|
[ Pobierz całość w formacie PDF ]
.Najlepszym jejz�ródłem są, moim zdaniem, dokumenty HOW-TO oraz pozycje książkowe.Dużą pomocą będą również podanena końcu tego opracowania linki jak również lektura archiwów grup pl.comp.os.linux oraz pl.comp.os.linux.sieci.Po pierwsze, aby działało współdzielenie łącza na maszynie linuksowej, kernel musi być skompilowany zodpowiednimi opcjami.Dla kernela 2.2.17 (opis kompilacji kernela, znajdziesz np.pod adresemhttp://www.linuxfan.com.pl/artykuly/kompilacja.html) wchodzimy do menu � Networking options� i zaznacza-my opcję (o ile jeszcze nie jest) � TCP/IP networking�.Wówczas pokażą nam się opcje typu � IP: [coś]�.Abydziałało współdzielenie łącza musimy wybierać � IP: masquerading�.Ogólnie warto zaznaczyć większość opcji� IP: [coś]�.Jeśli nie czujesz się na siłach, aby na początek kompilować kernel, to można zostawić domyślny kernelwgrywany przez program instalacyjny.Powinien zawierać wszystkie składniki potrzebne do współdzieleniałącza.Zanim zaczniemy tworzyć skrypty musimy przyjąć pewne założenia oraz wyjaśnić jak zapisuje się skrótowomaskę podsieci.Załóżmy iż w swojej sieci będziesz korzystać z adresów 10.1.1.0-10.1.1.255 (tzw.pula adresówprywatnych, które w zasadzie obejmują adresy od 10.0 do 10.255.255.255, gdzie maska podsieci jest255.0 lub skrótowo 8).Teraz zajmijmy się skrótowym zapisem maski podsieci.Otóż np.zapis 10.1.1.0/24oznacza adresy od 10.1.1.0 do 10.1.1.255.Dla tych adresów maska jest 255.255.255.0, czyli:24 oznacza maskę 255.255.255.016 oznacza maskę 255.255.08 oznacza maskę 255.0Powróćmy do tworzenia skryptu.Nazwijmy ten skrypt maskarada.Każdy skrypt musi zaczynać się od takiej linijki tekstu:#!/bin/shAby w ogóle działała maskarada musimy dopisać:echo 1 > /proc/sys/net/ipv4/ip_forwardKolejnym krokiem jest wykasowanie wszystkich regułek:/sbin/ipchains -FKolejna linijka skryptu oznacza aby nasz serwer nie używał maskarady gdy bezpośrednio odwołujemy się doadresów prywatnych, tzn.gdy ktoś z komputera z adresem prywatnym łączy się z komputerem w naszej sieci,który również ma adres prywatny./sbin/ipchains -A forward -j ACCEPT -s 10.0/8 -d 10.0/8Teraz zajmiemy się uruchomieniem maskarada dla wybranego komputera.Powtarzamy to dla każdegoużytkownika jeśli mamy takich, którzy płacą i nie płacą za Internet.Na przykład dla komputera z prywatnymadresem IP 10.1.1.1:/sbin/ipchains -A forward -j MASQ -s 10.1.1.1 -d 0.0/0Jeśli wszyscy płacą za Internet to prościej to zrobić w następujący sposób (tutaj dla klasy 256 IP od 10.1.1.0 do10.1.1.255):/sbin/ipchains -A forward -j MASQ -s 10.1.1.0/24 -d 0.0/0Teraz podam parę innych przykładów, które warto zastosować.Zacznijmy od zablokowania wysyłania poczty poprzez inne serwery niż nasz.Zapobiega to spamowaniu przezużytkownika sieci w taki sposób, aby nie został wykryty.Zasada jest prosta.Nie może wysyłać przez innyserwer poczty niż nasz.W takim razie musi korzystać z naszego, a gdy z niego skorzysta to zostanie na niminformacja kto wysyłał, skąd, kiedy, etc.Aby ta metoda była skuteczniejsza polecam zainteresowaniem sięstaticarp, czyli przypisaniem adresu MAC karty sieciowej do adresu IP.To znowu w celu zapobieżeniupodszywania się pod czyjeś IP (o tym jak to się robi napiszę w dalszej części).Wówczas to co w logach zostajeoznacza, ze nikt nie mógł się pod kogoś innego podszyć i wiemy, ze to z tego konkretnego komputera wysłanoniechcianą pocztę, czyli spam./sbin/ipchains -A forward -j REJECT -s 10.0/8 -d 0.0/0 25 -p TCPKolejny praktyczny przykład pokazuje jak stworzyć transparent proxy, czyli przekierowanie bezpośredniewywołanie strony www na proxy.Wówczas w przeglądarkach Internet Explorer czy Netscape Navigator nieSieci lokalne 26�trzeba ustawiać proxy.Aby to działało w konfiguracji kernela musi być zaznaczona opcja � IP: transparentproxy support� , a dodatkowo w konfiguracji SQUIDa (zakładam iż z takiego serwera proxy skorzystasz) w pliku/etc/squid.conf trzeba dopisać:httpd_accel_host virtualhttpd_accel_port 80httpd_accel_with_proxy onhttpd_accel_uses_host_header onZakładam, że SQUID działa na porcie 8080.ipchains -A input -p tcp -s 10.0/8 -d 0/0 80 -j REDIRECT 8080Powróćmy na chwilę do zapobiegania spamowaniu przez użytkowników.Otóż powinniśmy teraz przypisaćadres MAC do konkretnego adresu IP.Otóż tworzymy plik /etc/ethers.Jego zawartość jest następująca:#MAC adres adres IP#MAC adres serwera 10.1.1.1MAC adres użytkownika nr 1 10.1.1.2MAC adres użytkownika nr 2 10.1.1.3.MAC adres użytkownika nr 253 10.1.1.254Proszę zwrócić uwagę na dwie rzeczy.Pierwsza to taka, iż adres serwera (przyjęty jako 10.1.1.1) jestzahaszowany.Po prostu przy wpisywaniu tego adresu do tablicy wystąpi błąd.Nic groz�nego.Druga uwaga iżtrzeba dla wszystkich 254 adresów IP zrobić przypisanie (adresy 10.1.1.0 oraz 10.1.1.255 to odpowiednio adressieci i broadcast � do tych adresów nie można przypisać MAC adresów, jak również nie można ichwykorzystać).Jeśli dany adres IP nie jest używany w sieci to po prostu przypisujemy mu jakiś wymyślony(fikcyjny) adres MAC.Gdybyśmy tego nie zrobili to ktoś może ustawić sobie ten adres IP u siebie i wówczas niebędziemy mogli określić kto to zrobił.Teraz mając tak przygotowany plik staticarp uruchamiamy polecenie:arp � fSpowoduje to już w Linuksie przypisanie adresu MAC z adresem IP.Obydwa skrypty: maskarada oraz arp � f trzeba dopisać do skryptów startowych.W Debianie w najprostszy inajszybszy sposób to dopisać do pliku /etc/init.d/rmlogin wywołania obydwu skryptów.Sieci lokalne 27�y�ródłaPozycje wydawnicze� Vademecum Teleinformatyka� � IDG Poland S.A., Wydanie I, Warszawa 1999 r.� przewodnik potelekomunikacji, sieciach komputerowych i zagadnieniach instalatorstwa sieciowego
[ Pobierz całość w formacie PDF ]
zanotowane.pldoc.pisz.plpdf.pisz.plhanula1950.keep.pl
|