Bridge+Firewall Autor: Peter Breuer, ptb@it.uc3m.es v1.1, 23 Grudnia 1996 WWeerrssjjaa ppoollsskkaa:: BBaarrttoosszz MMaarruusszzeewwsskkii BB..MMaarruusszzeewwsskkii@@jjttzz..oorrgg..ppll v1.01, 26 Lipca 1997 W oryginalnym dokumencie na temat Bridge'a opisane sÄ… inne sposoby podejÅ›cia. Jest to Bridge mini-HOWTO napisane przez Chrisa Cole'a . Wersja, na której bazowaÅ‚em to 1.03 z 23 Sierpnia 1996. OryginaÅ‚ tego dokumentu znajduje siÄ™ na ftp.icm.edu.pl w katalogu /pub/Linux/sunsite/docs/HOWTO/mini. Dokument ten jest napisany w standardzie ISO-8859-2. ______________________________________________________________________ Spis treÅ›ci 1. Co, jak i dlaczego ? 1.1 Co. 1.2 Dlaczego. 1.3 Jak. 2. Bridge. 2.1 Oprogramowanie. 2.2 Najpierw poczytaj. 2.3 Konfiguracja startu systemu. 2.4 Konfiguracja jÄ…dra. 2.5 Adresy sieciowe. 2.6 Ruting sieci. 2.7 Konfiguracja karty. 2.8 Dodatkowy ruting. 2.9 Konfiguracja Bridge'a. 2.10 Wypróbuj. 2.11 Sprawdzenia. 3. Firewall. 3.1 Oprogramowanie i czytanie. 3.2 Sprawdzenie wstÄ™pne. 3.3 Zasady domyÅ›lne. 3.4 Dziury na adres. 3.5 Dziury na protokół. 3.6 Sprawdzenia. 4. Od tÅ‚umacza. ______________________________________________________________________ 11.. CCoo,, jjaakk ii ddllaacczzeeggoo ?? 11..11.. CCoo.. Bridge jest to inteligentne poÅ‚Ä…czenie pomiÄ™dzy dwoma kartami sieciowymi. Firewall jest to inteligentny izolator. 11..22.. DDllaacczzeeggoo.. Możesz chcieć bridge'a jeÅ›li masz kilka komputerów: · żeby zaoszczÄ™dzić pieniÄ…dze na hubie jeÅ›li akurat masz dodatkowÄ… kartÄ™ ethernet-owÄ…, · żeby oszczÄ™dzić sobie nauki jak robić IP-forwarding i inne triki jeÅ›li masz dwie karty w swoim komputerze, · żeby oszczÄ™dzić sobie pracy jeÅ›li coÅ› siÄ™ w przyszÅ‚oÅ›ci zmieni. "Kilka komputerów" to może być np. trzy jeÅ›li majÄ… być rutowane, bridge'owane albo po prostu od czasu do czasu zmieniajÄ… swoje miejsce pobytu. Możesz także chcieć mieć bridge tylko dla zabawy, żeby siÄ™ dowiedzieć co on robi - ja wÅ‚aÅ›nie dlatego sobie go postawiÅ‚em. JeÅ›li naprawdÄ™ chcesz go postawić z pierwszego powodu, to poczytaj lepiej NET-3-HOWTO albo Serial-HOWTO a znajdziesz tam lepsze obejÅ›cia. Firewall jest ci potrzebny jeÅ›li: · chronisz swojÄ… sieć przed dostÄ™pem z zewnÄ…trz albo · chcesz zabronić wyjÅ›cia poza twojÄ… sieć z jej Å›rodka Ja tu potrzebowaÅ‚em tego drugiego. Przepisy na naszym uniwersytecie zabraniaÅ‚y nam grać rolÄ™ dostawcy Internet-u dla studentów. 