[ Pobierz całość w formacie PDF ]
.255.255.016 oznacza maskę 255.255.08 oznacza maskę 255.0Powróćmy do tworzenia skryptu.Nazwijmy ten skrypt maskarada.Każdy skrypt musi zaczynać się od takiej linijki tekstu:#!/bin/shAby w ogóle działała maskarada musimy dopisać:echo 1 > /proc/sys/net/ipv4/ip_forwardKolejnym krokiem jest wykasowanie wszystkich regułek:/sbin/ipchains -FKolejna linijka skryptu oznacza aby nasz serwer nie używał maskarady gdy bezpośrednio odwołujemy się doadresów prywatnych, tzn.gdy ktoś z komputera z adresem prywatnym łączy się z komputerem w naszej sieci,który również ma adres prywatny./sbin/ipchains -A forward -j ACCEPT -s 10.0/8 -d 10.0/8Teraz zajmiemy się uruchomieniem maskarada dla wybranego komputera.Powtarzamy to dla każdegoużytkownika jeśli mamy takich, którzy płacą i nie płacą za Internet.Na przykład dla komputera z prywatnymadresem IP 10.1.1.1:/sbin/ipchains -A forward -j MASQ -s 10.1.1.1 -d 0.0/0Jeśli wszyscy płacą za Internet to prościej to zrobić w następujący sposób (tutaj dla klasy 256 IP od 10.1.1.0 do10.1.1.255):/sbin/ipchains -A forward -j MASQ -s 10.1.1.0/24 -d 0.0/0Teraz podam parę innych przykładów, które warto zastosować.Zacznijmy od zablokowania wysyłania poczty poprzez inne serwery niż nasz.Zapobiega to spamowaniu przezużytkownika sieci w taki sposób, aby nie został wykryty.Zasada jest prosta.Nie może wysyłać przez innyserwer poczty niż nasz.W takim razie musi korzystać z naszego, a gdy z niego skorzysta to zostanie na niminformacja kto wysyłał, skąd, kiedy, etc.Aby ta metoda była skuteczniejsza polecam zainteresowaniem sięstaticarp, czyli przypisaniem adresu MAC karty sieciowej do adresu IP.To znowu w celu zapobieżeniupodszywania się pod czyjeś IP (o tym jak to się robi napiszę w dalszej części).Wówczas to co w logach zostajeoznacza, ze nikt nie mógł się pod kogoś innego podszyć i wiemy, ze to z tego konkretnego komputera wysłanoniechcianą pocztę, czyli spam./sbin/ipchains -A forward -j REJECT -s 10.0/8 -d 0.0/0 25 -p TCPKolejny praktyczny przykład pokazuje jak stworzyć transparent proxy, czyli przekierowanie bezpośredniewywołanie strony www na proxy.Wówczas w przeglądarkach Internet Explorer czy Netscape Navigator nieSieci lokalne 26trzeba ustawiać proxy.Aby to działało w konfiguracji kernela musi być zaznaczona opcja IP: transparentproxy support , a dodatkowo w konfiguracji SQUIDa (zakładam iż z takiego serwera proxy skorzystasz) w pliku/etc/squid.conf trzeba dopisać:httpd_accel_host virtualhttpd_accel_port 80httpd_accel_with_proxy onhttpd_accel_uses_host_header onZakładam, że SQUID działa na porcie 8080.ipchains -A input -p tcp -s 10.0/8 -d 0/0 80 -j REDIRECT 8080Powróćmy na chwilę do zapobiegania spamowaniu przez użytkowników.Otóż powinniśmy teraz przypisaćadres MAC do konkretnego adresu IP.Otóż tworzymy plik /etc/ethers.Jego zawartość jest następująca:#MAC adres adres IP#MAC adres serwera 10.1.1.1MAC adres użytkownika nr 1 10.1.1.2MAC adres użytkownika nr 2 10.1.1.3.MAC adres użytkownika nr 253 10.1.1.254Proszę zwrócić uwagę na dwie rzeczy.Pierwsza to taka, iż adres serwera (przyjęty jako 10.1.1.1) jestzahaszowany.Po prostu przy wpisywaniu tego adresu do tablicy wystąpi błąd.Nic groznego.Druga uwaga iżtrzeba dla wszystkich 254 adresów IP zrobić przypisanie (adresy 10.1.1.0 oraz 10.1.1.255 to odpowiednio adressieci i broadcast do tych adresów nie można przypisać MAC adresów, jak również nie można ichwykorzystać).Jeśli dany adres IP nie jest używany w sieci to po prostu przypisujemy mu jakiś wymyślony(fikcyjny) adres MAC.Gdybyśmy tego nie zrobili to ktoś może ustawić sobie ten adres IP u siebie i wówczas niebędziemy mogli określić kto to zrobił.Teraz mając tak przygotowany plik staticarp uruchamiamy polecenie:arp fSpowoduje to już w Linuksie przypisanie adresu MAC z adresem IP.Obydwa skrypty: maskarada oraz arp f trzeba dopisać do skryptów startowych.W Debianie w najprostszy inajszybszy sposób to dopisać do pliku /etc/init.d/rmlogin wywołania obydwu skryptów.Sieci lokalne 27yródłaPozycje wydawnicze Vademecum Teleinformatyka IDG Poland S.A., Wydanie I, Warszawa 1999 r. przewodnik potelekomunikacji, sieciach komputerowych i zagadnieniach instalatorstwa sieciowego. Internet, od podstaw do mistrzostwa Komputerowa Oficyna Wydawnicza HELP, Wydanie II, Warszawa1996 r. pozycja pod względem zawartości już dosyć stara, przeznaczona dla początkujących.Nie mniejmożna znalezć w niej dosyć wiele informacji na temat działania Internetu i większości jego usług. Linux Sekrety instalacji i konfiguracji Tom I i II Wydawnictwo RM sp.z o.o., Wydanie I, Warszawa1999 r. książka zawierająca opis systemu Linux na przykładzie dystrybucji RedHat.Nie jest onawyczerpująca, lecz zawiera wiele interesujących informacji o samym systemie i jego konfiguracji,przydatna zwłaszcza dla początkujących linuksowców. Linux Agresja i Ochrona Wydawnictwo Robomatic, 2000 r
[ Pobierz całość w formacie PDF ]