Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
Андрей Шарыпов
В одной из статей в первом номере ╚Компьютер-Информ╩ за этот год было рассмотрено использование одной из составных частей Novell Border Manager (далее √ BM) ≈ Novell Internet Access Server ≈ для установки модемного соединения типа ╚клиент-провайдер╩. Итак, соединение установлено. Что дальше? А дальше начинается самое интересное. Во-первых, настройка маршрутизации. В простейшем и наиболее часто используемом случае провайдер предоставляет дозвонившемуся клиенту динамический IP-адрес и больше ничего знать не желает и не поддерживает маршрутизацию для сетей, которые могут быть расположены за этим адресом. Для такого случая на стороне клиента необходимо применение специальной технологии √ трансляции адресов (Network Address Translation √ NAT). NAT может быть настроена на два основных режима работы √ динамическую и статическую трансляцию. Настройка производится для каждого интерфейса (см. рис. 1).
Эти режимы могут быть использованы одновременно, но для одного IP-адреса может быть использован только один режим. В случае если необходимы оба режима, к внешнему интерфейсу должны быть привязаны два или более разных адреса. Это может быть сделано, в частности, с консоли сервера с помощью специальной команды Add Secondary IPAddress Более существенным недостатком является отсутствие возможности статической трансляции разных портов статического адреса внешнего интерфейса на разные адреса внутренней сети, что было бы полезно, например, для предоставления доступа к разным службам внутренней сети, расположенным на разных серверах. Например, предоставить через порт 25 внешнего интерфейса доступ к почтовому серверу, а через порт 80 √ к Web-серверу, запущенным на разных компьютерах. Динамическая трансляция позволяет использовать один официальный IP-адрес на внешнем интерфейсе сервера √ маршрутизатора с большим количеством рабочих станций, как если бы каждая из них имела свой собственный адрес. Как правило, при такой конфигурации рабочим станциям внутри сети клиента раздаются адреса из специально предназначенных для этого диапазонов адресов, не обрабатывающихся маршрутизаторами провайдеров (наиболее распространенный диапазон √ 256 сетей с 192.168.0.0 до 192.168.255.0). Пакет, отправленный с рабочей станции во внешний мир, доходит до сервера. Сервер определяет, что пакет должен быть отправлен дальше через внешний интерфейс. Если на этом интерфейсе включена трансляция адресов, адрес и порт отправителя в пакете заменяются на адрес внешнего интерфейса сервера и свободный порт. При этом в таблицу трансляции заносится соответствующая запись, позволяющая отправлять на рабочую станцию ответные пакеты на тот адрес и порт, с которого был отправлен инициировавший соединение пакет. Для рабочих станций внутри сети все выглядит совершенно прозрачно, а для внешнего интерфейса существуют два варианта обработки пакетов, приходящих из внешней сети на адрес внешнего интерфейса на те порты, для которых нет записей в таблице трансляции: Надо отметить, что динамическая трансляция в режиме NAT Implicit Filtering является достаточно надежной защитой сети от большинства атак из Интернет. К этому вопросу мы вернемся ниже. Продолжим описание настройки маршрутизации. Как отмечалось в предыдущей статье, поддерживаются основные типы маршрутизации √ RIP, OSPF, EGP. Рассмотрим только RIP, как самый удобный для небольших сетей. Поддерживаются как RIPI, так и RIPII. Очень удобно то, что настройка маршрутизации производится независимо для каждого интерфейса и возможны 4 режима работы: запрет обмена пакетами, только прием информации от провайдера, только отправка информации провайдеру и нормальный двусторонний обмен информацией. Необходимым условием для обмена RIP-пакетами является наличие ╚точки подключения╩ (WAN Call Destination), с которой установлено соединение в списке, относящимся к настраиваемому интерфейсу. Для установки соединения это условие не является обязательным. В общем случае, если настраивается именно соединение с провайдером, а не с филиалом фирмы, используется только статическая маршрутизация. Более того, при использовании NAT провайдер со своей стороны не прописывает ничего, а вы в таблицу статической маршрутизации для соответствующей WAN Call destination записываете только Default Rout (см. рис. 3). Итак, пользователи вашей сети получили доступ к Интернет. Но и пользователи Интернет получили доступ к вашей сети! Встает задача защиты сети от несанкционированного доступа. В связи с этим рассмотрим упомянутую в прошлой статье одну из функций Border Manager ≈ фильтрацию пакетов. Как следует уже из названия, эта функция предназначена для анализа приходящих на интерфейсы маршрутизатора пакетов, проверки их на соответствие заданным при настройке критериям и, в зависимости от результатов проверки, либо передаче в сторону получателя, либо уничтожения. Фильтрация может быть применена для всех протоколов, поддерживаемых BM. Кратко рассмотрим фильтрацию для IPX-протокола и более подробно ≈ для TCP/IP. Поскольку одним из главных способов защиты внутренних ресурсов сети является не предоставление сведений о них, то и фильтрация делится на 3 составляющих: - фильтрацию SAP-пакетов (отдельно входящих и исходящих), т. е. ограничение распространения информации о имеющихся в сети службах; Аналогичные параметры используются при настройке фильтрации для протокола TCP/IP, за тем исключением, что для этого протокола не существует подобия SAP-пакетов, но зато фильтрация информации о маршрутизации поддерживает также EGP и OSPF-протоколы. Итак, для TCP/IP существуют следующие группы фильтров: Каждая из групп может быть настроена на один из режимов работы: Для разных групп фильтров (RIP, EGP, OSPF, Forwarding), применяются различные критерии. Анкета || Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения Главная страница Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
1. такие пакеты отбрасываются;
2. такие пакеты считаются направленными службам, установленным на этом сервере и ждущим запросов на внешнем интерфейсе сервера.
Вариант обработки таких пакетов является единым для всего сервера без раздельной настройки для разных интерфейсов и задается в утилите INETCFG через пункт меню Protocols-
Состояние ENABLED соответствует отбрасыванию (фильтрации) пакетов, не опознанных через таблицу трансляции, DISABLED √ нормальной обработке таких пакетов.
- фильтрацию RIP-пакетов (отдельно входящих и исходящих), т. е. ограничение передаваемой и получаемой информации о структуре сети, (причем необходимо отметить, что отсутствует возможность фильтрации NLSP-пакетов);
- фильтрацию широковещательных пакетов NetBIOS и пересылки IPX-пакетов.
- исходящие RIP;
- входящие RIP;
- исходящие EGP;
- входящие EGP;
- OSPF External Routing Filters;
- фильтры пересылки пакетов.
- разрешена передача пакетов, соответствующих заданным критериям, кроме исключений, описанных особо;
- запрещена передача пакетов, соответствующих заданным критериям, кроме исключений, описанных особо.
При конфигурации RIP-фильтров необходимо задать следующую информацию (рис. 4):
- о чем содержит информацию пакет: о хосте (с указанием адреса), о сети (подсети с указанием маски) или адрес любого типа;
- куда передавать (или не передавать, в зависимости от режима работы) этот пакет (в конкретный интерфейс маршрутизатора, группе интерфейсов или в заданную сеть);
- комментарии, помогающие при отладке понять, зачем это было когда-то сделано.
КОМПЬЮТЕР-ИНФОРМ
Главная страница || Статьи ╧ 18 || Новости СПб || Новости России || Новости мира
О "КИ" || График выхода || Карта сайта || Подписка
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
e-mail:
Для пресс-релизов и новостей