11..33.. JJaakk.. ZaczÄ…Å‚em bridge'ować dwie karty sieciowe w maszynie z firewallem a skoÅ„czyÅ‚em na firewall-owaniu wraz z bridge'owaniem bez usuwania jednej z funkcji. Wydaje siÄ™ to dziaÅ‚ać znacznie bardziej wydajnie niż każda z konfiguracji osobno. MogÄ™ na przykÅ‚ad wyÅ‚Ä…czyć firewall a bridge dalej dziaÅ‚a albo odwrotnie jeÅ›li chcÄ™ być bardziej bezpieczny. StawiaÅ‚bym na to, że kod bridge'a jest tuż nad fizycznym poziomem urzÄ…dzenia a kod firewalla jest o jeden poziom wyżej, tak że poÅ‚aczenie bridge'a z firewallem dziaÅ‚a tak jakby to byÅ‚a jedność a nie jakby dziaÅ‚aÅ‚y równolegle. -> wej. bridge'a -> wej. firewalla -> jÄ…dro -> wyj. firewalla -> wyj. bridge'a Nie ma innego sposobu na wytÅ‚umaczenie dlaczego maszyna może być "konduktorem" i izolatorem w tym samym czasie. W każdym razie wydaje siÄ™ to dziaÅ‚ać razem bardzo dobrze. Oto co ja robiÄ™ ... 22.. BBrriiddggee.. 22..11.. OOpprrooggrraammoowwaanniiee.. ZdobÄ…dź konfigurator do bridge'a BRCFG.tgz . 22..22.. NNaajjppiieerrww ppoocczzyyttaajj.. Przeczytaj Multiple-Ethernet , żeby siÄ™ dowiedzieć jak rozpoznać i skonfigurować wiÄ™cej kart sieciowych. WiÄ™cej szczegółów na temat magii startowania, które możesz potrzebować jest w BootPrompt-HOWTO . Może obÄ™dzie siÄ™ bez NET-3-HOWTO . Jest to dobry i dÅ‚ugi dokument i bÄ™dziesz musiaÅ‚ wybrać sobie to czego potrzebujesz. 22..33.. KKoonnffiigguurraaccjjaa ssttaarrttuu ssyysstteemmuu.. Po przeczytaniu powyższego dowiesz siÄ™, że musisz skompilować jÄ…dro, żeby rozpoznaÅ‚o drugie urzÄ…dzenie ethernet-owe podczas startu oraz, że musisz dodać liniÄ™ do pliku /etc/lilo.conf i uruchomić _l_i_l_o: append = "ether=0,0,eth1" Zauważ, że jest tu _e_t_h_1. _e_t_h_0 jest pierwszÄ… kartÄ… a _e_t_h_1 jest drugÄ… kartÄ…. Zawsze możesz podać parametry podczas startu kiedy lilo ich oczekuje. Oto przykÅ‚ad dla trzech kart: linux ether=0,0,eth1 ether=0,0,eth2 Ja używam loadlin.exe, aby uruchomić Linux-a: loadlin.exe c:\vmlinuz root=/dev/hda3 ro ether=0,0,eth1 ether=0,0,eth2 Zauważ, że to zmusza jÄ…dro do szukania podczas startu. Nie bÄ™dzie to miaÅ‚o miejsca jeÅ›li zaÅ‚adujesz sterowniki ethernet-owe jako moduÅ‚y (ze wzglÄ™dów bezpieczeÅ„stwa ponieważ kolejność szukania nie może być okreÅ›lona). WiÄ™c jeÅ›li używasz modułów, to bÄ™dziesz musiaÅ‚ dodać parametry okreÅ›lajÄ…ce IRQ i port w pliku /etc/conf.modules - to jest mój przykÅ‚ad: alias eth0 3c509 alias eth1 de620 options 3c509 irq=5 io=0x210 options de620 irq=7 bnc=1 Możesz sprawdzić czy używasz modułów przez _p_s _-_a_u_x i zobaczenie czy jest proces _k_e_r_n_e_l_d i czy w katalogu /lib/modules/`uname -r` sÄ… pliki *.o. (w miejsce _u_n_a_m_e _-_r wstaw wynik tego polecenia). JeÅ›li masz proces _k_e_r_n_e_l_d albo w podanym katalogu sÄ… pliki *.o, to wyedytuj plik /etc/conf.modules i przeczytaj uważnie stronÄ™ podrÄ™cznika systemowego na temat _d_e_p_m_o_d. Zauważ też, że do niedawna (2.0.25) sterownik 3c509 nie mógÅ‚ być użyty jako moduÅ‚ dla wiÄ™cej niż jednej karty. WidziaÅ‚em gdzieÅ› Å‚atÄ™, która naprawia tÄ™ niedogodność. Może on być w jÄ…drze kiedy to czytasz. 