1.Установка сетевой платы
1.Установка сетевой платыБолее подробно о настройке сети
2.Настройка шлюза
3.Настрока сервера DNS (BIND)
4.Настрока Proxy
5.Конфигурирование IpChains (Firewall)
Для начала залогиньтесь в системе под root'ом. Настройка сети включает в себя следующие этапы
1.установка модуля сетевой платы
2.настройка параметров сети
Модуль сетевой платы уже должен быть установлен, кроме того случая,
когда сетевая плата приобреталась
после установки системы. Запустите конфигуратор
DrakConf.
Сперва запустите определение оборудования, чтобы убедиться, что сетевая
плата распознается системой.
Для этого щелкните на кнопке Настройка оборудования и согласитесь на
определение устройств ISA
(Detect ISA devices).
Убедившись, что в списке слева присутствует ваш сетевой адаптер, можно
приступать к настройке сети.
Нажмите на кнопку Настройка сети (или выполните команду netconf - кому
как нравится).
Далее в окне Network configurator щелкаем на кнопке Basic
host information и в открывшемся окне вводим
имя машины, затем на вкладке
Adaptor 1 следует его (адаптер)
активизировать (Enabled). Затем водим
информацию о нашей сети и о нашей плате (IP адрес, сетевая маска, IO
Port, Irq). В поле NetDevice укажите
тип сетевого устройства - в нашей случае eth0 (от Ethernet), а в поле
Kernel Module - имя модуля ядра,
которое сответствует вашему сетевому адаптеру (например модуль ne2k-pci
соответствует плате NE2000
PCI).
Внимание! Если Вы используете сетевую плату PCI (например,
ne2k-pci) IO Port и IRQ
устанавливать не нужно!
Большинство сетевых плат совместимо с NE2000 или NE2000-PCI.
 |
Затем возвращаемся к окну кофигуратора сети и настраиваем DNS. Активизируем
DNS, вводим IP адреса
сервера(ов) и перечисляем нужные нам домены. Нужную информацию можно узнать у администратора. |
Если у вас небольшая домашняя сеть, то скорее всего, сервера DNS у вас
не будет, а для преобразования IP
адресов в имена машин служит файл /etc/hosts
Тогда ваша задача еще проще - откройте этот файл в любом текстовом
редакторе и добавьте строку типа
IP_Addr hostname
где IP_Addr - ваш IP адрес, а hostname - имя вашей машины
Также туда следует добавить адреса и имена машин в вашей сети.
Затем нужно установить адрес шлюза (gateway) по умолчанию (Routing
and gateways)
При использовании сервера доменных имен еще нужно установить порядок
поиска адресов. Это можно
сделать в окне Name service access сетевого конфигуратора (Host
name search path): hosts, dns Это означает,
что система сначала будет использовать локальную базу данных адресов,
а затем обращаться к серверу
DNS. Не отключайте режим Multiple IPs for one host
Настройки DNS хранятся в файлах /etc/hosts.conf и /etc/resolv.conf
Это все можно сделать и вручную - без конфигуратора DrakConf (я это
пишу на тот случай, когда у вас не
запукается сервер Х) - программа может запускаться и из-под консоли.
| Если конфигуратор DrakConf у вас недоступен (у
вас не запущен сервер X или вы используете другую версию Linux)
Добавим модуль сетевой платы
Программа ifconfig используется для конфигурации сетевого интерфейса, а route - таблицы маршрутизации. ifconfig eth0 192.168.1.1 up - "подымаем"
сетевой интерфейс
Теперь добавим нашу сетевую плату в таблицу маршрутизации
Указываем шлюз по-умолчанию
Теперь нужно перезапустить демон xinetd (или inetd) |
Теперь можно проверить натсройки сети. Для этого воспользуемся командой
ping 127.0.0.1
127.0.0.1 - адрес обратной петли, т.е. все пакеты, которые отправляются
на этот ардес на самом деле не
выходят за пределы локальной машины и вовзращаются к ней. Этот адрес
зарезервирован для служебных
целей и может служить для проверки конфигурации сети. Если у вас возникли
проблемы с этим адресом,
активизируйте сервис network. При правильной настройке
ваша таблица маршрутизации должна выглядеть
подобным образом
[root@dhsilabs /etc]# route
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.1.1 0.0.0.0 255.255.255.0 U 0 0 12 eth0 127.0.0.1 0.0.0.0 255.0.0.0 U 0 0 1 loТеперь можно пропинговать свою машину по IP адресу ее интерфейса eth0 и по ее имени (ping
неправильность настроек на удаленной машине
неисправность сетевого оборудования
удаленная машина просто выключена :)
2. Настройка шлюза
Настраиваем сетевые интерфейсы:
например у нас есть две сетевые платы eth0 и eth1
ifconfig eth0 192.168.1.1 up ifconfig eth0 192.168.2.1 upНам нужно обеспечить маршрутиризацию между подсетями 192.168.1.0 и 192.168.2.0
route add net 192.168.1.0 192.168.1.1 netmask 255.255.255.0 0
route add net 192.168.2.0 192.168.2.1 netmask 255.255.255.0 0
Сетевые пакеты для IP-адресов, которые не лежат в нашей локальной сети,
будем отправлять на машину
192.168.1.11, а она сама будет разбираться, что с ними делать
route add default 192.168.1.11 1
3. Настрока сервера DNS (BIND)
Напомню, что основной задачей сервера доменных имен (Domain Name System)
является преобразование
мнемонических имен машин в IP-адреса и обратно.
