Sieci (3)

[ Pobierz całość w formacie PDF ]
.Aby postawić maszynę linuksową pełniącą rolę maskarady, należy w pierwszej kolejności zaopatrzyć się wkomputer, który rolę tę będzie pełnił.Zalecane jest przynajmniej Pentium 60 z dyskiem 512 MB i 16 MBpamięci RAM.Oczywiście bardzo pomocny będzie również napęd CD-ROM przy instalacji.Pózniej staje sięzbędnym gadżetem.Sieci lokalne 25Niestety, ponieważ Linux jako system operacyjny różni się w dość dużym stopniu od systemu Windows, więcaby w ogóle go uruchomić, a następnie nim administrować, należy posiąść pewną wiedzę.Najlepszym jejzródłem są, moim zdaniem, dokumenty HOW-TO oraz pozycje książkowe.Dużą pomocą będą również podanena końcu tego opracowania linki jak również lektura archiwów grup pl.comp.os.linux oraz pl.comp.os.linux.sieci.Po pierwsze, aby działało współdzielenie łącza na maszynie linuksowej, kernel musi być skompilowany zodpowiednimi opcjami.Dla kernela 2.2.17 (opis kompilacji kernela, znajdziesz np.pod adresemhttp://www.linuxfan.com.pl/artykuly/kompilacja.html) wchodzimy do menu Networking options i zaznacza-my opcję (o ile jeszcze nie jest) TCP/IP networking.Wówczas pokażą nam się opcje typu IP: [coś].Abydziałało współdzielenie łącza musimy wybierać IP: masquerading.Ogólnie warto zaznaczyć większość opcji IP: [coś].Jeśli nie czujesz się na siłach, aby na początek kompilować kernel, to można zostawić domyślny kernelwgrywany przez program instalacyjny.Powinien zawierać wszystkie składniki potrzebne do współdzieleniałącza.Zanim zaczniemy tworzyć skrypty musimy przyjąć pewne założenia oraz wyjaśnić jak zapisuje się skrótowomaskę podsieci.Załóżmy iż w swojej sieci będziesz korzystać z adresów 10.1.1.0-10.1.1.255 (tzw.pula adresówprywatnych, które w zasadzie obejmują adresy od 10.0 do 10.255.255.255, gdzie maska podsieci jest255.0 lub skrótowo 8).Teraz zajmijmy się skrótowym zapisem maski podsieci.Otóż np.zapis 10.1.1.0/24oznacza adresy od 10.1.1.0 do 10.1.1.255.Dla tych adresów maska jest 255.255.255.0, czyli:24 oznacza maskę 255.255.255.016 oznacza maskę 255.255.08 oznacza maskę 255.0Powróćmy do tworzenia skryptu.Nazwijmy ten skrypt maskarada.Każdy skrypt musi zaczynać się od takiej linijki tekstu:#!/bin/shAby w ogóle działała maskarada musimy dopisać:echo 1 > /proc/sys/net/ipv4/ip_forwardKolejnym krokiem jest wykasowanie wszystkich regułek:/sbin/ipchains -FKolejna linijka skryptu oznacza aby nasz serwer nie używał maskarady gdy bezpośrednio odwołujemy się doadresów prywatnych, tzn.gdy ktoś z komputera z adresem prywatnym łączy się z komputerem w naszej sieci,który również ma adres prywatny./sbin/ipchains -A forward -j ACCEPT -s 10.0/8 -d 10.0/8Teraz zajmiemy się uruchomieniem maskarada dla wybranego komputera.Powtarzamy to dla każdegoużytkownika jeśli mamy takich, którzy płacą i nie płacą za Internet.Na przykład dla komputera z prywatnymadresem IP 10.1.1.1:/sbin/ipchains -A forward -j MASQ -s 10.1.1.1 -d 0.0/0Jeśli wszyscy płacą za Internet to prościej to zrobić w następujący sposób (tutaj dla klasy 256 IP od 10.1.1.0 do10.1.1.255):/sbin/ipchains -A forward -j MASQ -s 10.1.1.0/24 -d 0.0/0Teraz podam parę innych przykładów, które warto zastosować.Zacznijmy od zablokowania wysyłania poczty poprzez inne serwery niż nasz.Zapobiega to spamowaniu przezużytkownika sieci w taki sposób, aby nie został wykryty.Zasada jest prosta.Nie może wysyłać przez innyserwer poczty niż nasz.W takim razie musi korzystać z naszego, a gdy z niego skorzysta to zostanie na niminformacja kto wysyłał, skąd, kiedy, etc.Aby ta metoda była skuteczniejsza polecam zainteresowaniem sięstaticarp, czyli przypisaniem adresu MAC karty sieciowej do adresu IP.To znowu w celu zapobieżeniupodszywania się pod czyjeś IP (o tym jak to się robi napiszę w dalszej części).Wówczas to co w logach zostajeoznacza, ze nikt nie mógł się pod kogoś innego podszyć i wiemy, ze to z tego konkretnego komputera wysłanoniechcianą pocztę, czyli spam./sbin/ipchains -A forward -j REJECT -s 10.0/8 -d 0.0/0 25 -p TCPKolejny praktyczny przykład pokazuje jak stworzyć transparent proxy, czyli przekierowanie bezpośredniewywołanie strony www na proxy.Wówczas w przeglądarkach Internet Explorer czy Netscape Navigator nieSieci lokalne 26trzeba ustawiać proxy [ Pobierz całość w formacie PDF ]

Linki