22..44.. KKoonnffiigguurraaccjjaa jjÄ…Ä…ddrraa.. Skompiluj jÄ…dro z wÅ‚Ä…czonÄ… opcjÄ… bridge. CONFIG_BRIDGE=y Ja skompilowaÅ‚em także z wÅ‚Ä…czonymi opcjami firewalling, IP- forwarding, IP-masquerading i resztÄ…. Ale tylko jeÅ›li chcesz mieć także firewall. CONFIG_FIREWALL=y CONFIG_NET_ALIAS=y CONFIG_INET=y CONFIG_IP_FORWARD=y CONFIG_IP_MULTICAST=y CONFIG_IP_FIREWALL=y CONFIG_IP_FIREWALL_VERBOSE=y CONFIG_IP_MASQUERADE=y Nie potrzebujesz tego wszystkiego. To czego potrzebujesz, to standardowa konfiguracja sieci: CONFIG_NET=y i nie sÄ…dzÄ™, żebyÅ› siÄ™ musiaÅ‚ przejmować innymi opcjami zwiÄ…zanymi z sieciÄ…. Wszystkie opcje, których wÅ‚aÅ›ciwie nie wkompilowaÅ‚em w jÄ…dro mam dostÄ™pne jako moduÅ‚y i mogÄ™ je dodać później. Zainstaluj nowe jÄ…dro, uruchom _l_i_l_o i zresetuj z nowym jÄ…drem. W tym momencie nic siÄ™ nie powinno zmienić. 22..55.. AAddrreessyy ssiieecciioowwee.. Chris twierdzi, że bridge nie powinien mieć adresu IP, ale to nie jest to ustawienie opisane tutaj. BÄ™dziesz chciaÅ‚ używać tej maszyny do Å‚Ä…czenia siÄ™ z sieciÄ… wiÄ™c potrzebujesz adresu i musisz siÄ™ upewnić, że masz skonfigurowane poprawnie urzÄ…dzenie "loopback", tak żeby twoje oprogramowanie mogÅ‚o komunikować siÄ™ z miejscami, z którymi spodziewa siÄ™, że bÄ™dzie siÄ™ mogÅ‚o porozumieć. JeÅ›li nie bÄ™dzie tego urzÄ…dzenia, to serwis nazw albo inny serwis sieciowy może nie dziaÅ‚ać. Przeczytaj NET-3-HOWTO , ale twoja standardowa konfiguracja powinna już to za ciebie zrobić: ifconfig lo 127.0.0.1 route add -net 127.0.0.0 BÄ™dziesz musiaÅ‚ nadać adres obojgu kartom. Ja dopasowaÅ‚em swój /etc/rc.d/rc.inet1 w Slackware 3.x, aby ustawić moje dwie karty. A ty powinieneÅ› także poszukać gdzie jest konfiguracja sieci u ciebie i podwoić instrukcje. Załóżmy, że masz już adres: 192.168.2.100 (jest to prywatny zarezerwowany adres sieciowy, ale nieważne - nikomu nie zaszkodzi jeÅ›li użyjesz tego adresu przez pomyÅ‚kÄ™) wtedy masz już pewnie liniÄ™: ifconfig eth0 192.168.2.100 netmask 255.255.255.0 metric 1 w swojej konfiguracji. Pierwsze co pewnie bÄ™dziesz chciaÅ‚ zrobić to podzielić przestrzeÅ„ adresowÄ… na pół, tak że możesz potem te dwie poÅ‚owy bridge'ować. WiÄ™c dodaj liniÄ™. która zredukuje maskÄ™ tak, że bÄ™dzie ona adresować mniejszÄ… ilość maszyn: ifconfig eth0 netmask 255.255.255.128 Spróbuj tego też. Powoduje to obciÄ™cie przestrzeni adresowej do zakresu od .0 do .127. Teraz możesz ustawić swojÄ… drugÄ… kartÄ™ w drugiej poÅ‚owie adresów. Upewnij siÄ™, że nikt jeszcze takiego adresu nie ma. Dla symetrii ja ustawiÅ‚em jÄ… na 228 (128+100=228). Każdy adres bÄ™dzie siÄ™ tak zachowywaÅ‚ dopóki nie znajdzie siÄ™ w masce tej pierwszej karty - a nawet wtedy, no może. Unikaj adresów specjalnych takich jak .0, .1, .128 o ile naprawdÄ™ wiesz co robisz. ifconfig eth1 192.168.2.228 netmask 255.255.255.128 metric 1 To powoduje zmniejszenie zakresu adresów drugiej karty do .128 do .255. 