Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

marshrutizator

Брандмауэр для сети с DMZ(простая реализация).

Рубрики: Безопасность | Брандмауэр
Метки: | | | | |
Дата: 29/03/2009 11:36:38
Подписаться на комментарии по RSS

Правила брандмауэра.

     На рисунке показана предложенная топология с IP-адресами интерфейсов. Опишем словесно все пра­вила маршрутизации трафика, а потом реализуем их на IPTables:

  • Пакеты, выходящие за пределы локальной сети (то есть ад­ресованные интернет-узлам), должны проходить через интерфейс eth0. Кроме этого, нужно перезаписать адрес отправителя: поскольку используем внутренние адреса, то нужно заменить внутренний адрес отправителя адресом внешнего интерфейса.
  • Ответы на эти пакеты должны быть переданы на интерфейс eth1 (интерфейс внутренней сети), при этом адрес получателя должен быть корректно перезаписан. Так как ответ, полученный от интернет-узла, будет предназначен внешнему интерфейсу, то нуж­но вернуть ответ внутреннему узлу, указав его внутренний IP-адрес.
  • Пакеты из локальной сети, адресованные компьютерам нейтраль­ной зоны, должны быть переданы на интерфейс eth2. Для этих пакетов NAT не нужен, поскольку DMZ-компьютеры также используют внутренние адреса.
  • Пакеты из нейтральной зоны, адресованные компьютерам локаль­ной сети, должны быть переданы на интерфейс eth1. NAT также не нужен.
  • Пакеты DMZ-компьютеров, адресованные интернет-узлам, должны покинуть пределы сети через интерфейс eth0. В этом случае NAT нужен: нужно перезаписать адрес отправителя ад­ресом внешнего интерфейса.
  • Ответы на эти пакеты должны быть отправлены назад, при этом адрес получателя должен быть корректно перезаписан, так как пакет нужно отправить соответствующей машине нейтральной зоны.
  • Входящие запросы на ТСР-соединения (SYN-пакеты) по портам 80 и 443 должны быть переданы Web-серверу (из нейтральной зоны).
  • Входящие запросы на TCP/UDP-соединения по порту 53 должны быть переданы DNS-серверу (из нейтральной зоны).
  • Входящие запросы на ТСР-соединения по порту 25 должны быть переданы почтовому серверу (из нейтральной зоны).

Далее...

Параметры /proc

Рубрики: Безопасность | Топология сети
Метки: | | |
Дата: 16/03/2009 10:03:23
Подписаться на комментарии по RSS

Опции маршрутизации.

     В каталоге /proc/sys/net/ipv4/conf содержится подкаталоги для каждого интерфейса, в частности для default и all.

dr-xr-xr-x 2 root root 0 Мар 16 09:25 all

dr-xr-xr-x 2 root root 0 Мар 16 09:25 br0

dr-xr-xr-x 2 root root 0 Мар 16 09:25 default

dr-xr-xr-x 2 root root 0 Мар 16 09:25 lo

dr-xr-xr-x 2 root root 0 Мар 16 09:25 eth0

     Для каждого интерфейса в каталогах находятся параметры сетевых интерфейсов:

Далее...

Шлюзы и маршрутизаторы

Рубрики: Безопасность | Топология сети
Метки: |
Дата: 02/02/2009 14:40:12
Подписаться на комментарии по RSS

Какая бы у вас не была сеть, обязательно должно быть устройство, которое будет выступать в роли шлюза для вашего подключения с Интернетом. Оно будет выполнять маршрутизацию пакетов между Интернетом и вашей сетью. Такое устройство называется шлюзом или маршрутизатором. Эти термины похожи и иногда используются как синонимы.

     На самом деле шлюз - это частный случай маршрутизатора. Основное отличие шлюза от маршрутизатора состоит в том, что он соединяет вместе сети, которые используют разные протоколы. Отличить их просто: если это устройство соединяет две сети одного типа (к примеру, 2 локальные сети), то это маршрутизатор, а если устройство соединяет 2 разные сети, в частности глобальную и локальную, то это шлюз.

Далее...

Коммутаторы и концентраторы

Рубрики: Безопасность | Топология сети
Метки: |
Дата: 29/01/2009 10:39:07
Подписаться на комментарии по RSS

В сети с общей средой передачи данных практически все данные доступны всем узлам сети. В любой сети есть концентратор, который физически соединяет компьютеры сети. С помощью кабеля (витая пара, коаксиальный кабель или что-то другое) компьютеры подключаются к портам концентратора. Портов бывает от 4 до 24, бывает и больше. Если нужно еще больше портов, то концентраторы обьединяют вместе. Эффективней всего концентратор использовать в небольших локальных сетях, в больших корпоративных сетях он не обеспечивает должной производительности.

Далее...

Сниффинг в сети с коммутаторами

Рубрики: Безопасность | Уязвимости Linux-сервера
Метки: | |
Дата: 26/01/2009 12:41:34
Подписаться на комментарии по RSS

Коммутаторы используются для повышения производительности сети. Повышение производительности достигается благодаря особому алгоритму работы коммутатора. В отличие от концентратора (хаба) коммутатор «знает», к какому порту подключен какой компьютер, и отправляет пакеты не на все порты, а только на тот порт, к которому подключен получатель.

Далее...