Bridge+Firewall: Bridge. Nastêpna strona Poprzednia strona Spis tre¶ci 2. Bridge. 2.1 Oprogramowanie. Zdob±d¼ konfigurator do bridge'a BRCFG.tgz. 2.2 Najpierw poczytaj. Przeczytaj Multiple-Ethernet, ¿eby siê dowiedzieæ jak rozpoznaæ i skonfigurowaæ wiêcej kart sieciowych. Wiêcej szczegó³ów na temat magii startowania, które mo¿esz potrzebowaæ jest w BootPrompt-HOWTO. Mo¿e obêdzie siê bez NET-3-HOWTO. Jest to dobry i d³ugi dokument i bêdziesz musia³ wybraæ sobie to czego potrzebujesz. 2.3 Konfiguracja startu systemu. Po przeczytaniu powy¿szego dowiesz siê, ¿e musisz skompilowaæ j±dro, ¿eby rozpozna³o drugie urz±dzenie ethernet-owe podczas startu oraz, ¿e musisz dodaæ liniê do pliku /etc/lilo.conf i uruchomiæ lilo: append = "ether=0,0,eth1" Zauwa¿, ¿e jest tu eth1. eth0 jest pierwsz± kart± a eth1 jest drug± kart±. Zawsze mo¿esz podaæ parametry podczas startu kiedy lilo ich oczekuje. Oto przyk³ad dla trzech kart: linux ether=0,0,eth1 ether=0,0,eth2 Ja u¿ywam loadlin.exe, aby uruchomiæ Linux-a: loadlin.exe c:\vmlinuz root=/dev/hda3 ro ether=0,0,eth1 ether=0,0,eth2 Zauwa¿, ¿e to zmusza j±dro do szukania podczas startu. Nie bêdzie to mia³o miejsca je¶li za³adujesz sterowniki ethernet-owe jako modu³y (ze wzglêdów bezpieczeñstwa poniewa¿ kolejno¶æ szukania nie mo¿e byæ okre¶lona). Wiêc je¶li u¿ywasz modu³ów, to bêdziesz musia³ dodaæ parametry okre¶laj±ce IRQ i port w pliku /etc/conf.modules - to jest mój przyk³ad: alias eth0 3c509 alias eth1 de620 options 3c509 irq=5 io=0x210 options de620 irq=7 bnc=1 Mo¿esz sprawdziæ czy u¿ywasz modu³ów przez ps -aux i zobaczenie czy jest proces kerneld i czy w katalogu /lib/modules/`uname -r` s± pliki *.o. (w miejsce uname -r wstaw wynik tego polecenia). Je¶li masz proces kerneld albo w podanym katalogu s± pliki *.o, to wyedytuj plik /etc/conf.modules i przeczytaj uwa¿nie stronê podrêcznika systemowego na temat depmod. Zauwa¿ te¿, ¿e do niedawna (2.0.25) sterownik 3c509 nie móg³ byæ u¿yty jako modu³ dla wiêcej ni¿ jednej karty. Widzia³em gdzie¶ ³atê, która naprawia tê niedogodno¶æ. Mo¿e on byæ w j±drze kiedy to czytasz. 2.4 Konfiguracja j±dra. Skompiluj j±dro z w³±czon± opcj± bridge. CONFIG_BRIDGE=y Ja skompilowa³em tak¿e z w³±czonymi opcjami firewalling, IP-forwarding, IP-masquerading i reszt±. Ale tylko je¶li chcesz mieæ tak¿e firewall. CONFIG_FIREWALL=y CONFIG_NET_ALIAS=y CONFIG_INET=y CONFIG_IP_FORWARD=y CONFIG_IP_MULTICAST=y CONFIG_IP_FIREWALL=y CONFIG_IP_FIREWALL_VERBOSE=y CONFIG_IP_MASQUERADE=y Nie potrzebujesz tego wszystkiego. To czego potrzebujesz, to standardowa konfiguracja sieci: CONFIG_NET=y i nie s±dzê, ¿eby¶ siê musia³ przejmowaæ innymi opcjami zwi±zanymi z sieci±. Wszystkie opcje, których w³a¶ciwie nie wkompilowa³em w j±dro mam dostêpne jako modu³y i mogê je dodaæ pó¼niej. Zainstaluj nowe j±dro, uruchom lilo i zresetuj z nowym j±drem. W tym momencie nic siê nie powinno zmieniæ. 