Változtasd a géped routerré! A netosztás Linux-szal lépésről lépésre

Képzeld el, hogy a hálózatod feletti teljes kontroll a te kezedben van. Nincs többé korlátozott gyári firmware, nincs többé zavaró előfizetői router, ami nem tesz mást, csak korlátoz. Itt az ideje, hogy kihozd a maximumot egy régi, porosodó számítógépből, vagy akár egy szerény Raspberry Pi-ből, és átalakítsd azt egy erős, testreszabható **Linux routerré**! Ez a cikk lépésről lépésre elvezet téged ezen az izgalmas úton, bemutatva, hogyan oszthatod meg internetkapcsolatodat Linux-szal, legyen szó otthoni hálózatról, vagy egy kisvállalkozás igényeiről.

Bevezetés: Miért érdemes Linux-ból routert építeni?

Manapság szinte minden háztartásban vagy irodában található egy router, ami biztosítja az internetkapcsolatot. Ezek a gyári eszközök általában elegendőek az alapvető igények kielégítésére, de ha ennél többre vágysz – nagyobb biztonságra, specifikusabb szabályokra, vagy egyszerűen csak szeretnél jobban érteni a hálózati működéshez –, akkor egy Linux alapú router jelenti a megoldást. De miért is éri meg a fáradságot?

• Teljes kontroll és testreszabhatóság: Egy Linux routerrel te diktálod a szabályokat. Nincs korlátozott felület, nincs rejtett funkció. Bármilyen hálózati szolgáltatást vagy szoftvert telepíthetsz, legyen szó VPN szerverről, QoS (Quality of Service) beállításokról a sávszélesség optimalizálásához, vagy akár tartalomfilterezésről.
• Fokozott biztonság: Mivel te konfigurálod a tűzfalat (**iptables**), pontosan tudod, milyen forgalom mehet át a hálózatodon. Ez lehetőséget ad robusztusabb védelmi réteg kiépítésére, mint amit egy gyári router kínálhat. Rendszeresen frissítheted a szoftvereket, és kiküszöbölheted a potenciális biztonsági réseket.
• Költséghatékony megoldás: Ha van egy régi, de még működőképes számítógéped, vagy egy Raspberry Pi-d, minimális befektetéssel egy rendkívül erős routert építhetsz. Ez sokkal olcsóbb lehet, mint egy hasonló tudású professzionális router megvásárlása.
• Hosszú távú fenntarthatóság: A nyílt forráskódú szoftverek (mint a Linux) folyamatosan fejlődnek és kapnak támogatást a közösségtől. Nem kell aggódnod, hogy a gyártó egy idő után nem frissíti többé az eszközöd firmware-jét.
• Tanulási lehetőség: A folyamat során rengeteget tanulhatsz a hálózati protokollokról, a Linux rendszerekről és a biztonságról. Ez a tudás felbecsülhetetlen értékű lehet a jövőben.

Mire lesz szükséged? Az alapok tisztázása

Mielőtt belevágnánk a sűrűjébe, nézzük meg, milyen alapvető dolgokra lesz szükséged ehhez a projekthez:

Hardverigények

• Egy Linux-alapú gép: Ez lehet egy régi asztali számítógép, egy laptop, egy mini PC, vagy akár egy Raspberry Pi. A lényeg, hogy képes legyen folyamatosan működni.
• Két hálózati interfész: Ez kritikus! Az egyik interfész lesz a WAN (Wide Area Network) port, amely a szolgáltatótól kapja az internetet, a másik pedig a LAN (Local Area Network) port, amelyre a belső hálózatod eszközei csatlakoznak. Ha a gépednek csak egy hálózati portja van, szükséged lesz egy USB-s vagy PCI-e hálózati kártyára. A WiFi adapter is tekinthető egy hálózati interfésznek, de a vezetékes kapcsolat megbízhatóbb.

