Zamaskowany lan, Informatyka, sieci komputerowe, administracja
[ Pobierz całość w formacie PDF ]
Internet
Zastosowania: Internet przez SDI w sieci lokalnej
Zamaskowany LAN
one potrzebne. Obs³uga terminala SDI przez
system operacyjny nie ró¿ni siê bowiem pra-
wie niczym od korzystania ze zwyk³ego mode-
mu pod³¹czanego do z³¹cza szeregowego.
Do zainstalowania SDI mo¿emy wyko-
rzystaæ dowoln¹ dystrybucjê Linuksa. Na-
wet jeli u¿yjemy jednodyskietkowej edycji
systemu o nazwie
Polopiryn
, otrzymamy
system w zupe³noci wystarczaj¹cy do pra-
cy z dowolnym modemem, np. SDI. Oferu-
je on realizacjê takich mechanizmów, jak
po³¹czenie PPP (Point-to-Point Protocol)
czy translacja adresów za pomoc¹ dyna-
micznej us³ugi NAT (Network Adress
Translation). Konfiguracja tej minidystry-
bucji jest bardzo prosta i ogranicza siê do
udzielenia odpowiedzi na kilka pytañ pro-
cedury instalacyjnej.
Nie bêdziemy siê zajmowali wspomnian¹
dystrybucj¹ w³anie z powodu jej cis³ej spe-
cjalizacji. Rozwi¹zanie to jest idealne, je¿eli
chcemy pod³¹czyæ SDI do pojedynczego
komputera. Bêdzie on wtedy realizowa³ tyl-
ko po³¹czenie PPP czy ewentualnie transla-
cjê adresów albo zaporê ogniow¹ (firewall).
W tym przypadku mo¿emy u¿yæ nawet ar-
chaicznego peceta z procesorem 80386. Je-
dynym wymogiem jest wyposa¿enie maszyny
w co najmniej 8 MB pamiêci RAM i odpo-
wiednio szybki port szeregowy (oparty na
uk³adzie UART 16550 lub nowszym). Je¿eli
marzy nam siê np. serwer poczty elektronicz-
nej, WWW czy proxy, musimy zastosowaæ
mocniejszy komputer z odpowiednio pojem-
nym dyskiem twardym.
£¹cza sta³e s¹ w naszym kraju wrêcz nieprzyzwoicie drogie.
Horrendalne koszty dostêpu do Internetu mo¿na nieco zmniej-
szyæ, instaluj¹c SDI. Jak jednak podzieliæ w tym przypadku
wydatki zwi¹zane z dostêpem do Sieci pomiêdzy kilka osób?
Konfiguracja Linuksa
Pierwsza rzecz, jak¹ musimy zrobiæ, to
sprawdzenie, do którego portu szeregowego
pod³¹czony jest nasz terminal. Nastêpnie od-
szukujemy w umowie dotycz¹cej wiadcze-
nia us³ugi SDI przydzielony nam adres IP,
login i has³o. Wszystko to powinnimy zna-
leæ na drugiej stronie tego dokumentu,
w paragrafie drugim. Mo¿emy teraz przyst¹-
piæ do utworzenia odpowiednich skryptów
i skonfigurowania demona
pppd
. Odpowiada
on za obs³ugê protoko³u PPP.
Zanim ustawimy parametry systemu, do-
brze jest siê upewniæ, czy mamy zainstalowa-
ny pakiet pppd. Do prawid³owego dzia³ania
wymaga on, aby j¹dro zawiera³o mechanizmy
korzystania z PPP. S³u¿y do tego opcja
PPP
(point-to-point) support
w konfiguracji kerne-
la. Je¿eli mamy do czynienia z j¹drem dostar-
czonym wraz z dystrybucj¹ Linuksa, prawie
na pewno zosta³o ono skompilowane z w³¹-
czon¹ obs³ug¹ protoko³u PPP.
Nastêpnie w pliku
/etc/ppp/pap-secrets
wpisujemy znaleziony w umowie login, ha-
s³o oraz IP w podanym ni¿ej formacie:
us³uga ciesz¹ca siê du¿ym zaintereso-
waniem abonentów naszego najwiêkszego
operatora sieci telekomunikacyjnych. SDI
wykorzystuje technologiê firmy Ericsson
o nazwie HIS (Home Internet Solution).
System ten pozwala na u¿ycie istniej¹cego
³¹cza telefonicznego do po³¹czenia siê z In-
ternetem. Jednoczenie mo¿liwe jest korzy-
stanie z tradycyjnego aparatu telefonicznego.