Учитывая, что на обращение к серверу DNS провайдера требуется 10-15,
а иногда и все 30 секунд (это
зависит от загрузки сети и от скорости соединения), установка сервера
DNS в локальной сети с выходом в
Internet является просто необходимой.
Обычно сервер DNS устанавливается на шлюзе, который используется для
выхода в Internet.
Прежде чем приступить к настройке сервера, нужно определить запущен
ли он
ps -ax | grep named
Если он запущен, его нужно остановить (или с помощью команды kill или
ndc), а если он вообще не
установлен, то вам придется установить пакет
bind. Обратите внимание,
что исполнимый файл
называется named, а сам пакет - bind
Для работы сервера должен быть активизирован сервис network
Теперь приступим к непостредственной настройке сервера
В файле /etc/named.conf содержится основная информация о параметрах сервера
logging {
category cname {null; };
};
options {
directory "/var/named";
};
zone "." {
type hint;
file "named.ca";
};
zone "dhsilabs.com" {
type master;
file "dhsilabs.com";
notify no;
};
zone "0.0.127.in-addr.arpa" {
type master;
file "named.local";
};
zone "1.168.192.in-addr.arpa" {
type master;
file "192.168.1";
notify yes;
};
Основной каталог сервера - /var/named. В нем сервер будет искать файлы
named.ca, dhsilabs.com, named.local,
Файл named.ca - корневой кэш - содержит информацию о корневых серверах
DNS. Позже мы займемся его
обновлением.
Файл dhsilabs.com (для преобразования имен в IP-адреса)
@ IN SOA den.dhsilabs.com. hostmaster.dhsilabs.com. ( 93011120 ; серийный номер 10800 ; обновление каждые 3 часа 3600 ; повтор каждый час 3600000 ; хранить информацию 1000 часов 86400 ) ; TTL записи - 24 часа IN NS den.dhsilabs.com. IN A 192.168.1.1 IN MX 150 den.dhsilabs.com. den IN A 192.168.1.1 IN HINFO INTEL CELERON (LINUX) IN MX 100 den IN MX 150 evg.dhsilabs.com. ns IN CNAME den.dhsilabs.com. www IN CNAME den.dhsilabs.com. ftp IN CNAME den.dhsilabs.com. mail IN CNAME den.dhsilabs.com. evg IN A 192.168.1.2 IN MX 100 den.dhsilabs.com. localhost IN A 127.0.0.1Запись NS обозначает name server.
Обратите внимание на точку в конце
@ IN SOA den.dhsilabs.com.
hostmaster.dhsilabs.com. (
Если точка не указана, то к имени будет добавлено имя домена (т.е.
dhsilabs.com)
Файл 192.168.1 или файл обратного соответствия
@ IN SOA den.dhsilabs.com. hostmaster.dhsilabs.com. (
93011120 ; серийный номер
10800 ; обновление каждые 3 часа
3600 ; повтор каждый час
3600000 ; хранить информацию 1000 часов
86400 ) ; TTL записи - 24 часа
@ IN NS den.dhsilabs.com
1 IN PTR den.dhsilabs.com
2.1.168.192 IN PTR evg.dhsilabs.com
Запись PTR используется для преобразования
IP-адреса в имя.
Если указан не весь IP
1
IN PTR den.dhsilabs.com
то к нему будет добавлен адрес подсети 1.168.192
IP-адреса указаваются в обратном порядке!
Для установки файла кэша можно установить пакет caching-nameserver,
а можно и получить самую новую
версию. Для этого
В ответ на приглашение программы nslookup введите две команды
> set q=ns (или set type=ns)
> .
