Но построение сети, это не только IP адреса. Нам так именно понадобится и оборудование, благодаря которому мы сможем реализовать нашу сеть
Документация на кабельные трассы
В этой таблице указаны магистральные соединения и соединения между рабочими помещениями и магистралью.
Switch n- маркировка коммутаторов, которые устанавливаются в рабочих помещениях.
S n - маркировка коммутаторов, которые используются в магистральных соединениях
Индефикатор кабеля в таблице указывается I - J -T:
I - это номер этажа.
J - это номер кабинета.
T - это номер, который используется, в том случаи, когда из одного кабинета идет два или больше соединений.
В соединениях между серверами указывается:
I - это номер этажа.
J - это уникальный номер или сокращено имя серверу или оборудование.
Таблица 5.2
МАРКИРОВКА КАБЕЛЯ
Соединение | Идентификатор кабеля | Кросс соединения | Тип кабеля | Заключается |
Первый Этаж | ||||
Switch 11-S1 | 1-1-0 | Горизонтальный кросс соединения 1.1/порт 1 | UTP5e | используется |
Switch 12-S1 | 1-2-0 | Горизонтальный кросс соединения 1.2/порт 2 | UTP5e | используется |
Switch 13-S1 | 1-3-0 | Горизонтальный кросс соединения 1.3. 3/порт 3 | UTP5e | Используется |
Этаж 2 | ||||
Switch 21 – Switch 22 | 2-1-0 | Горизонтальный кросс соединения 2.1/порт 1 | UTP5e | используется |
Switch 22 –S2 | 2-1-1 | Горизонтальный кросс соединения 2.1/порт 1 | UTP5e | используется |
Switch 23 - Switch 24 | 2-2-3 | Горизонтальный кросс соединения 6/порт 6 | UTP5e | используется |
Системы защиты под управленнием ОС Linux
Установка и Настройка Firewall
Чтобы запустить Linux IP firewall, нужно построить ядро с поддержкой IP firewall и соответствующие конфигурационные утилиты. В ядрах к серии 2.2, нужно использовать утилиту ipfwadm. Ядра 2.2.x имеют третье поколение IP firewall для Linux, называемое IP Chains. IP chains использует программу ipchains. Ядра Linux 2.3.15 и старше поддерживают четвертое поколение Linux IP firewall: netfilter. Код пакета netfilter результат больших изменений потока обработки пакетов в Linux. netfilter обеспечивает обратную совместимость из ipfwadm и ipchains. Настраивается эта версия командой iptables. Настройка ядра для IP Firewall
Ядро Linux нужно настроить в поддержку IP firewall. Для этого нужно просто указать параметры при настройке ядра, например, командой make menuconfig. И выбрать следующих опций
Networking options -і->
[*] Network firewalls
[*] TCP/IP networking
[*] IP: firewalling
[*] IP: firewall packet logging
В ядрах серий 2.4.0 и старше нужно выбрать намного больше опций:
Networking options -і->
[*] Network packet filtering (replaces ipchains)
IP: Netfilter Configuration -і->
<M> Userspace queueing via NETLINK (EXPERIMENTAL)
<M> IP tables support (required for filtering/masq/NAT)
<M> limit match support
<M> MAC address match support
<M> netfilter MARK match support
<M> Multiple port match support
<M> TOS match support
<M> Connection state match support
<M> Unclean match support (EXPERIMENTAL)
<M> Owner match support (EXPERIMENTAL)
<M> Packet filtering
<M> REJECT target support
<M> MIRROR target support (EXPERIMENTAL)
<M> Packet mangling
<M> TOS target support
<M> MARK target support
<M> LOG target support
<M> ipchains (2.2-style) support
<M> ipfwadm (2.0-style) support
Утилита ipfwadm (IP Firewall Administration) нужна для управления правилами в ядрах к версии 2.2.0. Ее синтаксис очень сложен, но я приведу немного наиболее простых примеров.
Утилита ipfwadm есть во всех современных дистрибутивах Linux, алі, возможно, не относиться за умалчиванием. Может быть специальный сетевой пакет, которому нужно поставить отдельно. Найти исходный код можно на ftp.xos.nl в каталоге /pub/linux/ipfwadm.
Утилита ipchains
Аналогично ipfwadm, утилита ipchains может немного озадачивать, пока к ней не привыкнешь. Она обеспечивает всю гибкость ipfwadm с упрощенным синтаксисом и дополнительно обеспечивает механизм наборов или цепочек (“chaining”), что позволяет Вам управлять многими правилами и связывать их друг с другом. Формирование цепочки правил в отдельном разделе немного позже.
Команда ipchains появилась в дистрибутивах Linux на ядрах серии 2.2. Исходники можно взять на http://www.rustcorp.com/linux/ipchains. В этот пакет исходников входить скрипт ipfwadm-wrapper, что имитирует роботу ipfwadm, используя возможности ipchains. Это существенно упрощает к новой версии firewall.
Утилита iptables
Синтаксис iptables очень похож на синтаксис ipchains. Разница в поддержке модулей расширения и ряду нововведений в фильтрации пакетов. Понятно, я приведу пример и для iptables, так что Вы сможете уравнять эти две утилиты.
Утилита iptables входить в пакет netfilter, исходники которого можно скатить из http://www.samba.org/netfilter. Она также входить в дистрибутивы Linux на ядре 2.4. Правда, поскольку это ядро еще находится в стадии тестирования, я пока не встречал дистрибутивов на нем.