22..66.. RRuuttiinngg ssiieeccii.. Powyższe może być wystarczajÄ…cÄ… konfiguracjÄ… dla dziaÅ‚ajÄ…cego bridge'a, ale ja bÄ™dÄ™ miaÅ‚ także firewall i chcÄ™ kontrolować fizyczne przeznaczenie niektórych pakietów. Nawet wtedy trzeba siÄ™ pilnować przed spoofingiem. Mam maÅ‚Ä… sieć maszyn doÅ‚Ä…czonych do hub-a na eth0, wiÄ™c konfigurujÄ™ tam sieć: route add -net 192.168.2.128 netmask 255.255.255.128 dev eth0 128 byÅ‚oby 0 gdybym miaÅ‚ peÅ‚nÄ… klasÄ™ C. "dev eth0" nie jest tu potrzebne ponieważ adres karty zalicza siÄ™ do tej sieci, ale może być potrzebne dla ciebie. Na drugiej karcie mam liniÄ™ idÄ…cÄ… prosto do dużego rutera, któremu ufam. client 129 __ | __ client 1 \ .0 .128 | / net 1 client 2 --- Hub - eth0 - Kernel - eth1 - Hub - Router --- net 2 client 3 __/ .100 .228 .2 | \__ net 3 | client 254 DoÅ‚Ä…czam adres tego rutera do tej karty jako statyczny ponieważ inaczej zaliczaÅ‚by siÄ™ on do maski tej pierwszej karty i jÄ…dro źle kierowaÅ‚oby pakiety do tego dużego rutera. route add 192.168.2.2 dev eth1 Ja go nie potrzebujÄ™ ponieważ nie mam wiÄ™cej maszyn w tej połówce przestrzeni adresowej, ale deklarujÄ™ sieć także na tej drugiej karcie route add -net 192.168.2.128 netmask 255.255.255.128 dev eth1 MuszÄ™ także wysÅ‚ać wszystkie nie lokalne pakiety w Å›wiat, wiÄ™c informujÄ™ jÄ…dro, żeby wysyÅ‚aÅ‚o je do dużego rutera: route add default gw 192.168.2.2 22..77.. KKoonnffiigguurraaccjjaa kkaarrttyy.. To tyle odnoÅ›nie standardowego ustawiania sieci, ale my mamy bridge wiÄ™c musimy na obydwu (?) kartach sÅ‚uchać pakietów, które nie sÄ… przeznaczone dla nas. NastÄ™pujÄ…ce dwie linie powinny siÄ™ znaleźć w pliku konfigurujÄ…cym sieć: ifconfig promisc eth0 ifconfig promisc eth1 Na stronie podrÄ™cznika systemowego napisane jest, że allmulti=promisc, ale u mnie to nie dziaÅ‚aÅ‚o. 22..88.. DDooddaattkkoowwyy rruuttiinngg.. Jedno co zauważyÅ‚em, to to, że musiaÅ‚em przynajmniej drugÄ… kartÄ™ ustawić w tryb, w którym odpowiadaÅ‚aby ona dużemu ruterowi jakie maszyny chowam w swojej sieci. ifconfig arp eth1 Na wszelki wypadek zrobiÅ‚em to samo dla pierwszej karty. ifconfig arp eth0. 22..99.. KKoonnffiigguurraaccjjaa BBrriiddggee''aa.. Umieść wÅ‚Ä…czanie bridge'owania w swoim pliku konfiguracyjnym: brcfg -enable PowinieneÅ› to próbować w czasie rzeczywistym caÅ‚y czas oczywiÅ›cie! Konfigurator bridge'a poda parÄ™ liczb. Możesz poeksperymentować wÅ‚Ä…czajÄ…c i wyÅ‚Ä…czajÄ…c porty - jeden za każdym razem. brcfg -port 0 -disable/-enable brcfg -port 1 -disable/-enable Polecenie _b_r_c_f_g pokaże ci raport w każdej chwili. Zobaczysz, że bridge sÅ‚ucha, dowiaduje siÄ™ i potem przekazuje pakiety. (Nie rozumiem dlaczego kod powtarza te same adresy sprzÄ™towe dla obu moich kart, ale nieważne ... HOWTO Chrisa mówi, że to dobrze) 22..1100.. WWyypprróóbbuujj.. JeÅ›li