Szoftverigények és alapfogalmak

• Linux disztribúció: Bármilyen, általad kedvelt disztribúció megteszi (pl. Ubuntu Server, Debian, Fedora, Arch Linux). Fontos, hogy stabil és naprakész legyen. A parancsok Ubuntu/Debian alapú rendszerekre lesznek optimalizálva, de könnyen adaptálhatók más disztribúciókhoz is.
• Alapvető parancssori ismeretek: A konfiguráció nagyrészt a terminálban fog zajlani.
• Root jogosultságok: A rendszerszintű változtatásokhoz `sudo` vagy `root` jogosultság szükséges.

Néhány alapfogalom, amit érdemes tisztázni a projekt megkezdése előtt:

• NAT (Network Address Translation): A hálózati címfordítás. Ez teszi lehetővé, hogy a belső hálózatod összes eszköze egyetlen nyilvános IP címen keresztül kommunikáljon az internettel. A router ebben az esetben átírja a kimenő adatcsomagok forrás IP címét a saját nyilvános IP címére, és visszafelé is fordít.
• DHCP (Dynamic Host Configuration Protocol): Ez a protokoll felelős azért, hogy automatikusan IP címeket, alhálózati maszkot, átjárót és DNS szerver címeket osszon ki a hálózatra csatlakozó eszközöknek. Nélküle minden eszközt manuálisan kellene beállítani.
• DNS (Domain Name System): A DNS szerverek fordítják le a doménneveket (pl. google.com) IP címekké, hogy a böngésződ megtalálja a kívánt webhelyet.
• iptables (Netfilter): A Linux kernel beépített tűzfalrendszere. Ezzel hozhatók létre a NAT szabályok és a hálózati forgalmat szabályozó szűrők.

Lépésről lépésre: A Linux router beállítása

Most, hogy tisztában vagyunk az alapokkal, vágjunk is bele a konfigurációba!

1. Hálózati interfészek azonosítása

Először is tudnunk kell, melyik hálózati interfész melyik szerepet tölti be. A WAN interfész az, amelyik a szolgáltató modeme felé néz, a LAN interfész pedig az, ami a belső hálózatodra csatlakozik (pl. egy switch-re, amibe a gépeid csatlakoznak).

Nyiss meg egy terminált, és futtasd az alábbi parancsot:

ip a

Vagy ha a régi `ifconfig` parancs van telepítve:

ifconfig

A kimeneten látsz majd több interfészt (pl. `eth0`, `eth1`, `enpXsY`, `wlan0`). Azonosítsd be a két fizikai Ethernet kártyádat. Például legyen a WAN interfész `enp1s0`, a LAN interfész pedig `enp2s0`. Jegyezd fel ezeket a neveket, mert gyakran használni fogjuk őket.

Állíts be egy statikus IP címet a LAN interfésznek. Ez lesz a belső hálózatod átjárója (a router IP címe). Például `192.168.10.1`.

Ubuntu (Netplan): Szerkeszd a `*.yaml` fájlt a `/etc/netplan/` könyvtárban (általában `01-netcfg.yaml` vagy `50-cloud-init.yaml`).

sudo nano /etc/netplan/01-netcfg.yaml

A fájl tartalma valahogy így nézzen ki (a saját interfész neveiddel és IP címeddel):

network:
  version: 2
  renderer: networkd
  ethernets:
    enp2s0:  # A LAN interfész neve
      dhcp4: no
      addresses: [192.168.10.1/24]
      nameservers:
        addresses: [8.8.8.8, 8.8.4.4] # Opcionális, ha nincs DNSmasq
    enp1s0: # A WAN interfész neve (ez általában DHCP-t használ)
      dhcp4: yes
      optional: true

A módosítások alkalmazása:

sudo netplan apply

Debian (Ifupdown): Szerkeszd a `/etc/network/interfaces` fájlt:

sudo nano /etc/network/interfaces

auto enp2s0
iface enp2s0 inet static
    address 192.168.10.1
    netmask 255.255.255.0

auto enp1s0
iface enp1s0 inet dhcp

A módosítások alkalmazása:

sudo systemctl restart networking

2. IP-továbbítás engedélyezése (IP Forwarding)

Ahhoz, hogy a router továbbítsa az adatcsomagokat a WAN és LAN interfészek között, engedélyezni kell az **IP-továbbítást** a kernelben. Ez alapértelmezetten le van tiltva biztonsági okokból.

