Unix,Cisco,TCP/IP,Security

Rusty Russell, mailing list netfilter@lists.samba.orgv1.0.1 Mon May
1 18:09:31 CST 2000 перевод, Евгений Данильченко aka virii5, eugene@kriljon.ru

Этот документ описывает как можно использовать iptables для фильтрования пакетов
в 2.4 Linux ядрах.

• 1.Введение
• 2.Наш официальный Web-сайт. Наш лист рассылки.
• 3.Что такое — фильтр пакетов?
  • 3.1 Почему я должен использовать фильтр пакетов?
  • 3.2 Как я могу сделать фильтрование пакетов в Linux?
• 4.Кто ты такой и почему ты роешься в моем ядре?
• 5.Краткая инструкция по использованию фильтра пакетов от Rusty
• 6.Как пакеты проходят фильтры
• 7.Применение iptables
  • 7.1 Что вы видите когда ваш компьютер грузится
  • 7.2 Работа с одним правилом
  • 7.3 Спецификации фильтра
  • 7.4 Спецификации цели
  • 7.5 Работа со всей цепочкой правил
• 8.Применение ipchains и ipfwadm
• 9.Совместная работа NAT и фильтра пакетов
• 10.Различия между iptables и ipchains
• 11.Советы по организации правил для фильтра пакетов

1. Введение

Добро пожаловать, уважаемый читатель.

Предполагается что вы уже знакомы с такими понятиями как IP адрес, адрес сети,
маска, роутинг и DNS. Если нет, я рекомендую вам ознакомиться сперва с Network
Concepts HOWTO.

Это HOWTO начинается с легкого введения (которое оставит у вас чувство тепла
и неясности, и совсем незащищенным в реальной жизни) и заканчивается жестким разоблачением
(которое оставит всех, кроме крутых профи, запутанными, панически ищущими что-нибудь
потяжелее ;) )

Выша сеть не безопасна. Проблема в том чтобы разрешить быстрые, удобные
связи и в то же время, ограничить использование их только в хороших намерениях…
это приблизительно как разрешить обычный разговор и в то же время запретить кричать
«Пожар!» в переполненном театре. Так вот, — эта ваша проблема не ставится задачей
этого HOWTO.

Итак, только вы сами можете решить свои проблемы. Я только помогу вам в использовании
некоторых утилит и предупрежу о некоторых уязвимостях, в надежде что вы используете
это не с плохими намерениями.
2. Наш официальный Web-сайт. Наш лист рассылки.

Существуют три наших официальных сайта:

• Спасибо Filewatcher.
• Спасибо The Samba Team and SGI.
• Спасибо Jim Pick.

Официальный лист рассылки: Samba’s Listserver.
3. Что такое — фильтр пакетов?

Фильтр пакетов это программа которая просматривает заголовки пакетов
по мере их прохождения, и решает дальнейшую судьбу всего пакета. Фильтр может
сбросить DROP пакет (т.е. как будто пакет и не приходил вовсе), принять

ACCEPT пакет (т.е. пакет может пройти дальше), или сделать с ним что-то
еще более сложное.

Под Linux, фильтр пакетов встроен в ядро (как модуль, или как неотъемлемая
часть ядра), и мы можем делать с пакетами несколько хитроумных вещей, но основной
принцип в просмотре заголовков пакетов и решении их дальнейшей судьбы сохраняется.
3.1 Почему я должен использовать фильтр пакетов? Читать далее…

Для мониторинга geom raid в операционной системе FreeBSD, утсановим пакет net-snmp

# cd /usr/ports/net-mgmt/net-snmp
# make install

Для автоматического запуска snmpd /etc/rc.conf прописываем:
snmpd_enable=»YES»
snmpd_conffile=»/usr/local/etc/snmp/snmpd.conf»

Настраиваем минимальный конфиг:
passwd — это название community по которому можно получать информацию с сервера.
/usr/local/etc/snmp/snmpd.conf
syslocation «DC1″
syscontact admin@admin.com
sysservices = 79
rwuser passwd noauth
rocommunity passwd
rwcommunity passwd
trapsink localhost passwd
trap2sink localhost passwd
informsink localhost passwd
trapcommunity passwd
authtrapenable 2

Важный момент прописываем в конфиг execute

exec gmirror /usr/local/sbin/checkgmirror
Создаем скрипт проверяющий статус RAID:

/usr/local/sbin/checkgmirror

#!/bin/sh

mirrorstate=`/sbin/gmirror list | /usr/bin/grep ^State |\
/usr/bin/awk ‘{print $2}’`

if [ $mirrorstate != "COMPLETE" ]
then
echo «1″
else
echo «0″
fi

Добавляем строку в snmpd.conf

exec gmirror /usr/local/sbin/checkgmirror

Прописываем в конфиг сервера в nagios:

define service{
use srv-service
host_name namehost
service_description RAID STATE
check_command check_snmp_oid!.1.3.6.1.4.1.2021.8.1.101.1!passwd!1!0!STAT!2c
contact_groups admins
notification_options c,r
}

Теперь при сбое рэйда скрипт вернет 1 и нагиос отработает событие critical, о котором мы будем извещены.

guthleifr

Данная книга представляет собой официальный курс по управлению защитой сетей Cisco® (MCNS). Ее цель — обучение пользователей правильной установке, выбору конфигурации, эксплуатации, управлению и тестированию продуктов, предназначенных для защиты сетей Cisco, в частности средств защиты, предлагаемых программным обеспечением Cisco IOS. Здесь, в основном, освещаются вопросы, касающиеся обеспечения защиты сети на уровне IP. Обсуждение практической реализации средств защиты строится на примере реальных проблем безопасности, встающих перед некоей гипотетической компанией, создающей систему защиты своей сети «с нуля». Книга будет полезна как профессионалам в области защиты сетей, так и всем интересующимся этой темой.