Способы фильтрации
Рассмотрим, как обрабатываются пакеты IP любой машиной, которая может заниматься их маршрутизацией:
(1) IP-пакет откуда-то пришел.
Входной пакет будет исследован, чтобы определить ли назначен он для процесса на этой машине.
(2) Если он для этой машины, то обработанный в местном масштабе.
(3) Если пакет не предназначен для этой машины, будет выполнен поиск по таблицы маршрутизации для соответствующего маршрута, и пакет будет посланий к соответствующему интерфейсу или пропущенный, если маршрут не может быть найден.
(4) Пакеты из локальных процессов будут посланы программному обеспечению маршрутизации для пересылки к соответствующему интерфейсу.
Исходный IP-пакет будет исследован, чтобы определить, есть или имеет силу маршрут для него, если нет, он будет пропущен.
(5) IP-пакет куда-то отправится.
В этой схеме потек 1-3-5 представляет нашу машину, направляющую данные между компьютером в нашей сети Ethernet на другой доступный компьютер через какую-то связь. Потоки 1-2 и 4-5 представляют введение данных и исходные потоки сетевой программы, которая работает на нашем локальном компьютере. Потек 4-3-2 представляет передачу данных по кольцевом внутреннем интерфейсе (loopback connection).
IP firewall ядра Linux способен к применению фильтрации на разных стадиях в этом процессе. То есть, Вы можете фильтровать IP-пакеты, которые приходят Вашей машине, те, которые ходят внутри ее и те, которые предназначены для отправления во внешний мир.
В ipfwadm и ipchains правило Input применяется к потоку 1, правило Forwarding к потоку 3 и правило Output к потоку 5. В netfilter, точки перехвата изменились так, чтобы правило Input применилось в потоке 2 и правило Output в потоке 4. Это имеет важное значение для того, как Вы структурируете свой набор правил.
Использование ipfwadm
Команда ipfwadm являет собой инструмент конфигурации для другого поколения Linux IP firewall. Возможно, самый простой способ описывать использование команды ipfwadm, это примеры.
Допустимо, что у нас есть сеть небольшой организации, которая использует Linux-машину из firewall для связи из Internet. Мы позволяем пользователям этой сети обращаться к web-серверам в Internet, но не позволяем какой-либо другой трафик.
Мы должны определить правила пересылка наружу пакетов с исходным адресом в нашей сети и портом назначения 80, а также пакетов с ответами.
Допустимо, что наша сеть имеет 24-бітну сетевую маску (класс C) и ее сетевая адреса 172.16.1.0. Правила будут такими:
# ipfwadm -F -f
# ipfwadm -F -p deny
# ipfwadm -F -я accept -P tcp -S 172.16.1.0/24 -D 0/0 80
# ipfwadm -F -я accept -P tcp -S 0/0 80 -D 172.16.1.0/24
Параметр -F инструктирует ipfwadm, что мы определяем правило пересылки пакетов (forwarding). Первая команда предлагает ipfwadm очистить все правила. Гарантируют, что мы работаем с известным состоянием, и после добавления правил не окажется, что остались еще какие-то неизвестны нам правила.
Второе правило устанавливает нашу заданную за умалчиванием стратегию пересылки. Мы сообщаем, что ядро должно отбрасывать пересылку всех IP-пакетов, кроме тихнув, какие мы позже развязный. Это очень важен момент, потому что здесь определяется частица всех пакетов, которые не подходят какому-либо правилу.
Третья команда позволяет нашим пакетам выходить из системы, а четвертое правило позволяет приходить ответам.
Параметры:
-F - определяет правило пересылки (Forwarding).
-а accept - добавляет правило со стратегией "accept", что позволяет принимать все пакеты, которые отвечают этому правилу.
-P tcp - правило применимое к TCP-пакетам (не трогает пакеты UDP или ICMP).
-S 172.16.1.0/24 - исходный адрес должен иметь маску подсети в 24 битая и адрес сети 172.16.1.0.
-D 0/0 80 - адрес назначения должен иметь нулевые биты (0.0.0.0). Это отвечает любому адресу. Число 80 определяет порт назначения, в этом случае WWW. Вы можете также использовать любую запись из файла /etc/services для определения порта н апример, -D 0/0 www.
Таблица 5.1
Распространены значения бит сетевой маски | |
Сетевая маска | Биты |
255.0. 0.0 | 8 |
255. 255.0. 0 | 16 |
255. 255. 255.0 | 24 |
255. 255. 255.128 | 25 |
255. 255. 255.192 | 26 |
255. 255. 255.224 | 27 |
255. 255. 255.240 | 28 |
255. 255. 255.248 | 29 |
255. 255. 255.252 | 30 |
Обзор параметров ipfwadm
Команда ipfwadm имеет много параметров. В общем виде синтаксис таков:
ipfwadm category command parameters [options]
Категории (Categories)
Категории задают тип правил, которые настраивают, потому категория в команде допустима только одна:
-I - Правило введение (Input)
-O - Правило выводу (Output)
-F - Правила пересылка (Forwarding)
Команды
Применяются только к правилам в заданной категории. Команда сообщает Firewall, какое действие стоит выполнить.
-а [policy]
Прибавить правило
Вставить правило
-d [policy]
Удалить правило
-p policy
Установить заданную за умалчиванием стратегию
-l Показать все существующие правила
-f Стереть все существующие правила
Стратегии являют собой следующее:
accept
Пропускать все пакеты для приема, передачи или транзитные (forward)