NastΩpna strona Poprzednia strona Spis tre╢ci

4. Inne sprawy zwi▒zane z maskowaniem IP i obs│uga oprogramowania.

4.1 Problemy z maskowaniem IP.

Niektóre protoko│y nie bêd▒ obecnie dzia│a│y z maskowaniem, poniewa┐ albo zak│adaj▒ pewne fakty na temat numerów portów, albo koduj▒ dane na temat adresów i portów w swoich strumieniach - te drugie potrzebuj▒ specyficznych proxies wbudowanych w kod maskowania, aby dzia│a│y.

4.2 Wchodz▒ce serwisy.

Maskowanie nie potrafi w ogóle obs│ugiwaæ takich serwisów. Jest kilka sposobów, aby takowe dzia│a│y, ale s▒ one zupe│nie nie zwi▒zane z maskowaniem i s▒ czê╢ci▒ standardowego dzia│ania firewall-i.

Je╢li nie wymagasz wysokiego poziomu bezpieczeñstwa, to mo┐esz po prostu przekierowaæ porty. S▒ ró┐ne sposoby, aby to zrobiæ - ja u┐ywam zmodyfikowanego kodu programu redir (który mam nadziejê bêdzie dostêpny wkrótce z sunsite i jego kopii). Je╢li chcesz mieæ jaki╢ poziom autoryzacji po│▒czeñ wchodz▒cych, to mo┐esz u┐yæ albo TCP wrappers albo Xinetd "powy┐ej" redir w wersji 0.7 lub nowszej, aby wpuszczaæ tylko konkretne adresy IP, albo u┐yj jakich╢ innych narzêdzi. TIS Firewall Toolkit jest dobrym miejscem, w którym mo┐esz poszukaæ narzêdzi i informacji.

Wiêcej informacji znajdziesz na stronie z zasobami dla maskowania IP.

4.3 Obs│ugiwane oprogramowanie klienckie i uwagi o innych ustawieniach.

** Nastepuj▒c▒ list▒ nikt siê ju┐ nie zajmuje. Zajrzyj na tê stronê, aby dowiedzieæ siê które aplikacje dzia│aj▒ poprzez maskowanie na Linux-ie. Wiêcej informacji tak┐e na stronie z zasobami dla maskowania IP. **

Ogólnie aplikacja, która u┐ywa TCP/UDP powinna dzia│aæ. Je╢li masz jakie╢ sugestie, wskazówki lub pytania, na temat aplikacji z maskowaniem IP, odwied╝ tê stronê prowadzon▒ przez Lee Nevo.

Oprogramowanie, które dzia│a.

Ogólne:

HTTP

wszystkie obs│ugiwane platformy, surfowanie po sieci

POP & SMTP

wszystkie obs│ugiwane platformy, klienci e-mail

Telnet

wszystkie obs│ugiwane platformy, zdalne logowanie

FTP

wszystkie obs│ugiwane platformy, z modu│em ip_masq_ftp.o (nie wszystkie adresy dzia│aj▒ z pewnymi klientami; np. do niektórych nie mo┐na siê dostaæ przy pomocy ws_ftp32, ale dzia│a z Netscape)

Archie

wszystkie obs│ugiwane platformy, szukanie plików (nie wszytkie wersje oprogramowania s▒ obs│ugiwane)

NNTP (USENET)

wszystkie obs│ugiwane platformy, klient USENET NEWS

VRML

Windows (przypuszczalnie wszystkie obs│ugiwane platformy), surfowanie po wirtualnej rzeczywisto╢ci.

traceroute

g│ównie platformy na UNIX-ie, niektóre wersje mog▒ nie dzia│aæ

ping

wszystkie platformy, z │at▒ ICMP

wszystko oparte o IRC

wszystkie obs│ugiwane platformy, z modu│ami ip_masq_irc.o

klient Gopher

wszystkie obs│ugiwane platformy

klient WAIS

wszystkie obs│ugiwane platformy

Klienci Multimedialni:

Real Audio Player

Windows, network streaming audio z za│adowanym modu│em ip_masq_raudio

True Speech PLayer 1.1b

Windows, network streaming audio

Internet Wave Player

Windows, network streaming audio

Worlds Chat 0.9a

Windows, program Client-Server 3D do pogawêdek

Alpha Worlds

Windows, program Client-Server 3D do pogawêdek

Internet Phone 3.2

Windows, komunikacja audio Peer-to-peer, mo┐na siê z tob▒ porozumieæ tylko je╢li zainicjowa│e╢ po│▒czenie, ale nie mo┐na zadzwoniæ do ciebie

Powwow

Windows, komunikacja na bazie tablic (og│oszeniowych), mo┐na siê z tob▒ porozumieæ je╢li zainicjowa│e╢ po│▒czenie; nie mo┐na siê do ciebie dodzwoniæ

CU-SeeMe

, wszystkie obs│ugiwane platformy, z za│adowanymi modu│ami cuseeme; szczegó│y znajdziesz na stronie z zasobami dla maskowania IP.