caÅ‚y czas wszystko u ciebie dziaÅ‚a, to wypróbuj swojÄ… konfiguracjÄ™ w rzeczywistoÅ›ci - wyÅ‚Ä…cz obie karty i uruchom swój plik konfiguracyjny: ifconfig eth0 down ifconfig eth1 down /etc/rc.d/rc.inet1 JeÅ›li masz szczęście, to różne podsystemy (nfs, ypbind, itp) nie zauważą tej zmiany. Nie próbuj tego o ile nie siedzisz przy klawiaturze. JeÅ›li chcesz być bardziej ostrożny niż teraz, powinieneÅ› wyÅ‚Ä…czyć tyle demonów ile siÄ™ da i odmontować katalogi nfs. Najgorszym co może siÄ™ stać, to to, że bÄ™dziesz musiaÅ‚ zrestartować komputer w trybie jednego użytkownika (parametr "single" dla lilo lub loadlin) i zmienić wszystko na stan taki jaki byÅ‚ przed zmianÄ… konfiguracji. 22..1111.. SSpprraawwddzzeenniiaa.. Sprawdź czy na każdym interfejsie jest inny ruch: tcpdump -i eth0 (w jednym oknie) tcpdump -i eth1 (w drugim oknie) PowinieneÅ› siÄ™ przyzwyczaić do używania _t_c_p_d_u_m_p do szukania przyczyn niektórych zdarzeÅ„, które nie powinny mieć miejsca a majÄ…. Na przykÅ‚ad szukanie pakietów, które przeszÅ‚y przez bridge do drugiej karty z wewnÄ™trznej sieci. W tym przykÅ‚adzie szukam pakietów z maszyny o adresie .22: tcpdump -i eth1 -e host 192.168.2.22 Potem wyÅ›lij ping-a z maszyny .22 do rutera. PowinieneÅ› zobaczyć raport o tym pakiecie. W tym momencie powinieneÅ› mieć w peÅ‚ni dziaÅ‚ajÄ…cy bridge z dwoma adresami. Sprawdź czy możesz je pingować z zewnÄ…trz i z wewnÄ…trz sieci oraz, że możesz siÄ™ Å‚Ä…czyć z jednej sieci do drugiej i z zewnÄ…trz. 33.. FFiirreewwaallll.. 33..11.. OOpprrooggrraammoowwaanniiee ii cczzyyttaanniiee.. PowinieneÅ› przeczytać Firewall-HOWTO . Dowiesz siÄ™ stamtÄ…d skÄ…d wziąć _i_p_f_w_a_d_m jeÅ›li jeszcze go nie masz. SÄ… jeszcze inne narzÄ™dzia, które możesz Å›ciÄ…gnąć, ale ja nie zrobiÅ‚em nic dalej bez _i_p_f_w_a_d_m. Jest on dość przyjazny i niskopoziomowy ! Widzisz dokÅ‚adnie co siÄ™ dzieje. 33..22.. SSpprraawwddzzeenniiee wwssttęęppnnee.. WkompilowaÅ‚eÅ› IP-forwarding i -masquerading w jÄ…dro, wiÄ™c możesz sprawdzić czy firewall jest w swoim domyÅ›lnym (akceptujÄ…cym) stanie poleceniami: ipfwadm -I -l ipfwadm -O -l ipfwadm -F -l I tak odpowiednio wyÅ›wietlane sÄ… zasady dotyczÄ…ce wchodzÄ…cych, wychodzÄ…cych i przekazywanych (masquerading) pakietów. _-_l oznacza "list". Możliwe, że wkompilowaÅ‚eÅ› także zliczanie (accounting): ipfwadm -A -l PowinieneÅ› zobaczyć, że nie ma zdefiniowanych żadnych zasad i że domyÅ›lnym stanem jest akceptacja wszystkich pakietów. Możesz wrócić do tego stanu w każdej chwili piszÄ…c: ipfwadm -I -f ipfwadm -O -f ipfwadm -F -f _-_f oznacza "flush". Możliwe, że musisz tego użyć. 33..33.. ZZaassaaddyy ddoommyyśśllnnee.. ChcÄ™ po prostu odciąć resztÄ™ Å›wiata od swojej sieci wewnÄ™trznej i nic wiÄ™cej, tak wiÄ™c ostatniÄ… (domyÅ›lnÄ…) zasadÄ… bÄ™dzie ignorowanie wszelkich pakietów