Dok³adniejsze informacje na temat dzia³ania
SDI mo¿na znaleæ w CHIP-ie nr 1/2000.
W tym artykule przedstawiê rozwi¹zanie,
dziêki któremu u¿ytkownicy komputerów po-
³¹czonych w niewielk¹ sieæ lokaln¹ bêd¹ mo-
gli korzystaæ z Internetu za porednictwem
jednej maszyny dysponuj¹cej ³¹czem SDI.
Niektóre zadania zwi¹zane z tym problemem
mo¿na zrealizowaæ, u¿ywaj¹c na przyk³ad
komputera pracuj¹cego pod kontrol¹ systemu
Windows 98. Pe³n¹ obs³ugê us³ug interneto-
wych w LAN-ie uzyskamy jednak dopiero za
pomoc¹ Okien klasy NT. My skorzystamy
z Linuksa. System ten pozwala na udostêp-
nienie w sieci lokalnej wszystkich us³ug ofero-
wanych za porednictwem SDI. Dodatkow¹
zalet¹ Linuksa w stosunku do systemów ko-
mercyjnych jest fakt, i¿ jest on darmowy.
Instalacja terminala
Terminal SDI dostarczany do klienta ma wy-
miary typowego modemu zewnêtrznego. Jest
on pod³¹czany do portu szeregowego kompu-
tera przez zwyk³y kabel RS232. Urz¹dzenie
wyposa¿one jest, rzecz jasna, w gniazda do
pod³¹czenia sieci telefonicznej oraz aparatu
abonenckiego. Je¿eli pod³¹czymy telefon
przed modemem SDI, nie bêdzie on dzia³a³.
Instalacja terminala SDI nie powinna na-
strêczaæ problemów. Wystarczy pod³¹czyæ go
do sieci telefonicznej i komputera. Po w³¹cze-
niu zasilania i uruchomieniu urz¹dzenia na-
stêpuje jego synchronizacja z sieci¹ telefo-
niczn¹, co sygnalizuj¹ odpowiednie kontrolki
wiec¹ce siê na panelu terminala. Nale¿y za-
uwa¿yæ, ¿e w razie zaniku zasilania telefon
dzia³a nadal terminal jest dla niego w tym
przypadku przezroczysty.
Mo¿emy teraz przyst¹piæ do zestawienia
po³¹czenia internetowego. Operator dostar-
cza wraz z urz¹dzeniem sterowniki przezna-
czone dla systemu Windows. Nie bêd¹ nam
login * has‡o IP
Jeli na dysku naszej maszyny w ogóle nie
ma wspomnianego katalogu, pakiet pppd
188
STYCZEÑ 2001
S
DI (Szybki Dostêp do Internetu) to
Internet
Zastosowania: Internet przez SDI w sieci lokalnej
prawdopodobnie nie zosta³ w zainstalowany
systemie.
Nale¿y pamiêtaæ, ¿e wszystkie pliki
*-se-
crets
powinny mieæ prawa dostêpu ustawione
na 600. Ich w³acicielem musi byæ w takim
razie u¿ytkownik
root
z grupy
root
. W prze-
ciwnym przypadku bêdziemy wprawdzie mo-
gli pracowaæ, ale przy ka¿dej inicjacji po³¹-
czenia PPP otrzymamy komunikaty o niepra-
wid³owych prawach dostêpu. Gdy pojawi¹
siê jakiekolwiek problemy z po³¹czeniem,
najlepiej zajrzeæ do dzienników (logów) sys-
temowych. Znajduj¹ siê w nich informacje
o wszelkich ewentualnych nieprawid³owo-
ciach w dzia³aniu systemu i us³ug. Odpo-
wiednie informacje znajdziemy w plikach
/var/log/syslog
i
/var/log/messages
.
Kolejnym krokiem jest umieszczenie
w zbiorze
/etc/ppp/options
parametrów wy-
wo³ania programu pppd. Zaoszczêdzi nam
to ka¿dorazowego wpisywania tych opcji
podczas uruchamiania pppd. Omawiany
zbiór konfiguracyjny powinien mieæ w na-
szym przypadku postaæ:
n
lcp-echo-interval 20
pppd bêdzie co 20
sekund wysy³aæ do serwera tzw. ramkê ¿¹-
dañ LCP. W po³¹czeniu z opcj¹
lcp-echo-fai-
lure
ustawienie to jest u¿ywane przez me-
chanizm wykrywaj¹cy zerwanie po³¹czenia;
n
lcp-echo-failure 5
je¿eli serwer, z którym
siê ³¹czymy, nie odpowie na piêæ ¿¹dañ tzw.
echa LCP (patrz: opcja
lcp-echo-interval),
pppd przerwie po³¹czenie. W naszym wypad-
ku jest to potrzebne, gdy¿ czasami ³¹cze SDI
siê zawiesza. W takiej sytuacji pppd przerwie
po³¹czenie i wznowi je dziêki opcji
persist
.