VDOLive

Windows, z │at▒ vdolive

Uwaga: Niektóre programy, jak IPhone i Powwow mog▒ dzia│aæ nawet je╢li to nie ty zaincjowa│e╢ po│▒czenie poprzez u┐ycie pakietu ipautofw. Zobacz w rozdziale 4.6.

Inni klienci:

NCSA Telnet 2.3 08

DOS, pakiet zawieraj▒cy telnet, ftp, ping, itp.

PC-anywhere for Windows 2.0

MS-Windows, zdalna kontrola PC poprzez TCP/IP, dzia│a tylko je╢li jest klientem a nie hostem.

Socket Watch

u┐ywa ntp - protokó│ czasu w sieci

pakiet net-acct w Linux-ie

Linux, pakiet do zarz▒dzania i monitorowania sieci.

Oprogramowanie nie dzia│aj▒ce.

Intel Internet Phone Beta 2

ú▒czy siê, ale g│os wêdruje tylko w jedn▒ stronê (na zewn▒trz)

Intel Streaming media Viewer beta 1

Nie mo┐e po│▒czyæ siê z serwerem

Netscape CoolTalk

Nie mo┐e po│▒czyæ siê z drug▒ stron▒

talk, ntalk

nie bêd▒ dzia│aæ - wymagaj▒ napisania proxy dla j▒dra

WebPhone

W tej chwili nie mo┐e dzia│aæ (robi z│e za│o┐enia na temat adresów)

X

Nietestowane, ale s▒dze, ┐e nie mo┐e dzia│aæ o ile kto╢ stworzy proxy dla X, który jest prawdopodobnie osobnym programem dla kodu maskowania. Jednym ze sposobów, aby to dzia│a│o jest u┐ycie ssh jako po│▒czenia i u┐ycie wewnêtrznego proxy X.

Przetestowane platformy/systemy operacyjne jako INNE maszyny.

4.4 Administracja Firewall-em IP (ipfwadm)

Rozdzia│ ten pog│êbia wiedzê na temat stosowania polecenia ipfwadm.

Poni┐ej jest ustawienie dla system z maskowaniem/firewalling-iem, z │▒czem PPP i statycznymi adresami PPP. Zaufanym interfejsem jest 192.168.255.1, interfejs PPP zosta│ zmieniony, aby chroniæ winnych :). Ka┐dy wchodz▒cy i wychodz▒cy interfejs jest podany osobno, aby wychwyciæ spoofing IP jak i zatkany (stuffed) routing i/lub maskowanie. Wszystko co nie jest wyra╝nie dozwolone jest zabronione! 

#!/bin/sh
#
# /etc/rc.d/rc.firewall, define the firewall configuration, invoked from
# rc.local.
#

PATH=/sbin:/bin:/usr/sbin:/usr/bin

# testowanie, poczekaj trochê, potem wyczy╢æ wszystkie regu│ki.
# odkomentuj poni┐sze linie je╢li chcesz wy│▒czyæ firewall
# automatycznie po 10. minutach.
# (sleep 600; \
# ipfwadm -I -f; \
# ipfwadm -I -p accept; \
# ipfwadm -O -f; \
# ipfwadm -O -p accept; \
# ipfwadm -F -f; \
# ipfwadm -F -p accept; \
# ) &

# Wchodz▒ce, wyczy╢æ i ustaw domy╢ln▒ regu│kê na zabronione. W│a╢ciwie
# domy╢lna regu│ka jest nieodpowiednia, poniewa┐ zrobili╢my inn▒: nie
# wpuszczaj nikogo i loguj wszystko.
ipfwadm -I -f
ipfwadm -I -p deny
# interfejs i maszyny lokalne mog▒ siê dostaæ wszêdzie
ipfwadm -I -a accept -V 192.168.255.1 -S 192.168.0.0/16 -D 0.0.0.0/0
# interfejs odleg│y, twierdz▒cy, ┐e jest od nas, spoofing IP, nie
# wpuszczaj
ipfwadm -I -a deny -V twój.sta│y.adres.PPP -S 192.168.0.0/16 -D 0.0.0.0/0 -o
# interfejs odleg│y, jakiekolwiek ╝ród│o, je╢li celem jest sta│y adres
# PPP, to wpu╢æ
ipfwadm -I -a accept -V twój.sta│y.adres.PPP -S 0.0.0.0/0 -D twój.sta│y.adres.PPP/32
# interfejs loopback (lo) jest w porz▒dku
ipfwadm -I -a accept -V 127.0.0.1 -S 0.0.0.0/0 -D 0.0.0.0/0
# wychwyæ wszystko, ka┐dy inny ruch wchodz▒cy jest zabroniony i
# logowany, szkoda, ┐e nie ma opcji logowania, ale to robi to samo.
ipfwadm -I -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o