pochodzÄ…cych z wnÄ™trza sieci i zaadresowanych na zewnÄ…trz. UmieÅ›ciÅ‚em wszystkie te zasady (w takiej kolejnoÅ›ci) w /etc/rc.d/rc.firewall i wykonujÄ™ ten skrypt z rc.local podczas startu. ipfwadm -I -a reject -S 192.168.2.0/255.255.255.128 -D 0.0.0.0/0.0.0.0 _-_S oznacza źródÅ‚owy (source) adres/maskÄ™. _-_D to adres/maska przeznaczenia (destination). Ten format dla ipfwadm-a jest trochÄ™ dÅ‚ugi. Program ten jest inteligentny jeÅ›li chodzi o nazwy sieciowe i niektóre popularne skróty. Zajrzyj do podrÄ™cznika systemowego. Przypuszczalnie bardziej wygodnie jest okreÅ›lać niektóre lub wszystkie zasady dla wychodzÄ…cej poÅ‚owy firewall-a używajÄ…c opcji _-_O zamiast _-_I, ale ja okreÅ›lÄ™ je dla części wchodzÄ…cej. 33..44.. DDzziiuurryy nnaa aaddrreess.. Przed zasadami domyÅ›lnymi muszÄ™ umieÅ›cić kilka zasad, które sÅ‚użą jako wyjÄ…tek od ogólnego zabronienia dostÄ™pu do serwisów zewnÄ™trznych dla klientów wewnÄ™trznych. ChcÄ™ traktować adres firewall-a w sieci wewnÄ™trznej specjalnie. ZabroniÄ™ logowania siÄ™ na tÄ™ maszynÄ™ o ile ktoÅ› nie ma specjalnego pozwolenia, ale jak już siÄ™ tam zalogujÄ…, to powinni mieć możliwość kontaktu ze Å›wiatem. ipfwadm -I -i accept -S 192.168.2.100/255.255.255.255 \ -D 0.0.0.0/0.0.0.0 ChcÄ™ także, aby klienci wewnÄ…trz sieci mogli siÄ™ komunikować z firewall-em. Może mogÄ… go zmusić, aby wypuÅ›ciÅ‚ ich na zewnÄ…trz ! ipfwadm -I -i accept -S 192.168.2.0/255.255.255.128 \ -D 192.168.2.100/255.255.255.255 W tym momencie sprawdź czy możesz siÄ™ dostać do klientów wewnÄ…trz sieci z zewnÄ…trz poprzez telnet i nie możesz siÄ™ wydostać. Oznacza to, że możesz siÄ™ kontaktować, ale klienci nie mogÄ… ci odpowiedzieć. PowinieneÅ› móc siÄ™ dostać wszystkimi drogami jeÅ›li używasz firewall-a jako maszyny przejÅ›ciowej. Spróbuj także _r_l_o_g_i_n i _p_i_n_g z uruchomionym _t_c_p_d_u_m_p na jednej z kart. PowinieneÅ› umieć odpowiednio wykorzystać to co robisz. 33..55.. DDzziiuurryy nnaa pprroottookkóółÅ‚.. W nastÄ™pnym kroku poluźniÅ‚em trochÄ™ zasady protokół po protokole. ChcÄ™, na przykÅ‚ad, wpuszczać ping-i, żeby dostać odpowiedź. ipfwadm -I -i accept -P icmp -S 192.168.2.0/255.255.255.128 \ -D 0.0.0.0/0.0.0.0 _-_P _i_c_m_p to magiczne zaklÄ™cie dla konkretnego protokoÅ‚u. Dopóki trzymam ftp-proxy pozwalam także na odwoÅ‚ania ftp na zewnÄ…trz przez konkretne porty. Te docelowe porty na odlegÅ‚ej maszynie to: 20, 21, 115 ipfwadm -I -i accept -P tcp -S 192.168.2.0/255.255.255.128 \ -D 0.0.0.0/0.0.0.0 20 21 115 Bez dziaÅ‚ajÄ…cego serwera nazw nie mógÅ‚bym mieć dziaÅ‚ajÄ…cego sendmail- a. Zamiast ustawić serwer nazw na firewall-u, pozwoliÅ‚em mu przepuszczać zapytania skierowane do najbliższego serwera nazw i umieÅ›ciÅ‚em jego adres w plikach /etc/resolv.conf u klientów - _n_a_m_e_s_e_r_v_e_r _1_2_3_._4_5_6_._7_8_9_._3_1 - w osobnej