Na zakoñczenie konfiguracji pppd nale¿y
zadbaæ o poprawne wpisy w pliku
/etc/re-
solv.conf
. Definiuj¹ one u¿ywane DNS-y. Je-
¿eli nie mamy w³asnego serwera nazw, mo-
¿emy wpisaæ w zbiorze resolv.conf adresy
maszyn naszego dostawcy us³ug:
ping news.icm.edu.pl
Je¿eli otrzymamy odpowied od serwera
ICM, oznacza to, ¿e mamy upragniony do-
stêp do Sieci.
Automatyczne po³¹czenie
po starcie systemu
Poniewa¿ chcemy mieæ sta³e po³¹czenie
z Internetem, warto tak skonfigurowaæ ma-
szynê, aby by³o ono nawi¹zywane podczas
uruchomiania systemu. Pozwoli to np. na
automatyczny start serwera pocztowego czy
WWW po awarii zasilania.
Funkcjê samoczynnego ³¹czenia naszego
komputera z Sieci¹ mo¿emy zrealizowaæ na
kilka sposobów. Najprostszy to dopisanie
wywo³ania pppd do jednego ze skryptów
startowych systemu. W dystrybucji Red Hat
jest to plik
/etc/rc.d/rc.local
, w Debianie
/etc/rc.boot
.
Inn¹ metod¹ jest skorzystanie ze specjal-
nego mechanizmu zastosowanego w wiêk-
szoci dystrybucji. W katalogu
/etc/ppp
znaj-
dziemy mianowicie plik
no_ppp_on_boot
.
Gdy zmienimy jego nazwê na
ppp_on_boot
,
podczas uruchamiania systemu zostan¹ wy-
konane zawarte w zbiorze polecenia (np.
wywo³anie pppd). Je¿eli plik ten nie jest wy-
konywalny, system bêdzie uruchamia³ pppd
z opcjami zawartymi w pliku
/etc/ppp/
peers/provider
. Zawartoæ tego ostatniego
zbioru tworzymy, pos³uguj¹c siê identyczn¹
sk³adni¹ jak w przypadku pliku
options
. Do-
datkowo nale¿y w nim umieciæ liniê defi-
niuj¹c¹ urz¹dzenie modemu (czyli np.
nameserver 194.204.152.34
nameserver 194.204.159.1
Po dokonaniu opisanych czynnoci wyda-
jemy z konta roota polecenie powoduj¹ce
nawi¹zanie po³¹czenia internetowego:
115200
modem
defaultroute
noipdefault
lock
crtscts
noauth
user <login>
persist
maxfail 0
lcp-echo-interval 20
lcp-echo-failure 5
pppd /dev/ttyS0
Pocz¹tkuj¹cym u¿ytkownikom Linuksa wy-
janiê dodatkowo, ¿e
ttyS0
odpowiada pierw-
szemu portowi szeregowemu (nazywanemu
zazwyczaj
COM1
). Jeli terminal w naszym
systemie jest przy³¹czony do innego portu, na-
le¿y podaæ odpowiedni¹ nazwê urz¹dzenia
(np.
ttyS1
dla
COM2
). Dzia³anie po³¹czenia
mo¿emy sprawdziæ np. za pomoc¹ polecenia:
w
190
Sieæ lokalna z dostêpem do Internetu
Ustawienia te maj¹ nastêpuj¹ce znaczenie:
n
115200
szybkoæ po³¹czenia wyra¿ona
w bitach/s.;
n
modem
w³¹cza u¿ywanie linii kontroli
modemu;
n
defaultroute
dodaje do systemowych ta-
bel routowania domyln¹ trasê, u¿ywan¹ po
starcie interfejsu;
n
noipdefault
wy³¹cza domylne zachowa-
nia w razie braku lokalnego adresu IP.