Ideiglenes engedélyezés (újraindításig):

sudo sysctl -w net.ipv4.ip_forward=1

A változtatás perzistenssé tételéhez (hogy újraindítás után is megmaradjon), szerkeszd a `/etc/sysctl.conf` fájlt:

sudo nano /etc/sysctl.conf

Keresd meg a sort (ha létezik) `#net.ipv4.ip_forward=1`, és vedd ki előle a `#` jelet. Ha nem létezik, add hozzá a fájl végéhez:

net.ipv4.ip_forward=1

Mentsd és zárd be a fájlt. A változtatások érvényesítéséhez újraindíthatod a rendszert, vagy futtathatod:

sudo sysctl -p

3. NAT (Netfilter/iptables) konfigurálása

Most jön a lényeg, a **NAT** beállítása az **iptables** segítségével. Ez biztosítja, hogy a belső hálózatról érkező kérések úgy tűnjenek, mintha a routertől származnának, mielőtt kilépnének az internetre, és fordítva.

Először is, győződj meg róla, hogy az `iptables` telepítve van. A legtöbb disztribúcióban alapból benne van, de ha nem, telepítsd:

sudo apt install iptables

Ezután adjuk hozzá a NAT szabályokat. Cseréld ki az `[WAN_INTERFÉSZ]` és `[LAN_INTERFÉSZ]` helyére a saját interfész neveidet!

# Alapértelmezett policy beállítása (ajánlott)
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

# Engedélyezzük a már létrejött kapcsolatok kommunikációját
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

# Engedélyezzük az SSH hozzáférést a routerhez (ha távolról akarod kezelni)
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Engedélyezzük a loopback interfészt (saját magával való kommunikációhoz)
sudo iptables -A INPUT -i lo -j ACCEPT

# MASQUERADE szabály a kimenő forgalomhoz
sudo iptables -t nat -A POSTROUTING -o [WAN_INTERFÉSZ] -j MASQUERADE

# FORWARD szabályok a LAN és WAN közötti forgalomhoz
# Engedélyezzük a forgalmat a LAN-ról a WAN-ra
sudo iptables -A FORWARD -i [LAN_INTERFÉSZ] -o [WAN_INTERFÉSZ] -j ACCEPT
# Engedélyezzük a forgalmat a WAN-ról a LAN-ra, ha az egy már meglévő kapcsolat része (pl. válaszcsomag)
sudo iptables -A FORWARD -i [WAN_INTERFÉSZ] -o [LAN_INTERFÉSZ] -m state --state RELATED,ESTABLISHED -j ACCEPT

# Blokkolunk mindent, ami nem engedélyezett
sudo iptables -A INPUT -j DROP
sudo iptables -A FORWARD -j DROP

Ezek a szabályok azonnal érvénybe lépnek, de újraindítás után elvesznek. A perzisztencia biztosításához telepítsd az `iptables-persistent` csomagot:

sudo apt install iptables-persistent

A telepítés során megkérdezi, hogy el akarod-e menteni a jelenlegi IPv4 és IPv6 szabályokat. Válaszolj „Igen”-nel. Ha később módosítod a szabályokat, mentsd őket manuálisan:

sudo netfilter-persistent save

4. DHCP szerver telepítése és beállítása

A **DHCP szerver** felelős azért, hogy automatikusan IP címeket osszon ki a hálózatod eszközeinek. Telepítsük az `isc-dhcp-server` csomagot:

sudo apt install isc-dhcp-server

Konfiguráljuk a DHCP szervert. Szerkeszd a `/etc/dhcp/dhcpd.conf` fájlt:

sudo nano /etc/dhcp/dhcpd.conf

Keresd meg és töröld ki a `#` jelet a `ddns-update-style none;` sor elől.
Görgess le a fájlban, és add hozzá (vagy módosítsd) a következő blokkot a saját hálózati adataidnak megfelelően. Ne feledd, az `option routers` a routered LAN IP címe (az, amit korábban beállítottál, pl. `192.168.10.1`). Az `option domain-name-servers` lehet a routered DNSmasq címe (ha használod), vagy külső DNS szerverek címe (pl. Google DNS: 8.8.8.8, 8.8.4.4):

# Pár globális beállítás
default-lease-time 600;
max-lease-time 7200;
ddns-update-style none; # Fontos!

# A LAN hálózatunk alhálózata
subnet 192.168.10.0 netmask 255.255.255.0 {
  range 192.168.10.100 192.168.10.200; # Az IP cím tartomány, amit kioszt
  option routers 192.168.10.1;        # A router IP címe (a LAN interfész)
  option domain-name-servers 8.8.8.8, 8.8.4.4; # DNS szerverek (pl. Google DNS)
  option broadcast-address 192.168.10.255;
}

Mentsd és zárd be a fájlt.

Ezután meg kell mondanunk a DHCP szervernek, melyik interfészen figyeljen. Szerkeszd a `/etc/default/isc-dhcp-server` fájlt:

sudo nano /etc/default/isc-dhcp-server

Keresd meg az `INTERFACESv4` sort (vagy `INTERFACES`), és add hozzá a LAN interfész nevét:

INTERFACESv4="enp2s0"

Mentsd és zárd be, majd indítsd újra a DHCP szervert, és engedélyezd, hogy rendszerindításkor automatikusan elinduljon:

sudo systemctl restart isc-dhcp-server
sudo systemctl enable isc-dhcp-server

Ellenőrizd a státuszát:

sudo systemctl status isc-dhcp-server

Zöld színű `active (running)` státuszt kell látnod.

5. DNS beállítása (DNS Forwarding)

Két fő opció van a DNS feloldására a belső hálózatodon:

• Külső DNS szerverek használata: Egyszerűen megadod a DHCP konfigurációban, hogy a router a Google DNS-t (8.8.8.8, 8.8.4.4), Cloudflare DNS-t (1.1.1.1) vagy más nyilvános DNS szervert osszon ki a klienseknek. Ezt már megtetted a DHCP beállításánál.
• `dnsmasq` telepítése: A `dnsmasq` egy könnyű DNS előtét (cache) és DHCP szerver kombinációja. Előnye, hogy gyorsítja a DNS feloldást (gyorsítótárazza a lekérdezéseket), és képes helyi domainneveket is kezelni. Ez a fejlettebb, de ajánlott megoldás.

Ha a `dnsmasq` opciót választod (ami erősen ajánlott), először távolítsd el az `isc-dhcp-server` csomagot (mivel mindkettő DHCP szerverként működne):

sudo apt remove isc-dhcp-server

Telepítsd a `dnsmasq`-t:

sudo apt install dnsmasq

Szerkeszd a `/etc/dnsmasq.conf` fájlt:

sudo nano /etc/dnsmasq.conf

Töröld ki a `#` jelet (vagy add hozzá) a következő sorok elől, és módosítsd a saját IP-címeidnek megfelelően:

# Csak a LAN interfészen figyeljen
listen-address=127.0.0.1,192.168.10.1 # A routered LAN IP címe
bind-interfaces # A listen-address beállítás érvényesítése

