home *** CD-ROM | disk | FTP | other *** search
/ Underground / Underground CD1.iso / other / how-to.pl / Firewall-HOWTO.pl.txt < prev    next >
Encoding:
Text File  |  1997-11-25  |  54.5 KB  |  1,783 lines
  1.   v.0.1 8 lipiec 1997 Firewalle i proxy serwery
  2.   Mark Grennan, markg@netplus.net t│umacz: Ziemek Borowski
  3.   <ziembor@ziembor.waw.pl>
  4.   v0.4, 8 listopad 1996
  5.  
  6.   Dokument ten powsta│ w celu uczenia podstaw system≤w firewalli oraz
  7.   dostarczenia  niekt≤rych szczeg≤│≤w w zakresie ustawania (konfigurowa¡
  8.   nia) filtruj▒cych i posredniczacych firwalli na Linuxie. Oryginalna
  9.   wersja tego dokumentu znajduje siΩ pod adresem: <http://okcfo¡
  10.   rum.org/~markg/Firewall-HOWTO.html> za╢ polskie t│umaczenie:
  11.   <http://www.ziembor.waw.pl/~ziembor/JTZ/Firewall-HOWTO.pl.html>
  12.   ______________________________________________________________________
  13.  
  14.   Table of Contents
  15.  
  16.  
  17.  
  18.  
  19.  
  20.  
  21.  
  22.  
  23.  
  24.  
  25.  
  26.  
  27.  
  28.  
  29.  
  30.  
  31.  
  32.  
  33.  
  34.  
  35.  
  36.  
  37.  
  38.  
  39.  
  40.  
  41.  
  42.  
  43.  
  44.  
  45.  
  46.  
  47.  
  48.  
  49.  
  50.  
  51.  
  52.  
  53.  
  54.  
  55.  
  56.  
  57.  
  58.  
  59.  
  60.  
  61.  
  62.  
  63.  
  64.  
  65.  
  66.  
  67.   1. Wprowadzenie
  68.  
  69.      1.1 Informacja zwrotna, uwagi.
  70.      1.2 Deklaracje
  71.      1.3 Copyright
  72.      1.4 Moje pobudki do tej pracy.
  73.      1.5 TODO (do zrobienia)
  74.      1.6 Zobacz tak┐e:
  75.  
  76.   2. Understanding Firewalls
  77.  
  78.      2.1 Wady firewalli
  79.      2.2 Typy firewalli
  80.         2.2.1 Filtuj▒ce firwalle
  81.         2.2.2 Serwery proxy
  82.  
  83.   3. Ustawianie firewalla
  84.  
  85.      3.1 Wymagania sprzΩtowe.
  86.  
  87.   4. Oprogramowanie dla firewalli
  88.  
  89.      4.1 DostΩpne pakiety
  90.      4.2 TIS Firewall Toolkit kontra SOCKS
  91.  
  92.   5. Przygotowanie Linuxa
  93.  
  94.      5.1 Kompilacja j▒dra.
  95.      5.2 Ustawienie dw≤ch kart sieciowych
  96.      5.3 Ustawienie adres≤w sieciowych
  97.      5.4 Testowanie twojej sieci
  98.      5.5 Zabezpieczanie firewalla.
  99.  
  100.   6. Konfigurowanie filtrowania IP (IPFWADM)
  101.  
  102.   7. Instalowania serwera proxy - TIS
  103.  
  104.      7.1 Pobranie oprogramowania
  105.      7.2 Kompilacja  TIS FWTK
  106.      7.3 Instalacja TIS FWTK
  107.      7.4 Konfiguracja firewalla TIS FWTK
  108.         7.4.1 Plik netperm-table
  109.         7.4.2 Plik inetd.conf
  110.         7.4.3 Plik /etc/services
  111.  
  112.   8. Serwer proxy SOCKS
  113.  
  114.      8.1 Konfigurowanie serwera Proxy
  115.      8.2 Konfiguracja serwera proxy
  116.         8.2.1 Plik dostΩpu. Access File
  117.         8.2.2 Tablica trasowania
  118.         8.2.3 DNS zza firewalla Ustawienie us│ugi DNS zza firewalla jest  prostym zadaniem. Potrzeba jedynie ustawienia DNS na maszynie z firewallem. I inne maszyny za firewallem bΩd▒ go u┐ywa│y.
  119.      8.3 Wsp≤│praca z serwerami proxy
  120.         8.3.1 Unix
  121.         8.3.2 MS Windows i Trumpet Winsock
  122.         8.3.3 Ustawienie serwera po╢rednicz▒cego do pracy z pakietami UDP.
  123.      8.4 Wady serwer≤w proxych
  124.  
  125.   9. Konfiguracja zaawansowana.
  126.  
  127.      9.1 Wielkie sieci wymagaj▒ po│o┐enia nacisku na bezpiecze±stwo
  128.         9.1.1 Konfiguracja sieci
  129.         9.1.2 Serwer proxy
  130.  
  131.   10. Od t│umacza.
  132.  
  133.   ______________________________________________________________________
  134.  
