Debian файрвол и прокси. Базовая настройка сети

Итак, я созрел для написания статьи о настройке кеширующего прокси-сервера на основе Debian Lenny GNU/Linux. Lenny я выбрал потому что остались считанные дни до его официального релиза и «за глаза» его уже называют стабильной веткой дистрибутива.
Для выполнения последующего, вам понадобится стандартная минимальная установленная система. Лично я ставил с образа netinstall. Здесь я не буду описывать установку, ибо в сети предостаточно подобных мануалов. Google вам в помощь, другими словами =)
Далее, предполагается, что вы имеете:

• сетевую карту, смотрящую во внешнюю сеть — у меня это интерфейс eth0
• карту, которая соединяет с внутренней сетью, пользователей которой мы будем выпускать во внешнюю — eth1
• доступ в интернет (желательно безлимит ), либо установочные диски. Мною описывается установка с интернета.
• компьютер с монитором (желательно), либо же компьютер во внешней или внутренней сети, с которого дистанционно можно будет устанавливать или настраивать.

Итак, мы загрузились в пользователя свежеустановленного дебиана.
Первое, что нам предстоит сделать — это настроить сетевые интерфейсы на взаимодействие с сетями, если вы не сделали это при установке. В моем случае, оба и-фейса eth0 и eth1 имеют статический адрес.
«Заходим» в рута:
$ su -
Редактируем файл интерфейсов:
# nano /etc/network/interfaces
Приводим его к подобному виду:
# The loopback network interface
auto lo
iface lo inet loopback
# address - айпи адрес, выданный нам провайдером/администратором (для внешнего интерфейса)
# или внутрисетевой адрес будущего шлюза/прокси (для внутреннего)
# netmask - маска подсети
# gateway - адрес шлюза. Также получаем у провайдера или администратора
#
# Первичный интерфейс, у меня он смотрит во внешнюю сеть.
allow-hotplug eth0
iface eth0 inet static
address 192.168.56.39
netmask 255.255.255.0
gateway 192.168.56.254
auto eth0
# Вторичный интерфейс, у меня он смотрит во внутреннюю сеть.
allow-hotplug eth1
iface eth1 inet static
address 192.168.222.254
netmask 255.255.255.0
auto eth1
Как здесь видно, мы установили на внешний интерфейс адрес 192.168.56.39, и для того чтоб нам выйти из внешней сети наружу (простите за тавтологию), мы будем проходить через машину 192.168.56.254. Для внутренней же сети, у нас будет адрес 192.168.222.254. Чтоб не путаться, представляйте шлюз как двери между улицей и квартирой, где снаружи написан номер вашего дома (внешний айпи), а внутри — надпись «выход» (внутренний айпи) (=
Сохраняем файл (Ctrl+O), отвечаем на вопрос, (Ctrl+X). Рестартуем сеть (мы еще под рутом, помните?):
# /etc/init.d/networking restart
Теперь пинганите внешний шлюз (погуглите как пинговать, лень описывать). Предполагаем, что пинг прошел удачно, иначе где-то вы уже накосячили. Айпишник правильно вписали, точно? Ну, я уверен, вы разберетесь (=
Далее, прописываем в файле /etc/resolv.conf выданный нам адрес ДНС (дескать сервер имен…)
# nano /etc/resolv.conf
Вписываем туда «nameserver ххх.хх.ххх.х» без кавычек, где вместо иксов айпишник угадайте чего.
Сохраняем файл (если такового не было, вводим при сохранении его имя).
Проверяем интернет стандартной ддос-аттакой на яндекс (= :
# ping ya.ru
PING ya.ru (213.180.204.8) 56(84) bytes of data.
64 bytes from ya.ru (213.180.204.8): icmp_seq=1 ttl=56 time=70.9 ms
64 bytes from ya.ru (213.180.204.8): icmp_seq=2 ttl=56 time=78.3 ms
…..прерываем эту радость нажатием Ctrl+C и начинаем наконец установки и настройки!
Устанавливаем сетевые репозитории Ленни в apt’е (если же вы пользуетесь дисками, гуглите по apt-cdrom и добавляйте диски)
# nano /etc/apt/sources.list
Вот мой sources.list, выбрать зеркало вы можете любое другое из доступных на debian.org:
deb http://security.debian.org/ lenny/updates main contrib
deb-src http://security.debian.org/ lenny/updates main contrib
deb http://ftp.de.debian.org/debian lenny main contrib non-free
deb-src http://ftp.de.debian.org/debian lenny main contrib non-free
Сохраняем файл. Выполняем обновление системы:
# apt-get update
# apt-get dist-upgrade
Ждем пока загрузятся и установятся пакеты, отвечаем на вопросы при необходимости). Возможно, есть смысл перезагрузиться в новое ядро (если таковое было автоматически установлено), в таком случае нужно повторить первую команду, мною в этом руководстве указанную (su -).
Устанавливаем sudo, ибо под рутом постоянно сидят только камикадзе, имбецилы и такие личности, до которых нам с вами еще расти и расти (= .
# apt-get install sudo
Ждем окончания установки, затем разрешаем нашему пользователю, от имени которого мы в дальнейшем будем работать, пользоваться этой программой:
# nano /etc/sudoers
Ищем строчку «root ALL=(ALL) ALL» и дублируем ее, подставив имя своего пользователя вместо «root». Сохраняем изменения.
Для тех, кто будет в дальнейшем использовать SSH для доступа извне, нужно установить пакет ssh. Чтоб подключиться затем к настраиваемой машине, можно будет воспользоваться на клиенте командой
$ ssh -l user 192.168.222.254
или
$ ssh user@192.168.222.254
Естественно, можно пользоваться и любим подручным софтом типа putty.

но вместо
# nano /etc/sudoers
лучше использовать
# visudo
ибо так безопаснее.