Мини-шлюз с файерволом для мониторинга/изоляции других ВМ или подсетей с менее доверенными сервисами. Также будет полезен при изучении iptables, ipset, vlan, qinq, бриджинга.
{ Ваша доверенная сеть } -- { TinyGateway} --- { Недоверенные / заражённые VM / подсети } * Изоляция тестовых сред от домашней / рабочей локалки. Особенно полезно при наличии broadcast / multicast протоколов - такой шлюз их отсекает. * Запуск уязвимых сред / работа с вредоносным ПО * Анализ траффика из заражённых локальных сетей. * Мониторинг и анализ траффика приложений (телеметрия и прочее) * Тестирование работы сетевых приложений с эмуляцией нестабильных / медленных каналов * Подключение в сети с тегированным (VLAN) и дважды тегированным (2x8021q-QinQ) траффиком. * Организация whitelist-подсетей (ВМ-среды для банкинга/крипты с доступом по белым спискам) * Изучение сетей и сетевых протоколов. Подобная ВМ особенно полезна, когда вам надо поднять большое количество подобных экземпляров.
* Применимо как для виртуалок, так и для реальных сетевых сегментов * Очень легковесная. Диск 64 Мб развёрнутый, оперативной памяти ест от 50 Мб. * DHCP-клиент на первой сетевухе eth0 - EXT, аплинк * DHCP-сервер на второй сетевухе - INT, к другим ВМ * Поддержка VLAN / QinQ (см. пример /opt/eth1-vlan69.sh) * Серверы DNS / DHCP / TFTP на DNSMasq * SSH-сервер на аплинке EXT, eth0 (авторизация по ключам) * tc - поддержка Traffic Control / QoS * brctl - бриджи / STP * Quagga - протоколы динамической марщрутизации BGP/RIP/OSPF * Эмулятор SMTPd /opt/other/fake_smtpd.sh для ловли спама * tcpdump * Сканер портов nmap * links, wget, mc, iperf3, htop, sshpass, nc, iproute2 * Файервол iptables /opt/fw.sh : + Списки адресов на ipset /opt/fw-pre.sh + Изоляция между подсетями INT-EXT (запрет доступа в локалку) /opt/fw.sh + Отключение файерврола /opt/other/fw_bypass.sh + Ручной дополнительный блоклист banist /opt/other/txt2_banlist.sh + Hashlimit - лимит DNS/NTP/SSDP флуда из INT LAN в интернет + Лимиты SSH/Mail траффика из INT LAN в интернет + probability - эмуляция нестабильно канала, см. VLAN69 Ограничения pps / полосы в отдельно тегированном влане VLAN69 * Производительность. + на одном vCPU от Core i7-2600K и 64 Мб ОЗУ ВМ показала 200 Mbps на спидтест-траффике в каждую из сторон
- установите VirtualBox, импортируйте ova-файл - Для не-тестовых нагрузок после импорта увеличьте выделенную ОЗУ хотя бы до 96-256 Мб - в настройках VM первой сетевой карте поставьте режим NAT или сетевой мост с доверенной сетью, откуда у вас интернет. Как правило, это ваша основная сетевая карта. - для второй сетевой карты укажите либо внутреннюю сеть с заданным именем (если планируется обслуживать только локальные ВМ), либо сетевой мост с тем интерфейсом, где у вас подсоединена недоверенная сеть - Если планируется обслуживать более 20 машин - добавьте одно-два ядра и 128-256 Мб памяти - Запустите ВМ. Система при первой загрузке сгенерит ключи для SSHd и залогинится локально - введите команду backup для сохранения этих ключей. - ВМ готова к работе
Обязательно от пользователя tc, от рута пакетный менеджер не стартует. su - tc
запускаем tce жмём [S], вводим подстроку для поиска пакета, например, screen Вводим цифру предложенного варианта Читаем описание, версию, размер пакета. Если всё правильно - жмём один раз [Q], чтобы выйти из описания. Далее жмём [I] , чтобы начать установку. По завершении снова жмём [Q], чтобы выйти из пакетного менеджера tce.
Настраиваем установленное, если надо, к изменённым конфигам дописываем пути в /opt/.filetool.lst Даём команду backup. В системе ещё 14 Мб места есть. Если что - GParted с любого LiveCD (например, Knoppix) без проблем расширит вам файловую систему.
Описание
Скачать торрент Virtual TinyGateway — принадлежит к семейству Unix-подобных операционных систем на базе ядра Linux, включающих тот или иной набор утилит и программ проекта GNU. Релиз состоялся в 2023 году. Интерфейс Virtual TinyGateway имеет поддержку языка и занимает порядка 44.9 MB на диске.
