Firewalle i proxy serwery: Przygotowanie Linuxa
Następna strona
Poprzednia strona
Spis treści
5. Przygotowanie Linuxa
5.1 Kompilacja jądra.
Zacznij od świeżej instalacji twojej dystrybucji Linuxowej (ja
użyłem RedHata 3.0.3 (Picasso) i poniższe przykłady bazują na tej
dystrybucji). Im mniej oprogramowania zainstalujesz tym mniej będzie
w nim dziur, tylnych wejść i / lub błędów wprowadzających do twojego
systemu problem bezpieczeństwa, więc zainstaluj jedynie minimalny
zestaw aplikacji.
Użyj stabilnego jądra. Ja użyłem 2.0.14.
Oto jest dokumentacja podstawowych ustawień:
Będziesz potrzebował rekompilować jądro sytemu z odpowiednimi
opcjami. (patrz Kernel-HOWto, Ethernet-HOWto oraz NET-2 HOWto jeśli
nie zrobiłeś tego wcześniej).
Oto są sieciowe ustawienia które poznałem wykonując komendę make
config
Under General setup
Turn Networking Support ON
Under Networking Options
Turn Network firewalls ON
Turn TCP/IP Networking ON
Turn IP forwarding/gatewaying OFF (UNLESS you wish to use IP
filtering)
Turn IP Firewalling ON
Turn IP firewall packet loggin ON (this is not required but
it is a good idea)
Turn IP: masquerading OFF (I am not covering this subject
here.)
Turn IP: accounting ON
Turn IP: tunneling OFF
Turn IP: aliasing OFF
Turn IP: PC/TCP compatibility mode OFF
Turn IP: Reverse ARP OFF
Turn Drop source routed frames ON
Under Network device support
Turn Network device support ON
Turn Dummy net driver support ON
Turn Ethernet (10 or 100Mbit) ON
Select your network card
Teraz możesz dokonać rekompilacji i reinstalacji jądra oraz
zrestartować system. Twoja karta/y sieciowa/e powinny pojawić się w
trakcie procedury startowej. Jesli tak się nie dzieje sprawdź w
innych JTZ, i próbuj dopóki nie będą działać.
5.2 Ustawienie dwóch kart sieciowych
Jeśli masz dwie kary sieciowe w swoim komputerze w większości
przypadków potrzebujesz dodać twierdzenie w pliku
/etc/lilo.conf opisujące ich IRQ i adresy. W moim wypadku
wygląda to tak:
append= " ether=12,0x300,eth0 ether=15,0x340,eth1 "
5.3 Ustawienie adresów sieciowych
Jest to naprawdę interesująca część. Teraz jest czas na podjęcie
kilku decyzji. Dopóki nie chcemy dać dostępu komputerom z Internetu
do żadnej z części naszej sieci lokalnej nie musimy używać
prawdziwych adresów. Istnieją numery wydzielone z internetowych do
ustawienia odrębnych sieci prywatnych
(przyp. tłumacza: klasa A 10.0.0.0-10.255.255.255, klasy B, i
klasy C: 192.168.0.0.0-192.166.255.255)
Ponieważ każdy potrzebuje więcej adresów i ponieważ adres nie mogą
się powtarzać w Internecie jest to dobry wybór.
Wybraliśmy jedną z tych klas: 192.168.2.xxx, i użyjemy jej w naszym
przykładzie.
Twój serwer proxy będzie członkiem obu sieci i będzie przekazywał
dane do i z sieci prywatnej.
199.1.2.10 __________ 192.168.2.1 192.168.2.2
_ __ _ \ | | / ____/__________
| \/ \/ | \| Firewall |/ | Stacja |
/ Internet \--------| |------------| Robocza |
\_/\_/\_/\_/ |__________| |_______________|
Jeśli używasz filtrującego firewalla możesz używać tych numerów
stosując
IP masquearading
Firewall będzie przesyłał pakiety i tłumaczył numery IP na
,,PRAWDZIWE'' adresy w Internecie.
Musisz przydzielić prawdziwy adres IP karcie sieciowej widocznej z
Internetu (na zewnątrz). I przydzielić adres 192.168.2.1 karcie
Ethernetowej wewnątrz. To będzie adres IP twojego gatewaya/proxy.
Możesz przydzielić pozostałym maszynom ze swojej sieci numery z
zakresu
192.168.2.2-192.168.2.254.
Odkąd używam RedHat Linux
do ustawienia sieci przy starcie dodaję plik ifcfg-eth1
w katalogu /etc/sysconfig/network-scripts/. Jest on czytany
w trakcie startu systemu i ustawiania sieci i tablic routingu.
Mój ifcfg-eth1 wygląda następująco:
#!/bin/sh
#>>>Device type: ethernet
#>>>Variable declarations:
DEVICE=eth1
IPADDR=192.168.2.1
NETMASK=255.255.255.0
NETWORK=192.168.2.0
BROADCAST=192.168.2.255
GATEWAY=199.1.2.10
ONBOOT=yes
#>>>End variable declarations
Możesz także użyć tego skryptu do automatycznego połączenia
modemowego do twojego IPS. Spójrz na skrypt ipup-pop
Jeśli używasz modemu do łączenia się z siecią twój zewnętrzny adres
będzie
przydzielony w trakcie połączenia.