Скачать:book.rar

Эта книга, написанная специалистами-практиками, посвящена изучению основ конфигурирования операционной
системы IOS, под управлением которой работают все устройства межсетевого взаимодействия компании Cisco Systems,
Inc. Материал подается на примере типовой сети вымышленной компании ZIP. Книга будет полезна специалистам,
работающим в области сетевых технологий, которые впервые решают задачу построения работоспособной сети,
использующей мосты, коммутаторы и маршрутизаторы компании Cisco.

Скачать: book.rar

Реализация в компьютерных сетях технологий QoS (Quality of Service) обеспечивает надежную доставку данных приложений посредством контроля за доступом к сети, задержкой, потерей, качеством передаваемых пакетов и пропускной способностью каналов передачи информации. Функции QoS являются неотъемлемой частью современных легкомасштабируемых сетей IР. Глубокое знание основных концепций и возможностей технологий QoS позволит сетевым планировщикам, разработчикам и инженерам максимально оптимизировать производительность сетей и обеспечить стабильное функционирование нового поколения мультимедийных и голосовых приложений. Эта книга является источником чрезвычайно полезной информации для всех, кто планирует развертывание служб QoS в сетях, построенных на базе оборудования компании Cisco Systems. Автор проводит исчерпывающий обзор возможностей и функций QoS в сетях IР, не забывая при этом о поучительных практических упражнениях и примерах конфигурации устройств. Основной акцент делается на обсуждении реальных задач, что не только познакомит читателя с различными теоретическими концепциями, но и научит его решать наиболее распространенные проблемы проектирования. Книга рассчитана на пользователей высокой квалификации и профессионалов.

Скачать: book.rar

В книге рассказывается об основных принципах работы LAN- и WAN-соедине-
ний, рассматриваются концепции и технологии маршрутизации различных сете-
вых протоколов, а также описываются принципы функционирования маршрутиза-
торов Cisco и сетевой операционной системы Cisco IOS. В изложении материала
используется последовательный и систематический подход, который включает
пошаговое описание наиболее часто применяемых команд, функций, систему под-
сказок и решений для самых распространенных проблем.
Издание может послужить незаменимым учебником для новичков, стремящихся
освоить сетевые технологии, а также справочным пособием для профессионалов,
которые хотят более подробно изучить принципы работы маршрутизаторов Cisco.
Скачать: Kak.rabotat.s.marshrutizatorami.Cisco.rar

Педжман Рошан, Джонатан Лиэри 802.11 Wireless Local-Area Network Fundamentals Pejman Roshan, Jonathan Leary

Книга посвящена беспроводным локальным сетям, соответствующим стандартам серии 802.11. Разрабатываемые согласно этому стандарту Wi-Fi-технологии сейчас бурно развиваются, поскольку востребованы рынком и дают ощутимые преимущества пользователям. Несмотря на относительно небольшой объем, в книге рассмотрены практически все вопросы, которые могут возникнуть у администратора сети при выборе компонентов, разработке и развертывании беспроводной ЛВС. Книгу можно использовать и в качестве учебника по основам работы беспроводных ЛВС, и как практическое руководство по их разработке и использованию.

Скачать: cisco802.11.zip

Двумя основными проблемами, стоящими сегодня перед глобальной сетью Интернет, является
ограниченность адресного пространства протокола IP и масштабирование маршрутизации.
Функции NAT (Network Address Translation), о которых пойдет речь в настоящей статье, появи-
лись в программном обеспечении Cisco IOS не случайно. Это было связано идеей предоставле-
ния организациям возможности использования внутри корпоративных и частных сетей адресно-
го пространства, отличного от того, которого от них требуют поставщики услуг Интернет. Так,
например, функции NAT позволяют организациям, использующим во внутренних корпоратив-
ных сетях маршрутизируемое частное адресное пространство (Private Subnets), получать доступ
к узлам и ресурсам Интернет, имеющим «настоящие» адреса IP. Другой сферой применения
NAT можно считать создание более гибкого решения по переадресации узлов для организаций,
либо меняющих поставщика услуг Интернет, либо переадресующих блоки CIDR (Classless Inter-
domain Routing). Полное описание функций NAT можно найти в документе RFC 1631.

Скачать: Cisco_IOS._Konfigurirovanie_NAT.rar

Данный документ представляет собой достаточно подробное описание основных
аспектов внедрения технологии MPLS в сетях операторов для предоставления услу-
ги Виртуальная частная сеть и производных услуг. В документе подробно рассмат-
риваются вопросы, связанные с обоснованием выбора технологии MPLS-VPN; при-
ведены примеры решения услуг по построению интранет- и экстранет-сетей, рас-
смотрены вопросы, связанные с предоставлением внешних услуг, Интернет и сете-
вого управления, аспекты, связанные с обеспечением качества обслуживания и
трафик-инжиниринга, приведены различные варианты организации системы дос-
тупа и вопросы организации маршрутизации. Документ ориентирован на инже-
нерно-технический персонал, использующий или планирующий применение дан-
ной технологии в своей сети, сетевых дизайнеров и консультантов, чья область ин-
тересов распространяется на технологию MPLS.

Скачать: book.pdf