W tym przypadku IP musi zostaæ przekaza-
ne przez serwer providera podczas negocja-
cji obu hostów;
n
lock
ustawia plik
lock
dla danego urz¹-
dzenia (portu);
n
crtscts
w³¹cza sprzêtow¹ kontrolê linii
RTC/CTS;
n
noauth
wy³¹cza identyfikacjê;
n
user <login>
nazwa u¿ytkownika dla
identyfikacji przy u¿yciu PAP (<login> jest
identyczny z podanym w umowie z TP S.A.);
n
persist
powoduje, ¿e po przerwaniu po³¹-
czenia program pppd nie zakoñczy dzia³ania,
tylko spróbuje utworzyæ je na nowo;
n
maxfail 0
ustawia limit nieudanych po³¹-
czeñ, po przekroczeniu którego pppd zaprze-
stanie prób ponownego nawi¹zania ³¹czno-
ci. Wartoæ
zero
oznacza brak ograniczeñ;
router
(IPr)
host 1
(IP1)
IPr po
rt 1 dane 1
IPr po
rt n dane n
³¹cze SDI
host 2
(IP2)
IP1 <> port 1
IP2 <> port 2
IPn <> port n
host n
(IPn)
Tablica NAT
Jednym z najlepszych rozwi¹zañ, jeli chodzi o korzystanie z Internetu w sieci lokalnej, jest tzw.
maskarada. Polega ona na wykorzystaniu jednego adresu IP do obs³ugi wielu lokalnych maszyn.
Kontaktuj¹ siê one z hostami sieciowymi za porednictwem portów routera.
STYCZEÑ 2001
189
 Internet
Zastosowania: Internet przez SDI w sieci lokalnej
/dev/ttyS0
). Jest to konieczne, gdy¿ w opisy-
wanym przyk³adzie pppd bêdzie uruchamia-
ne poleceniem
pppd call provider.
W tym
przypadku domylnym po³o¿eniem pliku
provider jest katalog
/etc/ppp/peers
, ale
oczywicie mo¿emy podaæ pe³n¹ cie¿kê do
zbioru.
Je¿eli u¿ywamy innej dystrybucji, nale¿y
sprawdziæ jej lokaln¹ konfiguracjê. Mo¿na
te¿ samodzielnie napisaæ skrypt, który spraw-
dzi, czy istnieje plik
ppp_on_boot
, i uruchomi
pppd z odpowiednimi opcjami, np.:
i
eth0
karty sieciowej. Interfejs eth0 najlepiej
skonfigurowaæ, przydzielaj¹c mu numer IP
z puli adresów prywatnych (inaczej: nie-
routowalnych). S¹ to wszystkie adresy, któ-
rych nie przekazuj¹ routery internetowe
(patrz: ramka Numery IP w praktyce).
Komputer wykonuj¹cy dynamiczn¹
translacjê adresów umo¿liwia wielu maszy-
nom z sieci lokalnej korzystanie z sieci ze-
wnêtrznej (w tym przypadku z Internetu).
Dla komputera spoza naszego LAN-u wy-
gl¹da to tak, jakby wszystkie po³¹czenia
pochodzi³y z jednego adresu IP. Dzieje siê
tak dziêki temu, ¿e wszystkie pakiety kiero-
wane do Internetu przez komputery z sieci
lokalnej ulegaj¹ translacji. Adresy ród³o-
we naszych maszyn s¹ zamieniane na jeden
adres internetowy.
W jaki wiêc sposób serwer identyfikuje pa-
kiety trafiaj¹ce z Internetu do LAN-u? Otó¿
wykorzystywany jest w tym przypadku me-
chanizm portów (protoko³y UDP i TCP).
Ka¿demu po³¹czeniu jest przydzielany osob-
ny port. Je¿eli serwer odbierze z Internetu
pakiet adresowany do danego portu, na pod-
stawie odpowiednich (dynamicznych) tablic
dane s¹ kierowane do odpowiedniego kom-
putera w sieci lokalnej.
Problemy zaczynaj¹ siê, gdy podczas po-
³¹czenia wykorzystuje siê kilka portów. Ma
to miejsce np. gdy korzystamy z serwerów
FTP. Inn¹ k³opotliw¹ sytuacj¹ jest u¿ywa-
nie przez komputery w sieci lokalnej proto-
ko³u ni¿szej warstwy ni¿ TCP/IP, takiego
jak ICMP (wykorzystywanego m.in. przez
polecenie ping). W wymienionych przypad-
kach konieczne jest stosowanie dodatko-
wych mechanizmów, którymi nie bêdziemy
siê tu zajmowaæ. Obs³ugê takich sytuacji za-
pewniaj¹ nam odpowiednie modu³y j¹dra
systemowego.