# Külső DNS szerverek, amiket a dnsmasq használni fog
# Google DNS, de lehet más is
server=8.8.8.8
server=8.8.4.4

# DNS gyorsítótár bekapcsolása
cache-size=1000

# DHCP beállítások (HA HASZNÁLOD A DNSMASQ-OT DHCP SZERVERKÉNT IS)
# DHCP tartomány megadása (kezdő IP, végző IP, érvényességi idő)
dhcp-range=192.168.10.100,192.168.10.200,12h
# A DHCP klienseknek kiosztott átjáró (a router LAN IP címe)
dhcp-option=option:router,192.168.10.1
# A DHCP klienseknek kiosztott DNS szerver (a router LAN IP címe, azaz 192.168.10.1)
dhcp-option=option:dns-server,192.168.10.1

Mentsd és zárd be a fájlt, majd indítsd újra, és engedélyezd a `dnsmasq` szolgáltatást:

sudo systemctl restart dnsmasq
sudo systemctl enable dnsmasq

Ha `dnsmasq`-ot használsz DNS szerverként is, akkor a LAN interfész IP-jét (pl. 192.168.10.1) add meg a klienseknek DNS szerverként a DHCP beállításokban (ahogy az előző kódrészletben is látható).

Biztonsági megfontolások és további finomhangolás

Egy Linux router rendkívül rugalmas, de ezzel együtt nagyobb felelősséggel is jár. Néhány fontos tipp a biztonsághoz és a finomhangoláshoz:

• Rendszeres frissítések: Tartsd naprakészen a rendszert. A `sudo apt update && sudo apt upgrade` rendszeres futtatása elengedhetetlen a biztonsági rések javításához.
• Erős jelszavak és SSH kulcsalapú hitelesítés: Ne használj gyenge jelszavakat. A routerhez való távoli hozzáféréshez (SSH) jelszó helyett érdemesebb SSH kulcsokat használni, és tiltsd le a jelszavas belépést, valamint a root bejelentkezést. A default SSH portot (`22`) is megváltoztathatod.
• További tűzfal szabályok: Az **iptables** rendkívül erőteljes. Fontold meg a következőket:
  • Port forwardolás: Ha egy szolgáltatásnak (pl. webszerver) kívülről is elérhetőnek kell lennie, beállíthatsz **Port Forwarding** szabályokat (DNAT) az iptables-ben.
  • Bejövő forgalom korlátozása: Az alapértelmezett `INPUT DROP` szabály kiváló, de győződj meg róla, hogy minden szükséges port nyitva van (pl. ha a router maga futtat webszervert, vagy más szolgáltatást).
  • Kimenő forgalom szűrése: Ha bizonyos weboldalakat vagy szolgáltatásokat blokkolni szeretnél a belső hálózatról, azt is megteheted az iptables-szel.
• QoS (Quality of Service): Ha kiemelten fontos számodra bizonyos alkalmazások (pl. VoIP, online játékok) zökkenőmentes működése, beállíthatsz QoS szabályokat a sávszélesség priorizálására. Erre a `tc` (traffic control) parancs szolgál, de ez már haladó téma.
• VPN integráció: Hálózati szintű VPN kliens vagy szerver futtatása a routeren lehetővé teszi, hogy az egész hálózatod egy VPN-en keresztül kommunikáljon, vagy hogy távolról hozzáférj a belső hálózatodhoz. Népszerű megoldások az OpenVPN és a WireGuard.
• Hálózati monitorozás: Telepíts olyan eszközöket, mint az `iftop` vagy `nload` a valós idejű sávszélesség-használat monitorozásához, vagy a `vnstat` a forgalmi statisztikák gyűjtéséhez.
• WiFi hozzáférési pont (Access Point): Ha a routered rendelkezik WiFi kártyával, azt is hotspotként konfigurálhatod a `hostapd` csomag segítségével, így vezeték nélküli hozzáférést is biztosíthatsz a hálózatodhoz. Ez egy külön, komplexebb téma, de érdemes megfontolni.

