Рабочая среда

Чтобы дальнейшее конфигурирование имело смысл, перед запуском программного обеспечения маршрутизатора Linux следует определить среду, в которой маршрутизатор будет работать.

В первую очередь необходимо определить iP-адреса. В незащищенной сети используются адреса от 200.200.200.0 до 200.200.200.255 с маской сети 255.255.255.0. Маршрутизатор, который соединяет сеть с внешним миром, имеет адрес 200.200.200.1, а маршрутизатор, который создается, на своей незащищенной стороне имеет адрес 200.200.200.254. Это подлинные iP-адреса, они уникальны и вся сеть internet знает об их существовании. Если маршрутизатор для внешнего мира позволяет, то компьютер из internet может соединяться с любым хост-компьютером в незащищенной локальной сети.

Защищенная сеть использует адреса с 10.10.10.0 до 10.10.10.255 с маской сети 255.255.255.0. Маршрутизатор, соединяющий защищенную локальную сеть с незащищенной, на своей защищенной стороне использует iP-адрес 10.10.10.1. Это ложные, немаршрутизируемые iP-адреса. Внешний мир не знает о существовании хост-компьютеров в локальной сети, у него с ними нет прямой связи. Маршрутизатор (в роли брандмауэра) скрывает существование безопасной сети от остального мира (включая незащищенную сеть).

В создаваемом маршрутизаторе устройство eth0 будет соединено с незащищенной локальной сетью (iP-адрес 200.200.200.254), а устройство ethl будет соединено с защищенной сетью (iР-адрес 10.10.10.1).

Из защищенной сети можно выполнять только исходящие, но ни в коем случае не входящие

соединения. Более того, будет использоваться возможность ядра Linux, известная как iP masquerading (iP-подмена), для использования механизма защиты network address translation (трансляция сетевого адреса). При трансляции сетевого адреса маршрутизатор не только выполняет маршрутизацию данных из защищенной ЛВС и обратно, но, когда компьютер со стороны защищенной ЛВС соединяется через маршрутизатор, он также скрывает iP-адрес соединяющегося компьютера и транслирует его в адрес незащищенной ЛВС. Соединение нельзя отследить обратно, к действительному iP-адресу хост-компьютера, что помогает скрыть хост-компьютеры защищенной сети от остального мира.

Поскольку защищенная сеть использует немаршрутизируемые iP-адреса, хост-компьютеры незащищенной сети не знают о существовании защищенных хост-компьютеров и не могут связаться с ними. Аналогично, маршрутизатрр, соединяющий незащищенную сеть с internet, не знает о существовании внутренней, защищенной сети, и никогда не направляет пакеты прямо к хост-компьютерам внутренней сети.