# Wychodz▒ce, wyczy╢æ i ustaw domy╢ln▒ regu│kê na zabronione. W│a╢ciwie
# domy╢lna regu│ka jest nieodpowiednia, poniewa┐ zrobili╢my inn▒: nie
# wpuszczaj nikogo i loguj wszystko.
ipfwadm -O -f
ipfwadm -O -p deny
# interfejs lokalny, wszystko z zewn▒trz do nas jest w porz▒dku
ipfwadm -O -a accept -V 192.168.255.1 -S 0.0.0.0/0 -D 192.168.0.0/16
# wychodz▒ce do lokalnej sieci na zdalnym interfejsie, stuffed
# routing, odrzuæ
ipfwadm -O -a deny -V twój.statyczny.adres.PPP -S 0.0.0.0/0 -D 192.168.0.0/16 -o
# wychodz▒ce z lokalnej sieci na zdalnym interfejsie, stuffed
# masquerading, odrzuæ
ipfwadm -O -a deny -V twój.statyczny.adres.PPP -S 192.168.0.0/16 -D 0.0.0.0/0 -o
# wychodz▒ce z lokalnej sieci na zdalnym interfejsie, stuffed
# masquerading, odrzuæ
ipfwadm -O -a deny -V twój.statyczny.adres.PPP -S 0.0.0.0/0 -D 192.168.0.0/16 -o
# wszystko inne wychodz▒ce na zdalnym interfejsie jest w porz▒dku
ipfwadm -O -a accept -V twój.statyczny.adres.PPP -S twój.statyczny.adres.PPP/32 -D 0.0.0.0/0
# interfejs lokalny (lo) jest w porz▒dku
ipfwadm -O -a accept -V 127.0.0.1 -S 0.0.0.0/0 -D 0.0.0.0/0
# wychwyæ wszystko, ka┐dy inny ruch wychodz▒cy jest zabroniony i
# logowany, szkoda, ┐e nie ma opcji logowania, ale to robi to samo.
ipfwadm -O -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o

# Przekazywanie, wyczy╢æ i ustaw domy╢ln▒ regu│kê na zabronione. W│a╢ciwie
# domy╢lna regu│ka jest nieodpowiednia, poniewa┐ zrobili╢my inn▒: nie
# wpuszczaj nikogo i loguj wszystko.
ipfwadm -F -f
ipfwadm -F -p deny
# maskuj z lokalnej sieci na lokalnym interfejsie dok▒dkolwiek
ipfwadm -F -a masquerade -W ppp0 -S 192.168.0.0/16 -D 0.0.0.0/0
# wychwyæ wszystko, ka┐dy inny ruch jest zabroniony i
# logowany, szkoda, ┐e nie ma opcji logowania, ale to robi to samo.
ipfwadm -F -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o

Mo┐esz blokowaæ ruch do poszczególnego adresu przy pomocy opcji -I, -O i -F. Pamiêtaj, ┐e regu│ki s▒ skanowane od góry w dó│ i -a oznacza "dodaj" do ju┐ istniej▒cych regu│ek, tak wiêc wszelkie szczegó│owe regu│ki musz▒ pojawiæ siê przed zasadami ogólnymi. Na przyk│ad (nietestowane):

U┐ycie opcji -I. Przypuszczalnie najszybsze rozwi▒zanie, ale zatrzymuje tylko lokalne maszyny, firewall jako taki, ma nadal dostêp do zabronionych adresów. Oczywi╢cie mo┐esz dopu╢ciæ tak▒ kombinacjê. 

... pocz▒tek regu│ek -I ...
# odrzuæ i loguj lokalny interfejs i lokalne maszyny próbuj▒ce dostaæ
# siê do 204.50.10.13
ipfwadm -I -a reject -V 192.168.255.1 -S 192.168.0.0/16 -D 204.50.10.13/32 -o
# lokalny interfejs i maszyny dok▒dkowiek jest w porz▒dku
ipfwadm -I -a accept -V 192.168.255.1 -S 192.168.0.0/16 -D 0.0.0.0/0
... koniec regu│ek -I ...