linijce. ipfwadm -I -i accept -P tcp -S 192.168.2.0/255.255.255.128 \ -D 123.456.789.31/255.255.255.255 54 To, którego portu używa dany serwis możesz dowiedzieć siÄ™ z programu _t_c_p_d_u_m_p. Po prostu uruchom dany serwis przez ftp, albo telnet na danym kliencie i szukaj go na portach wejÅ›ciowych albo wyjÅ›ciowych na danym kliencie: tcpdump -i eth1 -e host client04 Plik /etc/services jest drugim ważnym źródÅ‚em. Aby pozwolić na dostÄ™p poprzez telnet do firewall-a z zewnÄ…trz, musisz pozwolić klientom na woÅ‚anie na konkretnym porcie. Rozumiem dlaczego jest to potrzebne dla ftp - z powodu serwera, który ustawia strumieÅ„ danych na koÅ„cu - ale nie jestem pewien dlaczego telnet także tego potrzebuje. ipfwadm -I -i accept -P tcp -S 192.168.2.0/255.255.255.128 ftp telnet \ -D 0.0.0.0/0.0.0.0 SÄ… problemy z pewnymi demonami, które sprawdzajÄ… nazwÄ™ firewall-a, żeby zdecydować jaki jest ich adres sieciowy. _r_p_c_._y_p_p_a_s_s_w_d_d to jeden, z którym miaÅ‚em problemy. NalegaÅ‚ na rozsyÅ‚anie informacji, że jest on poza firewall-em (na drugiej karcie). To znaczy, że klient wewnÄ…trz nie może siÄ™ z nim porozumieć. Zamiast uruchamiania IP-aliasing-u, albo zmiany kodu demona, odwzorowaÅ‚em nazwÄ™ dla karty wewnÄ™trznej u klientów w ich plikach /etc/hosts. 33..66.. SSpprraawwddzzeenniiaa.. Teraz chcesz sprawdzić czy wciąż możesz poÅ‚Ä…czyć siÄ™ telnet-em, rlogin-em lub ping-ować z zewnÄ…trz. Z wewnÄ…trz powinieneÅ› móc ping- ować na zewnÄ…trz. PowinieneÅ› móc także poÅ‚Ä…czyć siÄ™ telnet-em z firewall-em z wewnÄ…trz a później móc robić wszystko. To tyle. W tym momencie możesz siÄ™ pouczyć o rpc/Yellow Pages i interakcji z plikiem haseÅ‚. Sieć chroniona firewall-em powinna dziaÅ‚ać tak, aby nie pozwalać nieuprzywilejowanym użytkownikom na logowanie siÄ™ na firewall-u i przez to na wychodzenie na zewnÄ…trz.. A to już historia na inne HOWTO. 44.. OOdd ttÅ‚Å‚uummaacczzaa.. TÅ‚umaczenie to jest chronione prawami autorskimi © Bartosza Maruszewskiego. Dozwolone jest rozprowadzanie i dystrybucja na prawach takich samych jak dokument oryginalny. JeÅ›li znalazÅ‚eÅ› jakieÅ› rażące bÅ‚Ä™dy ortograficzne, gramatyczne, skÅ‚adniowe, techniczne to pisz do mnie: B.Maruszewski@jtz.org.pl OficjalnÄ… stronÄ… tÅ‚umaczeÅ„ HOWTO jest http://www.jtz.org.pl/ Aktualne wersje przetÅ‚umaczonych dokumentów znajdujÄ… siÄ™ na tejże stronie. DostÄ™pne sÄ… także poprzez anonimowe ftp pod adresem ftp.jtz.org.pl w katalogu /HOWTO. PrzetÅ‚umaczone przeze mnie dokumenty znajdujÄ… siÄ™ także na mojej stronie WWW. SÄ… tam też odwoÅ‚ania do Polskiej Strony TÅ‚umaczeniowej. Kontakt z naszÄ… grupÄ…, grupÄ… tÅ‚umaczy możesz uzyskać poprzez listÄ™ dyskusyjnÄ… jtz@ippt.gov.pl. JeÅ›li chcesz siÄ™ na niÄ… zapisać, to wyÅ›lij list o treÅ›ci subscribe jtz ImiÄ™ Nazwisko na adres majordomo@ippt.gov.pl