  135.   1.  Wprowadzenie
  136.  
  137.   Dokument ten Firewall-HOWTO zosta│ napisany przez Davida Ruddera
  138.   <mailto:drig@execpc.com>.  Chcia│bym Mu podziΩkowaµ za zezwolenie na
  139.   uaktualnienie jego pracy.
  140.  
  141.   Firewalle zyska│y ostatnio wielk▒ s│awΩ jako defintywne rozwi▒zanie w
  142.   dziedzinie bezpiecze±stwa Internetu. WiΩkszo╢µ tej s│awy jest
  143.   zas│u┐ona, jednak czΩ╢µ wynika z nieporozumienia. To JTZ ma na celu
  144.   przegl▒d: czym s▒ firewalle, jak je konfigurowaµ, czym s▒ serwery
  145.   proxy i jak je konfigurowaµ oraz aplikacje (zastosowania) tej
  146.   technologii poza zakresem bezpiecze±stwa.
  147.  
  148.  
  149.   1.1.  Informacja zwrotna, uwagi.
  150.  
  151.   Wszelkie uwagi bΩd▒ mile widziane.
  152.    ProszΩ: DONOªCIE O WSZELKICH NIEªCISúOªCIACH W TYM DOKUMENCIE .
  153.   Jestem cz│owiekiem, i jestem omylny. Je╢li znajdziesz jakie╢ popraw je
  154.   (w moim najwy┐szym interesie). BΩdΩ pr≤bowa│ odpowiedzieµ na wszystkie
  155.   listy, ale jestem zajΩtym cz│owiekiem, tak wiΩc nie obra┐aj siΩ proszΩ
  156.   je╢li nie odpowiem.
  157.  
  158.   M≤j adres:     <markg@netplus.net>
  159.  
  160.  
  161.   1.2.  Deklaracje
  162.  
  163.    NIE ODPOWIADAM ZA JAKIEKOLWIEK ZNISZCZENIA WYNIKAJíCE ZE STOSOWANIA
  164.   TEGO DOKUMENTU  Dokument ten jest pomy╢lany jako wprowadzenie do
  165.   technologii firewalli i serwer≤w proxy.  Nie jestem, i nie zamierzam
  166.   sobie ro╢ciµ pretensji do bycia ekspertem w sprawach bezpiecze±stwa.
  167.   Jestem po prostu cz│owiekiem kt≤ry przeczyta│ co nieco, i pasjonuje
  168.   siΩ komputerami bardziej ni┐ inni.  ProszΩ, pisz▒c ten tekst chcΩ
  169.   pom≤c ludziom zaznajomiµ siΩ z tym tematem, i nie jestem got≤w dawaµ
  170.   g│owy za dok│adno╢µ podawanych przeze mnie danych.
  171.  
  172.  
  173.   1.3.  Copyright
  174.  
  175.   Je╢li nie jest powiedziane inaczej, prawa autorskie dokumenty z serii
  176.   Linux Jak To Zrobiµ nale┐▒ do ka┐dego z autor≤w. Mog▒ byµ powielane i
  177.   rozpowszechniane w w ca│o╢ci w czΩ╢ciach, w formie ,,papierowej'' i
  178.   elektronicznej dop≤ki wszΩdzie (w ka┐dej z czΩ╢ci) zachowana jest
  179.   informacja o prawach i autorstwie. Komercyjna redystrybucja jest
  180.   dozwolona i wskazana; jednak┐e, autor powinien byµ poinformowany o tym
  181.   fakcie.
  182.  
  183.   Wszystkie t│umaczenia, poprawki jΩzykowe, i prace w│▒czaj▒ce musz▒
  184.   zawieraµ niniejsz▒ notΩ o prawach autorskich.
  185.  
  186.   Je╢li masz jakie╢ zapytania, proszΩ o kontakt: Mark Grennan
  187.   <mailto:markg@netplus.net>.
  188.  
  189.  
  190.   1.4.  Moje pobudki do tej pracy.
  191.  
  192.   Pomimo wielu dyskusji w grupach comp.os.linux.* (w ci▒gu ostatniego
  193.   roku) na temat firewalli wydaje mi siΩ trudnym znalezienie informacji
  194.   kt≤rych potrzebowa│em do ustawienia i skonfigurowania firewalla.
  195.   Oryginalna wersja tego HOWto by│a pomocna, ale nieaktualna. Mam
  196.   nadziejΩ, ┐e ta poprawiona wersja ,,Firewall HOWto'' autorstwa Davida
  197.   Ruddera dostarczy wszystkim informacji jakiej potrzebuj▒ do stworzenia
  198.   dzia│aj▒cych ,,╢cian ognia'' w ci▒gu godzin, nie tygodni.
  199.   Poza tym uwa┐am ┐e powinienem zwr≤ciµ m≤j d│ug spo│eczno╢ci Linuxowej.
  200.  
  201.  
  202.   1.5.  TODO (do zrobienia)
  203.  
  204.  
  205.   ╖  Instrukcje na temat ustawie± klient≤w
  206.  