Powy¿sze polecenia zawieraj¹ tzw. regu³y,
okrelaj¹ce dzia³anie naszego serwera w od-
niesieniu do pakietów przychodz¹cych (
in-
put
), wychodz¹cych (
output
) oraz przeka-
zywanych (
forward
). Zachowanie progra-
mów filtruj¹cych pakiety mo¿e byæ okrelo-
ne przez tzw. regu³y. Regu³ami mog¹ byæ
s³owa:
n
DENY
odrzucenie pakietu;
n
REJECT
podobnie jak DENY, lecz wysy-
³any jest pakiet ICMP informuj¹cy o odrzu-
ceniu po³¹czenia;
n
ACCEPT
powoduje odebranie pakietu;
n
MASQ
w³¹cza maskowanie adresów (tyl-
ko w przypadku mechanizmu forward);
n
REDIRECT
przekierowanie;
n
RETURN
przekazanie zachowania do
kolejnej regu³y.
Pierwsza z przyk³adowych regu³ powodu-
je, ¿e domyln¹ akcj¹ w odniesieniu do ¿¹-
dania przesy³ania (forward) staje siê DE-
NY, co oznacza odmowê dostêpu. Drugie
polecenie powoduje dodanie (opcja
-A
) no-
wej regu³y do ³añcucha forward. Parametr
-
b
w³¹cza dwukierunkowy tryb dzia³ania re-
gu³y. Nastêpnie podane s¹ zakresy adresów
ród³owych (
-s
) i docelowych (
-d
). W tym
przypadku numery IP s¹ zapisane w forma-
cie adres/maska, przy czym maska ma for-
mat skrócony wartoæ po ukoniku (/)
okrela liczbê jedynek w masce. Tak wiêc
zapis
/8
odpowiada masce
255.0.0.0
. Na-
stêpnie podany jest interfejs, przez który
bêd¹ wysy³ane i odbierane pakiety. Ostatnia
opcja (
-j
) okrela mechanizm, do którego
odnosi siê regu³a w tym przypadku jest to
MASQ, czyli dynamiczna translacja adre-
sów (maskarada).
Jak ju¿ wczeniej wspomnia³em, nale¿y
pamiêtaæ o modu³ach
ip_masq_*
. Powinny
one siê znajdowaæ w katalogu
/lib/modu-
les/nr_wersji_kernela/ipv4
. S¹ to m.in.:
n
ip_masq_cuseeme.o
dla mechanizmu
CU-SeeMe broadcasts
;
n
ip_masq_ftp.o
dla protoko³u FTP. Modu³
ten jest niezbêdny, gdy¿ FTP wymaga u¿ycia
dwóch portów;
n
ip_masq_irc.o
dla us³ugi IRC;
n
ip_masq_quake.o modu³ dedykowany dla
gry Quake;
n
ip_masq_raudio.o
RealAudio;
n
ip_masq_vdolive.o
VDOLive.
Je¿eli modu³y nie s¹ przez j¹dro ³adowane
automatycznie, nale¿y to zrobiæ rêcznie za
pomoc¹ polecenia
insmod
. W tym celu
z konta roota trzeba wydaæ polecenie
insmod
ip_masq_ftp
.
Przedstawiona przeze mnie konfiguracja
maskarady stanowi absolutne minimum,
gwarantuj¹ce prawid³owe dzia³anie syste-
mu. Dodatkowo mo¿na dopisaæ wiele in-
nych regu³ filtracji pakietów. Przyk³adem
jest choæby u¿ywana przez wielu u¿ytkowni-
ków SDI regu³a, gwarantuj¹ca ¿e system nie
bêdzie odpowiada³ na pakiety ping (czyli na
pakiety
icmp echo-request
):
if [ -f /etc/ppp/ppp_on_boot]
then
if [ -x /etc/ppp/ppp_on_boot ]
then
/etc/ppp/ppp_on_boot
else
/usr/sbin/pppd call provider
fi
fi
Polecenia te warto dopisaæ do pliku
rc.local
lub utworzyæ nowy skrypt i umieciæ go w ka-
talogu
/rc
(szczegó³owe informacje na ten te-
mat znajdziemy te¿ w dokumentacji naszej
dystrybucji).
SDI a LAN
Gdy nasze po³¹czenie ju¿ funkcjonuje, war-
to siê zastanowiæ, jak wykorzystaæ nasz ser-
wer do udostêpnienia Internetu innym kom-
puterom w niewielkiej sieci lokalnej. Mo¿e-
my tego dokonaæ, u¿ywaj¹c funkcji dyna-
micznej translacji adresów (NAT), czyli ma-
skarady. Mechanizm ten jest wbudowany
w j¹dro Linuksa.