Gyakori problémák és hibaelhárítás

Még a legtapasztaltabb felhasználók is találkozhatnak problémákkal. Íme néhány tipp a hibaelhárításhoz:

• Nincs internetkapcsolat a kliens gépeken:
  • Ellenőrizd az **IP-továbbítás** státuszát: `cat /proc/sys/net/ipv4/ip_forward`. Értéke `1` legyen.
  • Ellenőrizd az **iptables** szabályokat: `sudo iptables -L -v -n` és `sudo iptables -t nat -L -v -n`. Keresd a `MASQUERADE` szabályt a `POSTROUTING` láncban, és a `FORWARD` szabályokat.
  • Ellenőrizd az interfész neveket: Biztosan jól írtad be a WAN és LAN interfész neveit az iptables szabályokba?
  • Ellenőrizd a WAN kapcsolatot: A routered megkapja az IP címet a szolgáltatótól? `ip a show [WAN_INTERFÉSZ]`
  • Próbáld pingelni a Google DNS-t a routerről: `ping 8.8.8.8`. Ha ez sem megy, valószínűleg a WAN oldalon van a probléma.
• A kliens gépek nem kapnak IP címet:
  • Ellenőrizd a DHCP szerver (isc-dhcp-server vagy dnsmasq) státuszát: `sudo systemctl status [szolgáltatás_neve]`.
  • Ellenőrizd a DHCP konfigurációs fájlját (/etc/dhcp/dhcpd.conf vagy /etc/dnsmasq.conf): Helyes-e a tartomány, az átjáró és a DNS szerver beállítása?
  • Biztosítsd, hogy a DHCP szerver a megfelelő **LAN interfészen** figyeljen (/etc/default/isc-dhcp-server vagy dnsmasq.conf listen-address).
• Nincs DNS feloldás a kliens gépeken:
  • Ellenőrizd a DHCP által kiosztott DNS szerver címét a kliensen. Ez megegyezik-e a router LAN IP címével (ha dnsmasq-ot használsz), vagy egy külső DNS szerverrel?
  • Ha dnsmasq-ot használsz, ellenőrizd annak státuszát és konfigurációját.
  • Próbáld pingelni egy IP címet (pl. `ping 8.8.8.8`) és egy doménnevet (pl. `ping google.com`) is. Ha az IP cím megy, a doménnév nem, akkor DNS probléma van.
• A beállítások elvesznek újraindítás után:
  • Győződj meg róla, hogy az `IP-továbbítás` perzisztensen be van állítva a `/etc/sysctl.conf` fájlban.
  • Győződj meg róla, hogy az `iptables-persistent` megfelelően telepítve van, és elmentetted a szabályokat a `sudo netfilter-persistent save` paranccsal.
  • Győződj meg róla, hogy a DHCP és DNS szerverek szolgáltatásai engedélyezve vannak a `sudo systemctl enable [szolgáltatás_neve]` paranccsal.

Összefoglalás: A szabadság érzése

Gratulálok! Ha végigcsináltad ezeket a lépéseket, sikeresen átalakítottad a Linux gépedet egy teljes értékű routerré. Ez a projekt nemcsak egy funkcionális hálózati eszközt ad a kezedbe, hanem mélyebb betekintést enged a hálózatok működésébe, és megerősíti a Linux rendszerekkel kapcsolatos tudásodat. A megszerzett kontroll és a testreszabhatóság szabadságot ad, ami messze felülmúlja a gyári routerek korlátait.

Ne feledd, a Linux router világa hatalmas, és most csak a jéghegy csúcsát kapargattuk. Folytasd a kísérletezést, tanuld meg az **iptables** mélységeit, fedezz fel új hálózati szolgáltatásokat, és alakítsd a routeredet pontosan a saját igényeidre. A lehetőségek tárháza végtelen. Élvezd a hálózatod feletti új hatalmat, és oszd meg a tudásodat másokkal is!