  207.   ╖  Znalezienie dobrych serwer≤w proxych dla us│ug bazuj▒cych na UDP
  208.      dzia│aj▒cych na Linuxie.
  209.  
  210.  
  211.   1.6.  Zobacz tak┐e:
  212.  
  213.  
  214.   ╖  NET-2 HOWTO <http://www.ippt.gov.pl/~ppogorze/Linux/JTZ/zrobione/>
  215.  
  216.   ╖  The Ethernet HOWTO
  217.  
  218.   ╖  The Multiple Ethernet Mini HOWTO
  219.  
  220.   ╖  Networking with Linux
  221.  
  222.   ╖  The PPP HOWTO
  223.  
  224.   ╖  TCP/IP Network Administrator's Guide by O'Reilly and Associates
  225.  
  226.   ╖  The Documentation for the TIS Firewall Toolkit
  227.  
  228.   WΩze│ pajΩczyny nale┐▒cy do Trusted  Information System's (TIS)
  229.   posiada wspania│a kolekcjΩ dokumentacji dotycz▒cej firewalli i
  230.   pokrewnych temat≤w.
  231.  
  232.   Poza  tym pracujΩ na projektem dotycz▒cym bezpiecze±stwa: ,,Bezpieczny
  233.   Linux''.  W  miejscu  tym  zgromadzi│em wszystkie informacje,
  234.   dokumentacje i programy potrzebne do stworzenia bezpiecznego Linuxa.
  235.   Napisz do mnie je╢li chcesz otrzymaµ wiΩcej informacji.
  236.  
  237.  
  238.   2.  Understanding Firewalls
  239.  
  240.   Firewall - ,,╢ciana ogniowa'' jest terminem wziΩtym z konstrukcji
  241.   samochodu.  W  samochodach  firewalle  fizycznynie oddzielaj▒ silnik
  242.   od pasa┐er≤w. To znaczy, ┐e chroni▒ one pasa┐er≤w w wypadku gdy silnik
  243.   zapali siΩ ca│y czas dostarczaj▒c kontroli nad nim.
  244.  
  245.   Komputerowe firewalle s▒ urz▒dzeniami, kt≤re chroni▒ sieci prywatne od
  246.   czΩ╢ci publicznej (jakiej jak Internet).
  247.  
  248.   Komputer bΩd▒cy ,,╢cian▒ ognia'' od tej chwili nazywany ,,firewallem''
  249.   mo┐e (musi) byµ obecny tak w sieci chronionej jak i w Internecie.
  250.   Chroniona sieµ nie mo┐e byµ osi▒galna z Internetu, podobnie jak
  251.   Internet nie mo┐e byµ osi▒galny z chronionej sieci.
  252.  
  253.   Dla niekt≤rych dosiΩgniΩcie Internetu z izolowanej sieci jest mo┐liwe
  254.   jedynie poprzez zalogowanie siΩ na firewallu (telnetem) i penetracja
  255.   Sieci stamt▒d.
  256.  
  257.   Najprostsz▒   form▒  firewalla  jest  podw≤jnie zadomowiony system
  258.   (tj. system z podw≤jnym po│▒czeniem sieciowym).  Je╢li mo┐esz ZAUFA╞
  259.   WSZYSTKIM swoim u┐ytkownikom, mo┐esz prosto skonfigurowaµ Linuxa
  260.   (wy│▒czaj▒c przy kompilacji j▒dra forwarding / gatewaying) Mog▒ oni
  261.   logowaµ siΩ na tym systemie i u┐ywaµ aplikacji sieciowych takich jak
  262.   telnet, FTP, czytaµ pocztΩ i innych jakich dostarczasz.
  263.  
  264.  
  265.   Z takim ustawieniem, tylko jeden komputer z twojej sieci widzi resztΩ
  266.   ╢wiata poza firewallem. Pozosta│e systemy w twojej chronionej sieci
  267.   nie potrzebuj▒ nawet ustawienia domy╢lnego routingu.
  268.  
  269.  
  270.   Aby powy┐szy firewall dzia│a│ MUSISZ UFA╞ WSZYSTKIM SWOIM U»YTKOWNIKOM
  271.   Nie jest to zalecane rozwi▒zanie.
  272.  
  273.  
  274.   2.1.  Wady firewalli
  275.  
  276.   Problemem filtruj▒cych firewalli jest to, ┐e ograniczaj▒ dostΩp do
  277.   twojej sieci z Internetu. Tylko us│ugi na filtrowanie kt≤rych
  278.   zezwoli│e╢ s▒ dostΩpne. Na serwerach proxych u┐ytkownicy mog▒
  279.   autoryzowaµ siΩ na firewallu i dopiero wtedy maj▒ (z systemu wewn▒trz
  280.   sieci prywatnej) dostΩp do Internetu.
  281.  
  282.   Poza tym, nowe typy klient≤w sieciowych i serwer≤w przybywaj▒ prawie
  283.   codziennie.  Musisz  wtedy wynale╝µ nowy spos≤b zezwolenia na
  284.   kontrolowany ich dostΩp do twojej sieci, zanim bΩd▒ u┐yte.