Jak dzia³a NAT? Maskarada wymaga
dwóch interfejsów sieciowych, na przyk³ad
ppp0
odpowiadaj¹cego terminalowi SDI
Adresy internetowe
Numery IP w praktyce
Dziêki temu, ¿e router naszego dostawcy
Internetu nie rozpowszechnia w Sieci adre-
sów okrelonego typu (tzn. adresów niero-
utowalnych), mo¿emy ich u¿ywaæ w sieci
lokalnej. Wymaga to operacji translacji
(maskarady) numerów IP z sieci wewnêtrz-
nej. Poniewa¿ w naszej sieci nie bedziemy
mieli wielu komputerów, wystarczy nam
adres z tzw. klasy C (ostatni bajt adresu
oznacza numer maszyny). W naszym przy-
k³adzie interfejs
eth0
(czyli router z linuk-
sem) mo¿e mieæ np. adres 192.168.255.1
przy masce 255.255.255.0 i adresie rozg³o-
szeniowym (broadcast) 192.168.255.255.
Maska podsieci okrela, która czêæ adre-
su okrela numer sieci, a która definiuje po-
szczególne maszyny. Reszcie komputerów
z naszego LAN-u przydzielamy kolejne ad-
resy IP (do dyspozycji w opisywanym przy-
padku pozostaj¹ 253 adresy).
Maskarada sieci
Gdy ju¿ mamy skonfigurowan¹ kartê siecio-
w¹, nale¿y skompilowaæ j¹dro z obs³ug¹
zapory ogniowej i maskarady. W tym celu
podczas konfiguracji kernela w³¹czamy
opcje
IP: firewalling
,
IP: masquerading
,
IP:
ICMP masquerading
,
IP: masquerading spe-
cial modules support
oraz
Dummy net driver
support
. Po skompilowanu j¹dra i ponow-
nym uruchomieniu systemu mo¿emy przy-
st¹piæ do konfiguracji maskarady.
Aby system wykonywa³ filtracjê pakietów
i translacje adresów, konieczne jest u¿ycie
narzêdzia
ipchains
(dla j¹der z serii 2.2).
Nie bêdê tu opisywa³ pe³nej sk³adni tego
programu, gdy¿ w Sieci z ³atwoci¹ mo¿na
znaleæ jego obszern¹ dokumentacjê (patrz:
ramka Info). W naszym, najprostszym
przypadku wystarcz¹ dwa polecenia:
ipchains -P forward DENY
ipchains -A forward -b
-s 10.0.0.0/8 -d 0.0.0.0/0
-i ppp0 -j MASQ
w
193
190
STYCZEÑ 2001
Internet
Zastosowania: Internet przez SDI w sieci lokalnej
ipchains -A input -p icmp
--icmp-type 8 -i ppp0 -l -j DENY
kilku czy kilkanastu regu³ wiêcej, ale wraz ze
statycznym mapowaniem ARP stanowi to
niemo¿liwe do obejcia zabezpieczenie. Opi-
sane mapowanie polega na umieszczeniu
w pliku
/etc/ethers
adresów sprzêtowych
(MAC) i logicznych (IP), np.:
¿enie ³¹cza, gdy¿ powtórny odczyt danych na-
st¹pi z dysku serwera. W naszym wypadku
dobrym rozwi¹zaniem by³by program
squid
.
Jego konfiguracja jest dosyæ z³o¿ona i nie bê-
dziemy jej tu omawiaæ. Informacje potrzebne
do zainstalowania serwera proxy znajdziemy
w dokumentacji squid oraz w Internecie.
Je¿eli mamy w sieci lokalnej kilku u¿ytkow-
ników lub zamierzamy zarejestrowaæ w³asn¹
domenê, przyda nam siê serwer DNS. Nawet
je¿eli nie mamy w³asnej domeny, nieco przy-
pieszy on t³umaczenie adresów. Najpopular-
niejszym linuksowym pakietem zawieraj¹cym
name-server jest
bind
. Opis jego konfiguracji
znajdziemy w odpowiednim HOWTO (DNS-
-HOWTO). Nale¿y przy tym zwróciæ uwagê
na sposób, w jaki nasz dostawca Internetu na-
daje nazwy domenowe urz¹dzeniom po³¹czo-
nym z Sieci¹ przez SDI. Nawet jeli wykupi-
my w³asn¹ domenê, np.
www.firma.pl
, po od-
wo³aniu do naszego serwera za pomoc¹ nu-
meru IP otrzymamy adres typu
p<kolejny nu-
mer>.miasto.sdi.tpnet.pl
. Je¿eli mamy zamiar
uruchomiæ tylko serwer WWW, nie bêdzie to
mia³o wiêkszego znaczenia. W przypadku jed-
nak, gdy czasami u¿ywamy SSH czy FTP, mo-
¿e siê zdarzyæ, ¿e nasze po³¹czenia bêd¹ od-
rzucane przez hosty internetowe. Niektóre
serwery sprawdzaj¹ bowiem zgodnoæ dome-
ny z jej domen¹ odwrotn¹.