2.5 Adresy sieciowe. Chris twierdzi, ¿e bridge nie powinien mieæ adresu IP, ale to nie jest to ustawienie opisane tutaj. Bêdziesz chcia³ u¿ywaæ tej maszyny do ³±czenia siê z sieci± wiêc potrzebujesz adresu i musisz siê upewniæ, ¿e masz skonfigurowane poprawnie urz±dzenie "loopback", tak ¿eby twoje oprogramowanie mog³o komunikowaæ siê z miejscami, z którymi spodziewa siê, ¿e bêdzie siê mog³o porozumieæ. Je¶li nie bêdzie tego urz±dzenia, to serwis nazw albo inny serwis sieciowy mo¿e nie dzia³aæ. Przeczytaj NET-3-HOWTO, ale twoja standardowa konfiguracja powinna ju¿ to za ciebie zrobiæ: ifconfig lo 127.0.0.1 route add -net 127.0.0.0 Bêdziesz musia³ nadaæ adres obojgu kartom. Ja dopasowa³em swój /etc/rc.d/rc.inet1 w Slackware 3.x, aby ustawiæ moje dwie karty. A ty powiniene¶ tak¿e poszukaæ gdzie jest konfiguracja sieci u ciebie i podwoiæ instrukcje. Za³ó¿my, ¿e masz ju¿ adres: 192.168.2.100 (jest to prywatny zarezerwowany adres sieciowy, ale niewa¿ne - nikomu nie zaszkodzi je¶li u¿yjesz tego adresu przez pomy³kê) wtedy masz ju¿ pewnie liniê: ifconfig eth0 192.168.2.100 netmask 255.255.255.0 metric 1 w swojej konfiguracji. Pierwsze co pewnie bêdziesz chcia³ zrobiæ to podzieliæ przestrzeñ adresow± na pó³, tak ¿e mo¿esz potem te dwie po³owy bridge'owaæ. Wiêc dodaj liniê. która zredukuje maskê tak, ¿e bêdzie ona adresowaæ mniejsz± ilo¶æ maszyn: ifconfig eth0 netmask 255.255.255.128 Spróbuj tego te¿. Powoduje to obciêcie przestrzeni adresowej do zakresu od .0 do .127. Teraz mo¿esz ustawiæ swoj± drug± kartê w drugiej po³owie adresów. Upewnij siê, ¿e nikt jeszcze takiego adresu nie ma. Dla symetrii ja ustawi³em j± na 228 (128+100=228). Ka¿dy adres bêdzie siê tak zachowywa³ dopóki nie znajdzie siê w masce tej pierwszej karty - a nawet wtedy, no mo¿e. Unikaj adresów specjalnych takich jak .0, .1, .128 o ile naprawdê wiesz co robisz. ifconfig eth1 192.168.2.228 netmask 255.255.255.128 metric 1 To powoduje zmniejszenie zakresu adresów drugiej karty do .128 do .255. 2.6 Ruting sieci. Powy¿sze mo¿e byæ wystarczaj±c± konfiguracj± dla dzia³aj±cego bridge'a, ale ja bêdê mia³ tak¿e firewall i chcê kontrolowaæ fizyczne przeznaczenie niektórych pakietów. Nawet wtedy trzeba siê pilnowaæ przed spoofingiem. Mam ma³± sieæ maszyn do³±czonych do hub-a na eth0, wiêc konfigurujê tam sieæ: route add -net 192.168.2.128 netmask 255.255.255.128 dev eth0 128 by³oby 0 gdybym mia³ pe³n± klasê C. "dev eth0" nie jest tu potrzebne poniewa¿ adres karty zalicza siê do tej sieci, ale mo¿e byæ potrzebne dla ciebie. Na drugiej karcie mam liniê id±c± prosto do du¿ego rutera, któremu ufam. client 129 __ | __ client 1 \ .0 .128 | / net 1 client 2 --- Hub - eth0 - Kernel - eth1 - Hub - Router --- net 2 client 3 __/ .100 .228 .2 | \__ net 3 | client 254 Do³±czam adres tego rutera do tej karty jako statyczny poniewa¿ inaczej zalicza³by siê on do maski tej pierwszej karty i j±dro ¼le kierowa³oby pakiety do tego du¿ego rutera. route add 192.168.2.2 dev eth1 Ja go nie potrzebujê poniewa¿ nie mam wiêcej maszyn w tej po³ówce przestrzeni adresowej, ale deklarujê sieæ tak¿e na tej