Raspberry Pi brandvägg och Intrusion Detection System (10 / 14 steg)
Steg 10: DHCP och DNS
Med DHCP om våra RSS gör det möjligt för vår gateway skicka information till nya värdar så att:
-de skickar all sin trafik genom oss, som en gateway
-de skickar alla deras DNS-frågor till oss, som en DNS-server
Någon ny värd kommer att skyddas av vår gateway automatiskt. Det innebär att RSS kan installeras på environements där människor inte är kunnig nog att lägga vantarna på den.
DNS-cache/servern på sin sida, gör det möjligt att ha snabbare DNS-svar, eftersom de kommer att cachelagras. Några vanliga DNS-frågor är gjort flera gånger, medan svaret kan cachelagras en gång, och svarade utan fråga Internetleverantörens DNS-servrar. De mer datorerna, de mer vinsten är synlig. DNS-delen nekar också ofullständig eller dåligt DNS-förfrågningar, att lägga till säkerhet genom RSS.
Ett paket innehåller både DHCP- och DNS-i en enda daemon, och är dessutom ljuset på ressources och enkelt att konfigurera: dnsmasq.
$ sudo pacman-S dnsmasq
$ sudo vi /etc/dnsmasq.conf
## DNS-KONFIGURATION ##
# Gränssnitt för DNS
interface = eth0
lyssna-adress = 192.168.1.3
bind-gränssnitt
# Aldrig framåt vanligt namn (utan en prick eller domän del)
domän-behövs
# Aldrig framåt adresser i icke-routad adressutrymmen.
falska-priv
# Max samtidiga DNS-frågor (standard = 150)
DNS-framåt-max = 150
# DNS cache-storlek (standard = 150)
cache-storlek = 300
## DHCP-KONFIGURATIONEN ##
# DHCP-intervall och lease tid
DHCP-intervall = 192.168.1.10, 192.168.1.20, 255.255.255.0, 4 d
# Ange DHCP som auktoritär
DHCP-auktoritativ
Nu låt oss starta om dnsmasq att tillämpa våra konfiguration:
$ sudo rc.d omstart dnsmasq
Nu måste du inaktivera DHCP på ISP DSL modemet/routern. Du kan inte ha två DHCP-servrar i samma undernät.
Vid denna tid rekommenderas det starkt att testa både DHCP och DNS. Om du så önskar, följa det som är nedan.
I Windows om du har konfigurerat DHCP Skriv bara på kommandoraden:
> ipconfig/release
> ipconfig/renew
> ipconfig/all
Kontrollera att du får inte bara IP-rygg, utan också din korrekta gateway och DNS.
För att testa för DNS, är kontrollen göras på PiWall sig själv. Kör tcpdump med följande argument:
$ sudo tcpdump -i eth0 dst port 53 eller src port 53 - n - x -X - v
Sedan på din Windows-klient, till exempel, spola DNS-cachen sedan göra en ping till www.google.com:
> ipconfig/flushdns
> ping www.google.com
Kontrollera med tcpdump att begäran gjordes av Windows-klienten till RSS och att denna vidarebefordrar den till externa DNS-servern, att äntligen ge svaret på Windows-klienten. Upprepa DNS-flush och ping på Windows-klienten, och denna gång RSS bör svara direkt utan att skicka en DNS-fråga utanför.