Ostatnim, bardzo wa¿nym aspektem konfi-
guracji naszego serwera jest jego bezpieczeñ-
stwo. Dziurawy i le skonfigurowany ser-
wer mo¿e bowiem stanowiæ niebezpieczeñ-
stwo nie tylko dla nas samych, ale te¿ dla in-
nych u¿ytkowników Internetu. Dlatego warto
zadbaæ o wy³¹czenie niepotrzebnych us³ug,
szczególnie tych uruchamianych przez inetd.
Nale¿y te¿ u¿ywaæ jak najnowszych wersji po-
szczególnych komponentów systemu, zw³asz-
cza tych, do których mo¿na uzyskaæ dostêp
z zewn¹trz (takich jak WWW, FTP czy pocz-
ta elektroniczna). Wiêcej informacji na temat
zabezpieczania serwera linuksowego mo¿na
znaleæ na s. 140 numeru 9/2000 CHIP-a.
Sebastian Sawicki
W tym przypadku wszelkie pakiety tego ty-
pu odbierane za porednictwem interfejsu
ppp0
bêd¹ zapisywane w logach (opcja
-l
)
i odrzucane przez system. Regu³ê tê mo¿na
dopisaæ do skryptów startowych lub utworzyæ
oddzielny skrypt s³u¿¹cy do jej aktywowania.
Bardzo wa¿n¹, a czêsto zapominan¹ czyn-
noci¹ jest w³¹czenie w kernelu opcji
ip_for-
ward
. Spowoduje to, ¿e pakiety bêd¹ przeka-
zywane miêdzy interfejsami. Omawiany para-
metr aktywujemy, wpisuj¹c wartoæ
1
do pli-
ku
/proc/sys/net/ipv4/ip_forward
. Mo¿na to
zrobiæ rêcznie poleceniem:
#IP Adres sprzŒtowy MAC
10.0.0.1 00:C0:DF:B0:1A:E0
10.0.0.2 00:C0:DF:A3:21:B2
Adresy sprzêtowe komputerów w sieci uzy-
skamy, wydaj¹c na serwerze polecenie
arp -a
.
Je¿eli nie dostaniemy w ten sposób adresów
wszystkich komputerów, nale¿y pos³u¿yæ siê
poleceniem ping w odniesieniu do danej ma-
szyny. Nastêpnie po wydaniu polecenia
arp -i
eth0 -f /etc/ethers
system na sta³e przypisze ad-
resy sprzêtowe do numerów IP. Podanie na-
zwy zbioru z adresami jest konieczne tylko
wtedy, gdy jest to plik inny ni¿
/etc/ethers
.
echo ’1’ >
/proc/sys/net/ipv4/ip_forward
Rozkaz ten warto dopisaæ do skryptów star-
towych, np. tu¿ po regu³ach ipchains. Czêæ
dystrybucji Linuksa zawiera pliki konfigura-
cyjne, umo¿liwiaj¹ce zdefiniowanie opisywa-
nego parametru. W Debianie jest to np. zbiór
/etc/network/options
, w którym zmienn¹
ip_forward
ustawiamy na
yes
. W dystrybucji
Red Hat bêdzie to natomiast plik
/etc/syscon-
fig/network
(opcja
FORWARD_IPV4
) lub
w nowszych edycjach systemu
/etc/sys-
ctl.conf
(
net.ipv4.ip_for-ward=1
). Po dokona-
niu odpowiedniej modyfikacji funkcja
ip_for-
ward
zostanie w³¹czona podczas uruchamia-
nia systemu.
Jeszcze jednym zastosowaniem ipchains
jest regulowanie aktywnoci u¿ytkowników.