На экране вы увидите список корневых серверов DNS, который будет помещен
в файл ns.
Для преобразования файла ns в формат named.ca воспользуйтесь следующей
программкой на awk
reformat
#!/bin/awk
awk ' BEGIN {
/root/ { print ". IN NS " $4"." }
/internet/ { print $1"." " 999999 IN A " $5 }
END '
Использовать ее нужно так reformat <source file> <output file>
reformat ns named.ca
Теперь осталось скопировать named.ca в каталог /var/named
4. Настройка Proxy
Нужно огвориться, если вы являетесь единственным клиентом в сети - особого
смысла устанавливать
прокси нет, т.к. он только замедлит быстродействие. Если же в вашей
сети хотя бы 3 клиента, то, установив
кэширующий прокси, вы не только увеличите скорость доступа к Интернет,
а и немного сэкономить.
Установите пакет squid
Осталось настроить и запустить его. Для этого нужно отредактировать
файл конфигурации
/etc/squid/squid.conf
Сначала укажем адрес прокси провайдера
cach_peer proxy.your_isp.com
Устанавливаем объем ОЗУ, который будет используется прокси
cache_mem
Теперь укажем, где будет располагаться кэш. Если у вас несколько жестких
дисков, разместе кэш на самом
быстром из них
cache_dir /usr/local/squid 2048 16 256
Укажем хосты, с которых разрешен доступ к прокси
acl allowed_hosts src 192.168.1.0/255.255.255.0 acl localhost src 127.0.0.1/255.255.255.255
разрешенные SSL порты: acl SSL_ports port 443 563
запретим метод CONNECT для всех портов, кроме указанных в acl SSL_ports:
http_access deny CONNECT !SSL_ports
и запретим доступ всем, кроме тех, кому можно:
http_access allow localhost http_access allow allowed_hosts http_access allow SSL_ports http_access deny all
пропишем пользователей, которым разрешено пользоваться squid (den, admin, developer):
ident_lookup on acl allowed_users user den admin developer http_access allow allowed_users http_access deny all
Тэги maxium_object_size и maxium_object устанавливают ограничения на размер передаваемых объектов.
Ниже приведен пример запрета доступа к любому URL, который соответстует
шаблону games и разрешения
доступа ко всем остальным
acl GaMS url_regex games http_access deny GaMS http_access allow all
5.Конфигурирование IpChains (Firewall)
Конфигурирование firewall является нетривиальной задачей (в трех строчках
не опишешь) и если вы
действительно заботитесь о безопасности вашей сети, рекомендую прочитать
подробное руководство по
настройке IPChains
В этом руководстве очень подробно описывается базовая настройка firewall,
объясняются основые принципы
фильтрации, приведены примеры по настройке.
Ниже приведено оглавление руководства:
3. Я запутался! Маршрутизация, маскарадинг, форвардинг портов, ipautofw
...
3.1 Трехстрочное руководство Русти по маскарадингу
3.2 Безвозмездная поддержка: правила WatchGuard
3.3 Общие Firewall-ные установки
3.4 Подробная информация о маскарадинге
4. IP Firewalling цепочки
4.1 Как фильтры отсеивают пакеты
4.2 Полезные примеры
5. Разное.
5.1 Как организовать ваши Firewall правила
5.2 Что не нужно отфильтровывать
5.3 Фильтрация Пинга Смерти (DeathPing)
5.4 Фильтрация Teardrop и Bonk
5.5 Фильтрация фрагментированных бомб
5.6 Изменение Firewall правил
5.7 Как установить защиту от IP спуфинга?
5.8 Продвинутые проекты
5.9 Будущие расширения
6. Общие проблемы
6.1 ipchains -L замирает!
6.2 Маскарадинг/форвардинг не работают!
6.3 -j REDIR не работает!
6.4 Уайлдкарты интерфейсов не работают!
6.5 TOS не работает!
6.6 ipautofw and ipportfw не работают!
6.7 xosview падает!!
6.8 Segmentation Fault при `-j REDIRECT'!
6.9 Я не могу установить таймауты маскарадинга!
6.10 Я хочу файерволлить IPX!
7. Серьезный пример.
7.1 Соглашения
7.2 Цели
7.3 Перед фильтрацией пакетов
7.4 Фильтрация проходящих пакетов
7.5 В заключение
8. Приложение. Различия между ipchains и ipfwadm.
8.1 Краткая таблица перекрестных ссылок.
8.2 Примеры транслируемых команд ipfwadm
9. Приложение. Использование скрипта ipfwadm-wrapper.