  285.  
  286.  
  287.   2.2.  Typy firewalli
  288.  
  289.   Istniej▒ dwa typy firewalli:
  290.  
  291.  
  292.   1. firewalle filtruj▒ce IP - blokuj▒ ca│y ruch, ale przepuszczaj▒
  293.      dopuszczony.
  294.  
  295.   2. serwery proxy   - serwery po│▒czeniowe - wykonuj▒ po│▒czenie
  296.      sieciowe za ciebie.
  297.  
  298.  
  299.   2.2.1.  Filtuj▒ce firwalle
  300.  
  301.   Firewalle  filtruj▒ce  dzia│aj▒  na  poziomie  pakiet≤w IP. S▒
  302.   zaprojektowane do kontroli przep│ywu bazuj▒c na adresie ╝r≤d│owym,
  303.   docelowym, porcie i typie pakietu (zawartych w ka┐dym z pakiet≤w).
  304.  
  305.   Ten typ firewalli jest bardzo bezpieczny, ale traci wiele typ≤w
  306.   zapisu. Mo┐e zablokowaµ ludziom z dostΩp z sieci prywatnej, ale nie
  307.   powie, kto dosta│ siΩ do twojego systemu publicznego, ani kto wyszed│
  308.   z sieci lokalnej do Internetu.
  309.  
  310.   Filtruj▒ce firewalle s▒ bezwzglΩdnymi filtrami. Nawet je╢li chcesz daµ
  311.   komu╢ z zewn▒trz dostΩp do twoich serwer≤w ,,prywatnych'' nie jeste╢ w
  312.   stanie bez dania tego dostΩpu wszystkim (t│um. jak rozumiem spod tego
  313.   adresu)
  314.  
  315.   Linux posiada opcjΩ filtrowania pakiet≤w w j▒drach powy┐ej 1.3.x.
  316.  
  317.  
  318.   2.2.2.  Serwery proxy
  319.  
  320.   Serwery proxy pozwalaj▒ na niebezpo╢redni dostΩp do Internetu, przez
  321.   firewall.  Najlepszym  przyk│adem  jak  to pracuje jest osoba
  322.   telnetuj▒ca siΩ do systemu i stamt▒d wykonuj▒ca nastΩpne po│▒czenie.
  323.   Tylko  ┐e  w  wypadku  serwer≤w  proxy  proces ten nastΩpuje
  324.   automatycznie.  Gdy  │▒czysz  siΩ  z  proxy serwerem za pomoc▒
  325.   oprogramowania klienckiego startuje on swojego klienta i dostarcza ci
  326.   danych kt≤rych zarz▒dza│e╢.
  327.  
  328.   Poniewa┐ serwery proxy podwajaj▒ ka┐de po│▒czenie, mo┐liwe jest
  329.   zapisywanie ka┐dego z nich.
  330.  
  331.   Wspania│▒ rzecz▒ w serwerach proxy jest to, ┐e s▒ w pe│ni bezpieczne,
  332.   gdy s▒ prawid│owo ustawione. Nie pozwalaj▒ nikomu przej╢µ. Nie
  333.   dokonuj▒ bezpo╢redniego routingu.
  334.  
  335.  
  336.   3.  Ustawianie firewalla
  337.  
  338.   3.1.  Wymagania sprzΩtowe.
  339.  
  340.   Naszym przyk│adem nich bΩdzie komputer i486-DX66 z 16 Mb RAMu oraz
  341.   500Mb partycj▒ Linuxow▒. System ten posiada dwie karty sieciowe, jedn▒
  342.   po│▒czon▒ z nasz▒ sieci▒ prywatn▒, a drug▒ do sieci lokalnej nazywanej
  343.   stref▒  zdemilitaryzowan▒ (DMZ). DMZ posiada router po│▒czony do
  344.   Internetu.
  345.  
  346.   Jest to ca│kiem przyjemny standard dla biznesu. Powiniene╢ u┐yµ jednej
  347.   karty sieciowej oraz modemu z PPP do intenetu.
  348.  
  349.   Firewall powinien posiadaµ dwa adresy IP.
  350.  
  351.   Znam wielu ludzi posiadaj▒cych ma│e LANy w domu z dwoma lub trzema
  352.   komputerami. Mo┐esz rozpatrzyµ nastΩpuj▒cy model: w│o┐yµ wszystkie
  353.   modemy do komputera z Linuxem (np. star▒ i386) i po│▒czyµ wszystkie do
  354.   Internetu │▒czem komutowanym. Z takim ustawieniem, gdy tylko jedna
  355.   osoba ci▒gnie dane mo┐e u┐yµ wszystkich modem≤w (a wiΩc i dzia│aµ 2-3
  356.   krotnie szybciej ; -).
  357.  
  358.  
  359.  
  360.   4.  Oprogramowanie dla firewalli
  361.  
  362.   4.1.  DostΩpne pakiety
  363.  
  364.   Je╢li  wszystkim  czego  potrzebujesz  jest filtruj▒cy firewall
  365.   potrzebujesz jedynie Linuxa i podstawowych pakiet≤w sieciowych.