U┐ycie opcji -O. Najwolniejsze poniewa┐ pakiety najpierw przechodz▒ przez maskowanie, ale ta regu│ka zatrzymuje nawet firewall przed dostêpem do zabronionych adresów. 

... pocz▒tek regu│ek -O ...
# odrzuæ i zaloguj wychodz▒ce do 204.50.10.13
ipfwadm -O -a reject -V twój.statyczny.adres.PPP -S twój.statyczny.adres.PPP/32 -D 204.50.10.13/32 -o
# wszystko inne wychodz▒ce na odleg│ym interfejsie jest w porz▒dku.
ipfwadm -O -a accept -V twój.statyczny.adres.PPP -S twój.statyczny.adres.PPP/32 -D 0.0.0.0/0
... koniec regu│ek -O ...

U┐ycie opcji -F. Prawdopodobnie wolniejsze ni┐ -I i wci▒┐ zatrzymuje tylko maszyny zamaskowane (tj. wewnêtrzne), firewall ma nadal dostêp do zabronionych adresów. 

... pocz▒tek regu│ek -F ...
# odrzuæ i zaloguj  z lokalnej sieci na interfejsie PPP do
# 204.50.10.13
ipfwadm -F -a reject -W ppp0 -S 192.168.0.0/16 -D 204.50.10.13/32 -o
# maskuj z lokalnej sieci na lokalnym interfejsie dok▒dkolwiek
ipfwadm -F -a masquerade -W ppp0 -S 192.168.0.0/16 -D 0.0.0.0/0
... koniec regu│ek -F ...

Nie ma potrzeby na specjaln▒ regu│kê, aby pozwoliæ na ruch z 192.168.0.0/16 do 204.50.11.0; jest to zapewnione przez regu│ki ogólne.

Jest wiêcej ni┐ jeden sposób ujêcia interfejsów w powy┐szych regu│kach. Na przyk│ad zamiast -V 192.168.255.1 mo┐esz wpisaæ -W eth0; zamiast -V twój.statyczny.adres.PPP mo┐esz u┐yæ -W ppp0. Prywatny wybór i dokumentacja, to wiêcej ni┐ cokolwiek innego.

4.5 Maskowanie IP i dzwonienie na ┐▒danie.

  1. Je╢li chcia│by╢ tak ustawiæ swoj▒ sieæ, aby po│▒czyæ siê z Internetem automatycznie, to narzêdzie diald - dzwonienie na ┐▒danie - bêdzie swietnym pakietem.
  2. Aby ustawiæ diald, zajrzyj na stronê Ustawianie Diald dla linux-a.
  3. [Od t│umacza] Mo┐esz tez zajrzeæ do Diald mini HOWTO (dostêpne w j. polskim).
  4. Jak ju┐ ustawisz diald i maskowanie IP, mo┐esz podej╢æ do którejkolwiek z maszyn klienckich i zainicjowaæ po│▒czenie WWW, telnet lub FTP.
  5. Diald wychwyci nadchodz▒ce ┐▒danie, zadzwoni do prowajdera i ustawi po│▒czenie.
  6. Przy pierwszym po│▒czeniu pojawi siê przerwa. Jest to nieuniknione je╢li u┐ywasz analogowych modemów. Czas, który jest potrzebny do ustawienia po│▒czenia modemów i PPP, spowoduje, ┐e twój program kliencki stwierdzi roz│▒czenie. Mo┐na tego unikn▒æ je╢li u┐ywasz modemów ISDN. Wszystko co musisz zrobiæ, to przerwaæ bie┐▒cy proces na kliencie i ponowiæ go.

4.6 Pakiet do przekazywania IPautofw.

IPautofw jest programem do ogólnie pojêtego przekazywania pakietów TCP i UDP w Linux-ie. »eby u┐yæ pakietu, który wymaga transmisji UDP trzeba za│adowaæ specyficzny modu│ ip_masq - ip_masq_raudio, ip_masq_cuseeme, itd. Ipautofw odgrywa bardziej ogóln▒ rolê; bêdzie on przekazywa│ ka┐dy rodzaj ruchu w│▒cznie z tym, którego nie przepuszcz▒ modu│y specyficzne dla danej aplikacji. Je╢li zarz▒dza siê tym programem niepoprawnie mo┐na stworzyæ dziurê w bezpieczeñstwie.

NastΩpna strona Poprzednia strona Spis tre╢ci