Опции маршрутизации.

     В каталоге /proc/sys/net/ipv4/conf содержится подкаталоги для каждого интерфейса, в частности для default и all.

dr-xr-xr-x 2 root root 0 Мар 16 09:25 all

     Для каждого интерфейса в каталогах находятся параметры сетевых интерфейсов:

Далее...

VPN - это метод, дающий возможность двум сетям безопасно обмениваться данными друг с другом через третью, небезопасную, сеть. VPN может применяться, как гарантия обмена информацией между двумя частными локальными сетями (в частности, сетями офисов большой компании, которые находятся на больших расстояниях друг от друга). 

     Так как прокладка выделенной линии - это очень дорогое удовольствие, то для передачи данных используется дешевая и небезопасная среда - Интернет.

     VPN снимает проблему перехвата данных, которые посылаются через Интернет, организуя виртуальный защищенный канал между двумя сетями. При этом создается впечатление, как будто эти две сети непосредственно соединены между собой. Здесь Интернет служит в роли большого участка Ethernet-кабеля, по которому пересылаются данные компьютеров этих двух сетей.

Далее...

     Перед тем, как установить IPsec, нужно проделать некоторые действия, которые мы и рассмотрим.

     Обмен ключами.

     Для того, чтобы компьютеры смогли обмениваться данными с помощью IPsec, создадим ключи для кодирования/декодирования данных. Эти ключи обязательно должны быть на обоих концах IPsec-туннеля. До этого машины должны идентифицировать друг друга.

     Этому методу безопасности нужны разделя­емые ключи, если ключи не будут отправлены, безопасный канал не сможет быть установлен.

Далее...

IPsec (IP Security) - это расширение существующего протокола IP, которое обеспечивает целостность заголовка пакета и/или его данных. Вначале IPsec делался для новой версии IP - IPv6, но потом был импортирован и на версию IP - IPv4. Известно, что переход на IPv6 будет еще не скоро выполнен.

     В IPsec есть два расширения: АН (Authentication Header, Аутентификационный заголовок) и ESP (Encapsulation Security Payload, Защищенная инкапсуляция).

Далее...

Довольно интересной функцией Linux и других UNIX-систем является файловая система   /proc. Она дает возможность смотреть и менять парамет­ры ядра "на лету". На самом деле это псевдофайловая система. Здесь нет файлов в обычном понимании. «Файлы», находящиеся в каталоге /рrос, - это просто ссылки на области памяти ядра, в которых хранятся значения некоторых параметров ядра. В этой файловой системе можно найти немало интересной информации о любом запущенном процессе, использовании процессора и памяти и много другого.

Далее...

В сети любого предприятия наверняка есть обыкновенные рабочие станции (в частности, ком­пьютеры пользователей 1С, пользующихся услугами какого-то внутреннего сервера локальной сети) и узлы, предоставляющие услуги интернет-поль­зователям, к примеру Web-сервер, DNS-сервер.

     Самое разумное решение - разделение этих двух групп компьютеров. Компьютеры, дающие услуги интернет-пользователям, помеща­ются в нейтральную зону (DMZ, Demilitarized Zone). Преимущества нейтральной зоны(DMZ) заключаются в следующем. Если, например, Web-сервер будет взломан, то дальше крекер не сможет «добраться» до других узлов сети. Вот как будет выглядеть данная топология сети.

Далее...

Когда-то IP-адресов хватало на всех, и они стоили очень дешево. Компании выкупали сети класса С (253 узла) или даже сети класса В (около 64 000 узлов). Тогда всем машинам присваивался собс­твенный IP-адрес из адресного пространства сети Интернет.

     Но, как говорится, было и прошло. Теперь нет того огромного пространства свободных IP-адресов, следовательно все чаще и чаще организации покупают не сеть класса С (не говоря уже о сети класса В), а всего лишь один единственный реальный IP-адрес. Для адресации компьютеров внутренней сети используются так называемые внутренние IP-адреса. Такие адреса не обрабатываются маршрутизаторами Интерне­та и могут быть в разных организациях. Во всем мире есть большое количество организаций, где внутренние адреса одни и те же.

Далее...