  366.   Jednym z pakiet≤w kt≤ry mo┐e nie zawieraµ siΩ w twojej dystrybucji
  367.   jest IP Firewall Administration tool (przyp. t│um. w RedHacie 4.0 i
  368.   Debianie 1.2.* jest) (IPFWADM) z
  369.  
  370.  
  371.   Je╢li chcesz postawiµ serwer proxy potrzebujesz jednego z ni┐ej
  372.   wymienionych pakiet≤w:
  373.  
  374.   1. SOCKS
  375.  
  376.   2. TIS Firewall Toolkit (FWTK)
  377.  
  378.  
  379.   4.2.  TIS Firewall Toolkit kontra SOCKS
  380.  
  381.   Trusted Information System ( <http://www.tis.com>) jest fragmentem
  382.   kolekcji program≤w zaprojektowanych dla firewalli.  Program ten
  383.   udostΩpnia podobne rzeczy jak SOCK, ale jest zbudowany na  innych
  384.   zasadach.  Tam gdzie Socks posiada jeden program przeprowadzaj▒cy
  385.   wszystkie transakcje s internetem, TIS dostarcza jednego programu dla
  386.   ka┐dego z narzΩdzi kt≤rych chcesz u┐yµ w firrewallu.
  387.  
  388.   Dla pokazania kontrastu u┐yjmy przyk│ad≤w WWW i dostΩpu za pomoc▒
  389.   telnetu. U┐ywaj▒c SOCKS, ustawiasz jeden plik konfiguracyjny i jednego
  390.   demona. U┐ywaj▒c tego pliku tak telnet jak i WWW s▒ dostΩpne, podobnie
  391.   jak inne us│ugi kt≤rych nie zakaza│e╢.
  392.  
  393.  
  394.   W pakiecie TIS ustawiasz jednego demona dla (osobno) WWW i Telnetu z
  395.   osobnymi plikami konfiguracyjnymi. Po zrobieniu tego inne us│ugi
  396.   internetowe s▒ zakazane dop≤ki ich explicite nie ustawisz. Je╢li demon
  397.   dla specyficznych us│ug jest niedostΩpny (tak jak talk), istniej▒
  398.   ,,plug-in-y'' dla demona, ale nie tak elastyczne i │atwe w
  399.   konfiguracji jak inne narzΩdzia.
  400.  
  401.  
  402.   R≤┐nica wygl▒da na niewielk▒, jest jednak istotna.  SOCKS pozwala Ci
  403.   byµ spokojnym.  Przy kiepsko ustawionym SOCKS serwerze kto╢ z wewn▒trz
  404.   mo┐e  uzyskaµ wiΩkszy dostΩp do Internetu ni┐ by│o pocz▒tkowo
  405.   planowane. Z pakietem TIS ludzie wewn▒trz sieci maj▒ jedynie taki
  406.   dostΩp na jaki zezwoli│ administrator.
  407.  
  408.   SOCKS s▒ │atwiejszy do konfiguracji, │atwiejszy do kompilacji i
  409.   pozwala na wiΩksz▒ elastyczno╢µ. TIS jest bardziej bezpieczny, jesli
  410.   chcesz  ustawiaµ  u┐ytkownik≤w  wewn▒trz chronionej sieci. Oba
  411.   dostarczaj▒ ca│kowitego bezpiecze±stwa z zewn▒trz.
  412.  
  413.  
  414.   OpiszΩ proces instalacji obydwu.
  415.  
  416.   5.  Przygotowanie Linuxa
  417.  
  418.   5.1.  Kompilacja j▒dra.
  419.  
  420.   Zacznij od ╢wie┐ej instalacji twojej dystrybucji Linuxowej (ja u┐y│em
  421.   RedHata 3.0.3 (Picasso) i poni┐sze przyk│ady bazuj▒ na tej
  422.   dystrybucji). Im mniej oprogramowania zainstalujesz tym mniej bΩdzie w
  423.   nim dziur, tylnych wej╢µ i / lub b│Ωd≤w wprowadzaj▒cych do twojego
  424.   systemu problem bezpiecze±stwa, wiΩc zainstaluj jedynie minimalny
  425.   zestaw aplikacji.
  426.  
  427.   U┐yj stabilnego j▒dra. Ja u┐y│em 2.0.14.  Oto jest dokumentacja
  428.   podstawowych ustawie±:
  429.  
  430.   BΩdziesz potrzebowa│ rekompilowaµ j▒dro sytemu z odpowiednimi opcjami.
  431.   (patrz Kernel-HOWto, Ethernet-HOWto oraz NET-2 HOWto je╢li nie
  432.   zrobi│e╢ tego wcze╢niej).  Oto s▒ sieciowe ustawienia kt≤re pozna│em
  433.   wykonuj▒c komendΩ  make config
  434.  
  435.  
  436.   1. Under General setup
  437.  
  438.      a. Turn Networking Support ON
  439.  
  440.   2. Under Networking Options
  441.  
  442.      a. Turn Network firewalls ON
  443.  
  444.      b. Turn TCP/IP Networking ON
  445.  