drugiej karcie route add -net 192.168.2.128 netmask 255.255.255.128 dev eth1 Muszê tak¿e wys³aæ wszystkie nie lokalne pakiety w ¶wiat, wiêc informujê j±dro, ¿eby wysy³a³o je do du¿ego rutera: route add default gw 192.168.2.2 2.7 Konfiguracja karty. To tyle odno¶nie standardowego ustawiania sieci, ale my mamy bridge wiêc musimy na obydwu (?) kartach s³uchaæ pakietów, które nie s± przeznaczone dla nas. Nastêpuj±ce dwie linie powinny siê znale¼æ w pliku konfiguruj±cym sieæ: ifconfig promisc eth0 ifconfig promisc eth1 Na stronie podrêcznika systemowego napisane jest, ¿e allmulti=promisc, ale u mnie to nie dzia³a³o. 2.8 Dodatkowy ruting. Jedno co zauwa¿y³em, to to, ¿e musia³em przynajmniej drug± kartê ustawiæ w tryb, w którym odpowiada³aby ona du¿emu ruterowi jakie maszyny chowam w swojej sieci. ifconfig arp eth1 Na wszelki wypadek zrobi³em to samo dla pierwszej karty. ifconfig arp eth0. 2.9 Konfiguracja Bridge'a. Umie¶æ w³±czanie bridge'owania w swoim pliku konfiguracyjnym: brcfg -enable Powiniene¶ to próbowaæ w czasie rzeczywistym ca³y czas oczywi¶cie! Konfigurator bridge'a poda parê liczb. Mo¿esz poeksperymentowaæ w³±czaj±c i wy³±czaj±c porty - jeden za ka¿dym razem. brcfg -port 0 -disable/-enable brcfg -port 1 -disable/-enable Polecenie brcfg poka¿e ci raport w ka¿dej chwili. Zobaczysz, ¿e bridge s³ucha, dowiaduje siê i potem przekazuje pakiety. (Nie rozumiem dlaczego kod powtarza te same adresy sprzêtowe dla obu moich kart, ale niewa¿ne ... HOWTO Chrisa mówi, ¿e to dobrze) 2.10 Wypróbuj. Je¶li ca³y czas wszystko u ciebie dzia³a, to wypróbuj swoj± konfiguracjê w rzeczywisto¶ci - wy³±cz obie karty i uruchom swój plik konfiguracyjny: ifconfig eth0 down ifconfig eth1 down /etc/rc.d/rc.inet1 Je¶li masz szczê¶cie, to ró¿ne podsystemy (nfs, ypbind, itp) nie zauwa¿± tej zmiany. Nie próbuj tego o ile nie siedzisz przy klawiaturze. Je¶li chcesz byæ bardziej ostro¿ny ni¿ teraz, powiniene¶ wy³±czyæ tyle demonów ile siê da i odmontowaæ katalogi nfs. Najgorszym co mo¿e siê staæ, to to, ¿e bêdziesz musia³ zrestartowaæ komputer w trybie jednego u¿ytkownika (parametr "single" dla lilo lub loadlin) i zmieniæ wszystko na stan taki jaki by³ przed zmian± konfiguracji. 2.11 Sprawdzenia. Sprawd¼ czy na ka¿dym interfejsie jest inny ruch: tcpdump -i eth0 (w jednym oknie) tcpdump -i eth1 (w drugim oknie) Powiniene¶ siê przyzwyczaiæ do u¿ywania tcpdump do szukania przyczyn niektórych zdarzeñ, które nie powinny mieæ miejsca a maj±. Na przyk³ad szukanie pakietów, które przesz³y przez bridge do drugiej karty z wewnêtrznej sieci. W tym przyk³adzie szukam pakietów z maszyny o adresie .22: tcpdump -i eth1 -e host 192.168.2.22 Potem wy¶lij ping-a z maszyny .22 do rutera. Powiniene¶ zobaczyæ raport o tym pakiecie. W tym momencie powiniene¶ mieæ w pe³ni dzia³aj±cy bridge z dwoma adresami. Sprawd¼ czy mo¿esz je pingowaæ z zewn±trz i z wewn±trz sieci oraz, ¿e mo¿esz siê ³±czyæ z jednej sieci do drugiej i z zewn±trz. Nastêpna strona Poprzednia strona Spis tre¶ci