W przypadku gdy zarz¹dzamy np. niewielk¹
sieci¹ w bloku, mo¿e siê zdarzyæ, ¿e zaist-
nieje potrzeba chwilowego od³¹czenia dane-
go komputera od sieci. Najprociej jest wte-
dy po prostu zablokowaæ mu dostêp do ser-
wera, u¿ywaj¹c w³anie regu³y ipchains:
Ergonomia stanowiska pracy
Gdy mamy ju¿ dzia³aj¹c¹ w³asn¹ sieæ z uru-
chomion¹ maskarad¹, warto zatroszczyæ siê
o nieco wiêkszy komfort pracy naszych u¿yt-
kowników. Jednym z problemów, na jakie
mo¿emy siê natkn¹æ, jest to, ¿e serwery IRC
nie pozwalaj¹ wielokrotnie logowaæ siê u¿yt-
kownikowi korzystaj¹cemu z danego IP. Jest
to normalna praktyka administratorów tych
maszyn. Pomóc tu mo¿e za³adowanie modu³u
ip_masq_irc
oraz zadbanie o to, aby u¿ytkow-
nicy z sieci wewnêtrznej byli odpowiednio
identyfikowani. Identyfikacja przebiega po-
prawnie, gdy na serwerze realizuj¹cym ma-
skaradê dzia³a us³uga
ident
(demon
identd
).
W naszej przyk³adowej sieci identd musi
umieæ identyfikowaæ komputery obs³ugiwa-
ne przez maskaradê. W praktyce dobrze z za-
daniem tym radzi sobie program
oident
.
W wiêkszoci przypadków wystarczy zainsta-
lowaæ pakiet
oident
i sprawdziæ, czy urucha-
mia siê on z opcj¹
-m
. Aplikacja ta przekazu-
je ¿¹dania identyfikacji do komputerów w ma-
skaradowanej sieci. Je¿eli
oident
nie uzyska
odpowiedzi na to ¿¹danie (nie wysy³aj¹ jej np.
maszyny pracuj¹ce pod kontrol¹ Windows),
sprawdza zawartoæ pliku
/etc/oidentd.users
.
Zbiór ten ma nastêpuj¹cy format:
ipchains -A input -s adres-IP-
-komputera -j DENY -i eth0
Aby usun¹æ tê regu³ê, wystarczy zmieniæ
w podanym poleceniu parametr
-A
(
Add
) na
-D
(
Delete
). Wszystkie regu³y filtrowania
mo¿emy wywietliæ na ekranie, wydaj¹c po-
lecenie
ipchains -L
.
Metod¹ obejcia takiego zabezpieczenia
jest zmiana numeru IP blokowanego kom-
putera. Aby temu zapobiec, na serwerze wy-
konujemy tzw. statyczne mapowanie tablic
ARP. Mówi¹c inaczej, na sta³e przypisujemy
sprzêtowy numer karty komputera do dane-
go adresu IP. Dziêki temu w przypadku
zmiany adresu IP nie zostanie nawi¹zane
po³¹czenie danej maszyny z serwerem.
Dodatkowym zabezpieczeniem mo¿e byæ
skonfigurowanie maskarady dla ka¿dego
komputera oddzielnie. Zamiast podawaæ ad-
res podsieci i maski wpisujemy wtedy IP po-
szczególnych komputerów do kolejnych re-
gu³ ipchains. Co prawda musimy wtedy u¿yæ
INFO
Grupy dyskusyjne
Uwagi i komentarze do artyku³u:
news://news.vogel.pl/chip.artykuly
Pytania techniczne:
news://news.vogel.pl/chip.internet
#IP/MASKA nazwa system
10.0.0.2 user1 UNIX
10.0.0.3 user2 WINDOWS
Internet
JTZ
Klub HIS-a
Wiêcej informacji znajdziemy w dokumen-
tacji oidenta. Je¿eli chodzi o inne us³u-
giw Sieci znajdziemy specjalne modu³y do j¹-
dra, umo¿liwiaj¹ce u¿ywanie np. ICQ na
komputerze w sieci lokalnej.
Jeli w naszej sieci lokalnej pracuje kilka czy
kilkanacie osób korzystaj¹cych z WWW czy
FTP, warto siê pokusiæ o zainstalowanie ser-
wera proxy. Bêdzie on zapisywa³ w pamiêci
podrêcznej strony internetowe czy pliki z ser-
werów FTP. Dziêki temu zmniejszymy obci¹-
Literatura
Dokumentacja Linuksa
PPP-HOWTO, IP-Masque-rade-mini-HOWTO,
Net-3-HOWTO, podrêczniki systemowe (man)
Na kr¹¿ku CD do³¹czonym do CHIP-a
1/2001 w dziale
Internet | Internet przez
SDI
znajduje siê minidystrybucja Polopyrin 0.1
STYCZEÑ 2001
193
1/2001
[ Pobierz całość w formacie PDF ]