  446.      c. Turn IP forwarding/gatewaying OFF (UNLESS you wish to use IP
  447.         filtering)
  448.  
  449.      d. Turn IP Firewalling ON
  450.  
  451.      e. Turn IP firewall packet loggin ON (this is not required but it
  452.         is a good idea)
  453.  
  454.      f. Turn IP: masquerading OFF (I am not covering this subject here.)
  455.  
  456.      g. Turn IP: accounting ON
  457.  
  458.      h. Turn IP: tunneling OFF
  459.  
  460.      i. Turn IP: aliasing OFF
  461.  
  462.  
  463.      j. Turn IP: PC/TCP compatibility mode OFF
  464.  
  465.      k. Turn IP: Reverse ARP OFF
  466.  
  467.      l. Turn Drop source routed frames ON
  468.  
  469.   3. Under Network device support
  470.  
  471.      a. Turn Network device support ON
  472.  
  473.      b. Turn Dummy net driver support ON
  474.  
  475.      c. Turn Ethernet (10 or 100Mbit) ON
  476.  
  477.      d. Select your network card
  478.  
  479.   Teraz  mo┐esz  dokonaµ  rekompilacji i reinstalacji j▒dra oraz
  480.   zrestartowaµ system. Twoja karta/y sieciowa/e powinny pojawiµ siΩ w
  481.   trakcie procedury startowej. Jesli tak siΩ nie dzieje sprawd╝ w innych
  482.   JTZ, i pr≤buj dop≤ki nie bΩd▒ dzia│aµ.
  483.  
  484.  
  485.   5.2.  Ustawienie dw≤ch kart sieciowych
  486.  
  487.   Je╢li masz dwie kary sieciowe w swoim komputerze w wiΩkszo╢ci
  488.   przypadk≤w potrzebujesz dodaµ twierdzenie w pliku /etc/lilo.conf
  489.   opisuj▒ce ich IRQ i adresy. W moim wypadku wygl▒da to tak:
  490.  
  491.     append= " ether=12,0x300,eth0 ether=15,0x340,eth1 "
  492.  
  493.  
  494.  
  495.  
  496.   5.3.  Ustawienie adres≤w sieciowych
  497.  
  498.   Jest to naprawdΩ interesuj▒ca czΩ╢µ. Teraz jest czas na podjΩcie kilku
  499.   decyzji. Dop≤ki nie chcemy daµ dostΩpu komputerom z Internetu do
  500.   ┐adnej z czΩ╢ci naszej sieci lokalnej nie musimy u┐ywaµ prawdziwych
  501.   adres≤w. Istniej▒ numery wydzielone z internetowych do ustawienia
  502.   odrΩbnych sieci prywatnych (przyp. t│umacza: klasa A
  503.   10.0.0.0-10.255.255.255, klasy B, i klasy C:
  504.   192.168.0.0.0-192.166.255.255) Poniewa┐ ka┐dy potrzebuje wiΩcej
  505.   adres≤w i poniewa┐ adres nie mog▒ siΩ powtarzaµ w Internecie jest to
  506.   dobry wyb≤r.
  507.  
  508.   Wybrali╢my jedn▒ z tych klas: 192.168.2.xxx, i u┐yjemy jej w naszym
  509.   przyk│adzie.
  510.  
  511.  
  512.   Tw≤j serwer proxy bΩdzie cz│onkiem obu sieci i bΩdzie przekazywa│ dane
  513.   do i z sieci prywatnej.
  514.  
  515.  
  516.         199.1.2.10  __________  192.168.2.1  192.168.2.2
  517.      _ __ _    \ |     | /      ____/__________
  518.      | \/ \/ |    \| Firewall |/      | Stacja    |
  519.     / Internet \--------|     |------------| Robocza    |
  520.     \_/\_/\_/\_/    |__________|      |_______________|
  521.  
  522.  
  523.  
  524.   Je╢li  u┐ywasz filtruj▒cego firewalla mo┐esz u┐ywaµ tych numer≤w
  525.   stosuj▒c IP masquearading Firewall bΩdzie przesy│a│ pakiety i
  526.   t│umaczy│ numery IP na ,,PRAWDZIWE'' adresy w Internecie.
  527.  
  528.  
  529.   Musisz przydzieliµ prawdziwy adres IP karcie sieciowej widocznej z
  530.   Internetu (na zewn▒trz). I przydzieliµ adres 192.168.2.1 karcie
  531.   Ethernetowej wewn▒trz. To bΩdzie adres IP twojego gatewaya/proxy.
  532.   Mo┐esz przydzieliµ pozosta│ym maszynom ze swojej sieci numery z
  533.   zakresu 192.168.2.2-192.168.2.254.
  534.  
  535.  
  536.   Odk▒d u┐ywam RedHat Linux
  537.  
  538.   do ustawienia sieci przy starcie dodajΩ plik  ifcfg-eth1 w katalogu
  539.   /etc/sysconfig/network-scripts/. Jest on czytany w trakcie startu
  540.   systemu i ustawiania sieci i tablic routingu.
