	network 10.40.10.0
	broadcast 10.0.0.255

A questo punto, nella riga immediatamente successiva a "broadcast ...", inseriamo questa direttiva: 

auto eth0
iface eth0 inet static
	address 10.40.10.21
	netmask 255.255.255.0
	network 10.40.10.0
	broadcast 10.0.0.255 
        pre-up /etc/network/iface-secure

Questo comando dice allo script che si occupa di configurare la scheda di rete di lanciare un' altro script, e cioè /etc/network/iface-secure, che provvediamo subito a creare con il comando: 

# touch /etc/network/iface-secure

All' interno di questo file scriveremo il nostro comando per abilitare l' ip-forwarind: 

echo 1 > /proc/sys/net/ipv4/ip_forward

Possiamo anche aggiungere un paio di semplici regole per rendere il tutto più sicuro: 

echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

Server DNS

Per poter navigare su internet, è necessario che i PC della nostra rete locale abbiano accesso ad un server DNS che traduca per noi gli indirizzi internet in indiritti IP.

Un modo per fare questo consiste nell' impostare per ciascuno dei nostri PC i server DNS forniti dal nostro provider.

Esiste tuttavia un' alternativa molto più comoda e performante: creare un nostro server DNS ed utilizzarlo in sostituzione di quelli del provider. Questa soluzione porta ad alcuni vantaggi:

  • sui pc della LAN dovremo configurare sempre un solo server DNS immutabile e che conosciamo bene (senza faticose ricerche);
  • i tempi di risposta sono nettamente più performanti rispetto a server esterni alla LAN, sia perchè il server è raggiungibile direttamente (senza instradamento attraverso internet), sia perchè sfrutta un sistema di cache (se 10 pc chiedono l' indirizzo di debian.org, ad esempio, il nostro DNS effetterà la richiesta solo la prima volta e per le restanti 9 utilizzerà le informazioni memorizzate nella propria cache);
  • grazie a questo meccanismo di caching i dns del provider sono meno stressati e quindi più performanti a loro volta.

Per realizzare il nostro server useremo bind, probabilmente il miglior software esistente per questo compito.

Per prima cosa installiamo bind9 ed alcuni strumenti utili: 

# apt-get install bind9 bind9-host dnsutils

Ora configuriamo il server in modo che faccia le sue richieste ai server DNS che vogliamo noi anzichè ai ROOT SERVERS (sono pochi in tutto il mondo, molto stressati e aggiornati più lentamente di altri). Tutto quello che dobbiamo fare è editare la sezione options del file /etc/bind9/named.conf.options: 

options {
directory "/var/cache/bind";

forward first;
forwarders {
INDIRIZZO IP DNS PRIMARIO; #varia a seconda del provider
INDIRIZZO IP DNS SECONDARIO; #varia a seconda del provider
};

auth-nxdomain no; # conform to RFC1035
};

Ora non ci resta che riavviare bind con il comando: 

# /etc/init.d/bind9 restart

e configurarlo come DNS sui pc della nostra rete.

Test

Conclusioni

Autore: Debianizzati.Org
Revisione: keltik

Estratto da "https://guide.debianizzati.org/index.php?title=Condividere_la_connessione_a_internet&oldid=410"