5.4 Testowanie twojej sieci
Zacznij od sprawdzenia ifconfig i trasowania (routingu)
jeśli masz dwie karty wynik polecenia ifconfig powinien
wyglądać
następująco:
#ifconfig
lo Link encap:Local Loopback
inet addr:127.0.0.0 Bcast:127.255.255.255 Mask:255.0.0.0
UP BROADCAST LOOPBACK RUNNING MTU:3584 Metric:1
RX packets:1620 errors:0 dropped:0 overruns:0
TX packets:1620 errors:0 dropped:0 overruns:0
eth0 Link encap:10Mbps Ethernet HWaddr 00:00:09:85:AC:55
inet addr:199.1.2.10 Bcast:199.1.2.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0
TX packets:0 errors:0 dropped:0 overruns:0
Interrupt:12 Base address:0x310
eth1 Link encap:10Mbps Ethernet HWaddr 00:00:09:80:1E:D7
inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0
TX packets:0 errors:0 dropped:0 overruns:0
Interrupt:15 Base address:0x350
a twoja tablica trasowania mniej więcej tak:
#route -n
Kernel routing table
Destination Gateway Genmask Flags MSS Window Use Iface
199.1.2.0 * 255.255.255.0 U 1500 0 15 eth0
192.168.2.0 * 255.255.255.0 U 1500 0 0 eth1
127.0.0.0 * 255.0.0.0 U 3584 0 2 lo
default 199.1.2.10 * UG 1500 0 72 eth0
Uwaga: 199.1.2.0 jest numerem interface po internetowej
stronie
firewalla zaś 192.168.2.0 jest wewnątrz.
Teraz spróbuj pingnąć się do Internetu z firewalla. Ja zwykłem używać
nic.dnn.mil jako punktu testowego (w Polsce doradzałbym
bilbo.nask.org.pl 148.81.16.51). Jest to wciąż dobry test,
ale nie dostarcza tylu informacji ile by się chciało.
Jeśli nie rusza za pierwszym razem spróbuj zapukać do innych
komputerów
poza swoją siecią lokalną. Jeśli nie działa to znaczy że twoje
połączenie PPP
jest źle ustawione. Przeczytaj jeszcze raz Net-2 HOWto i spróbuj
jeszcze raz.
Następnie pingnij się z firewalla do komputera wewnątrz chronionej
sieci.
Każdy komputer powinien móc sondować inny. Jeśli nie spójrz jeszcze
raz
do Net-2 HOWto i popraw ustawienia w swojej sieci.
Teraz spróbuj pingnąć zewnętrzny adres z wewnętrznej części
chronionej sieci.
(Notka: to nie jest żaden z numerów IP zaczynających się od:
192.168.2.xxx.)
Jeśli jest to możliwe, to znaczy że nie wyłączyłeś przesyłania IP w
konfiguracji jądra.
Upewnij się, że tego chcesz. Jeśli zostawisz tę opcję włączoną,
musisz zapoznać się z częścią tego dokumentu opisującą filtrowanie
pakietów
IP.
Teraz spróbuj sondować internet zza swojego firewalla.
Użyj tego samego adresu co poprzednio (np. bilbo.nask.org.pl).
Znowu, jeśli wyłączyłeś IP Forwarding nie powinno działać. Albo
powinno,
jeśli włączyłeś.
Jeśli masz ustawiony IP Forwarding i używasz ,,PRAWDZIWYCH''
(nie 192.168.2.*) adresów IP i nie możesz wyjść na zewnątrz, ale
możesz się dostać do internetowej strony swego firewalla
sprawdź czy następny router przepuszcza pakiety z twojej sieci
lokalnej
(twój dostawca usług internetowych powinien coś o tym wiedzieć).
Jeśli przydzieliłeś swojej sieci adresy 192.168.2.*
pakiety i tak nie będą filtrowane. Jeśli przechodzą mimo wszystko
i masz
IP masquerading włączone ten test też został zdany.
Masz teraz podstawową konfigurację systemu.
5.5 Zabezpieczanie firewalla.
Firewall nie spełnia swojego zadania jeśli zostawia otwarte okno
dla ataków
przez nieużywane usługi. ,,Źli chłopcy'' mogą zdobyć twierdzę i
zmodyfikować ją dla swoich potrzeb.
Zacznij wyłączać niepotrzebne usługi. Spójrz na
/etc/inetd.conf.
Plik ten kontroluje coś co jest nazywane ,,super serwerem''.
Kontroluje uruchamianie usług na żądanie.
Kompletnie wyłącz:
netstat, systat, tftp, bootp oraz finger. Aby wyłączyć usługę
wystarczy postawić znak # (tzw. hash) jako pierwszy znak w
linii.
kiedy to zrobisz wyślij sygnał HUP do procesu inetd
pisząc: " kill -HUP < pid > " ,
gdzie < pid > jest numerem procesu inetd.
Spowoduje to powtórne przeczytanie przez inetd pliku konfiguracyjnego
(inetd.conf) i restart.
Sprawdź teraz czy jesteś w stanie dostać się do portu obsługującego
netstat
telnet localhost 15
Jeśli otrzymasz wynik z netstata nie zrestartowałeś inetd
prawidłowo.
Następna strona
Poprzednia strona
Spis treści
Wyszukiwarka
Podobne podstrony:
firewall howto plfirewall howto pl 8firewall howto plfirewall howto pl 9Firewall HOWTO plfirewall howto pl 3firewall howto pl 1firewall howto pl 10firewall howto pl 2firewall howto pl 4firewall howto pl 6firewall howto pl 7bootdisk howto pl 8PPP HOWTO pl 6 (2)NIS HOWTO pl 1 (2)cdrom howto pl 1jtz howto pl 5Keystroke HOWTO pl (2)więcej podobnych podstron