  541.  
  542.   M≤j ifcfg-eth1 wygl▒da nastΩpuj▒co:
  543.  
  544.  
  545.     #!/bin/sh
  546.     #>>>Device type: ethernet
  547.     #>>>Variable declarations:
  548.     DEVICE=eth1
  549.     IPADDR=192.168.2.1
  550.     NETMASK=255.255.255.0
  551.     NETWORK=192.168.2.0
  552.     BROADCAST=192.168.2.255
  553.     GATEWAY=199.1.2.10
  554.     ONBOOT=yes
  555.     #>>>End variable declarations
  556.  
  557.  
  558.   Mo┐esz  tak┐e  u┐yµ tego skryptu do automatycznego po│▒czenia mode¡
  559.   mowego do twojego IPS. Sp≤jrz na skrypt ipup-pop
  560.  
  561.   Je╢li u┐ywasz modemu do │▒czenia siΩ z sieci▒ tw≤j zewnΩtrzny adres
  562.   bΩdzie przydzielony w trakcie po│▒czenia.
  563.  
  564.  
  565.   5.4.  Testowanie twojej sieci
  566.  
  567.   Zacznij od sprawdzenia  ifconfig  i trasowania (routingu) je╢li masz
  568.   dwie karty wynik polecenia ifconfig powinien wygl▒daµ nastΩpuj▒co:
  569.  
  570.  
  571.    #ifconfig
  572.    lo    Link encap:Local Loopback
  573.         inet addr:127.0.0.0 Bcast:127.255.255.255 Mask:255.0.0.0
  574.         UP BROADCAST LOOPBACK RUNNING MTU:3584 Metric:1
  575.         RX packets:1620 errors:0 dropped:0 overruns:0
  576.         TX packets:1620 errors:0 dropped:0 overruns:0
  577.  
  578.    eth0   Link encap:10Mbps Ethernet HWaddr 00:00:09:85:AC:55
  579.         inet addr:199.1.2.10 Bcast:199.1.2.255 Mask:255.255.255.0
  580.         UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
  581.         RX packets:0 errors:0 dropped:0 overruns:0
  582.         TX packets:0 errors:0 dropped:0 overruns:0
  583.         Interrupt:12 Base address:0x310
  584.  
  585.    eth1   Link encap:10Mbps Ethernet HWaddr 00:00:09:80:1E:D7
  586.         inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0
  587.         UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
  588.         RX packets:0 errors:0 dropped:0 overruns:0
  589.         TX packets:0 errors:0 dropped:0 overruns:0
  590.         Interrupt:15 Base address:0x350
  591.  
  592.  
  593.  
  594.  
  595.   a twoja tablica trasowania mniej wiΩcej tak:
  596.  
  597.  
  598.    #route -n
  599.    Kernel routing table
  600.    Destination   Gateway     Genmask     Flags MSS  Window Use Iface
  601.    199.1.2.0    *        255.255.255.0  U   1500  0    15 eth0
  602.    192.168.2.0   *        255.255.255.0  U   1500  0    0 eth1
  603.    127.0.0.0    *        255.0.0.0    U   3584  0    2 lo
  604.    default     199.1.2.10   *        UG  1500  0    72 eth0
  605.  
  606.  
  607.  
  608.   Uwaga: 199.1.2.0 jest numerem interface po internetowej stronie
  609.   firewalla za╢ 192.168.2.0 jest wewn▒trz.
  610.  
  611.   Teraz spr≤buj pingn▒µ siΩ do Internetu z firewalla. Ja zwyk│em u┐ywaµ
  612.   nic.dnn.mil jako punktu testowego (w Polsce doradza│bym
  613.   bilbo.nask.org.pl 148.81.16.51). Jest to wci▒┐ dobry test, ale nie
  614.   dostarcza tylu informacji ile by siΩ chcia│o.
  615.  
  616.   Je╢li nie rusza za pierwszym razem spr≤buj zapukaµ do innych
  617.   komputer≤w poza swoj▒ sieci▒ lokaln▒. Je╢li nie dzia│a to znaczy ┐e
  618.   twoje po│▒czenie PPP jest ╝le ustawione. Przeczytaj jeszcze raz Net-2
  619.   HOWto i spr≤buj jeszcze raz.
  620.  
  621.   NastΩpnie pingnij siΩ z firewalla do komputera wewn▒trz chronionej
  622.   sieci.  Ka┐dy komputer powinien m≤c sondowaµ inny. Je╢li nie sp≤jrz
  623.   jeszcze raz do Net-2 HOWto i popraw ustawienia w swojej sieci.
  624.  
  625.   Teraz spr≤buj pingn▒µ zewnΩtrzny adres z wewnΩtrznej czΩ╢ci chronionej
  626.   sieci.
  627.  
  628.   (Notka: to nie jest ┐aden z numer≤w IP zaczynaj▒cych siΩ od:
  629.   192.168.2.xxx.)  Je╢li jest to mo┐liwe, to znaczy ┐e nie wy│▒czy│e╢
  630.   przesy│ania IP w konfiguracji j▒dra.  Upewnij siΩ, ┐e tego chcesz.
  631.   Je╢li zostawisz tΩ opcjΩ w│▒czon▒, musisz zapoznaµ siΩ z czΩ╢ci▒ tego
  632.   dokumentu opisuj▒c▒ filtrowanie pakiet≤w IP.
  633.  
  634.   Teraz spr≤buj sondowaµ internet zza swojego firewalla.  U┐yj tego
  635.   samego adresu co poprzednio (np. bilbo.nask.org.pl).  Znowu, je╢li
  636.   wy│▒czy│e╢ IP Forwarding nie powinno dzia│aµ. Albo powinno, je╢li
  637.   w│▒czy│e╢.
  638.  
  639.   Je╢li masz ustawiony IP Forwarding i u┐ywasz ,,PRAWDZIWYCH'' (nie
  640.   192.168.2.*) adres≤w IP i nie mo┐esz wyj╢µ na zewn▒trz, ale mo┐esz siΩ
  641.   dostaµ do internetowej strony swego firewalla sprawd╝ czy nastΩpny
  642.   router przepuszcza pakiety z twojej sieci lokalnej (tw≤j dostawca
  643.   us│ug internetowych powinien co╢ o tym wiedzieµ).
  644.  
  645.  
  646.   Je╢li przydzieli│e╢ swojej sieci adresy 192.168.2.*  pakiety i tak nie
  647.   bΩd▒ filtrowane. Je╢li przechodz▒ mimo wszystko i masz IP masquerading
  648.   w│▒czone ten test te┐ zosta│ zdany.
  649.  
  650.   Masz teraz podstawow▒ konfiguracjΩ systemu.
  651.  
  652.  
  653.   5.5.  Zabezpieczanie firewalla.
  654.  
  655.   Firewall nie spe│nia swojego zadania je╢li zostawia otwarte okno dla
  656.   atak≤w przez nieu┐ywane us│ugi. ,,¼li ch│opcy'' mog▒ zdobyµ twierdzΩ i
  657.   zmodyfikowaµ j▒ dla swoich potrzeb.
  658.  
  659.   Zacznij wy│▒czaµ niepotrzebne us│ugi. Sp≤jrz na /etc/inetd.conf.  Plik
  660.   ten kontroluje co╢ co jest nazywane ,,super serwerem''.  Kontroluje
  661.   uruchamianie us│ug na ┐▒danie.
  662.  
  663.   Kompletnie wy│▒cz: netstat, systat, tftp, bootp  oraz finger. Aby
  664.   wy│▒czyµ us│ugΩ wystarczy postawiµ znak  #  (tzw. hash) jako pierwszy
  665.   znak w linii.  kiedy to zrobisz wy╢lij sygna│ HUP do procesu inetd
  666.   pisz▒c:  " kill -HUP  < pid >  " , gdzie  < pid >  jest numerem
  667.   procesu inetd.  Spowoduje to powt≤rne przeczytanie przez inetd pliku
  668.   konfiguracyjnego
  669.  
  670.   (inetd.conf) i restart.
  671.  
  672.   Sprawd╝ teraz czy jeste╢ w stanie dostaµ siΩ do portu obs│uguj▒cego
  673.   netstat
  674.    telnet localhost 15 Je╢li otrzymasz wynik z netstata nie
  675.   zrestartowa│e╢ inetd prawid│owo.
  676.  
  677.  
  678.   6.  Konfigurowanie filtrowania IP (IPFWADM)
  679.  
  680.   By zacz▒µ musisz w│▒czyµ przesy│anie pakiet≤w IP w swoim j▒drze i tw≤j
  681.   system powinien odsy│aµ wszystko co mu siΩ prze╢le. Twoja tablica
  682.   trasowania powinna byµ ustawiona i powiniene╢ mi╢ dostΩp tak wewn▒trz
  683.   jak do zewnΩtrznej Sieci.
  684.  
  685.   Ale budujemy firwalla tak wiΩc trzeba ograniczyµ wszystkim dostΩp do
  686.   niego.
  687.  
  688.   W moim systemie stworzy│em parΩ skrypt≤w ustawiaj▒cych zasady
  689.   odsy│ania pakiet≤w i polityki dostΩpu. Wywo│ujΩ je z w skryptach z
  690.   /etc/rc.d w czasie konfiguracji.
  691.  
  692.   Domy╢lnie IP Forwarding w j▒drze systemu odsy│a wszystko.  Dlatego
  693.   twoje skrypty startowe firewalla powinny rozpoczynaµ swoja pracΩ od
  694.   zakazania dostΩpu dla wszystkich i zerwania wszelkich po│▒cze±
  695.   dozwolonych w poprzednim uruchomieniu ipfw.  Skrypt ten wykorzystuje
  696.   pewien trick.
  697.  
  698.  
  699.    #
  700.   # Ustawianie rozliczania i odsy│ania pakiet≤w IP
  701.    #
  702.    #  Forwarding
  703.    #
  704.    # Domy╢lnie  wszystkie us│ugi s▒ zakazane.
  705.    ipfwadm -F -p deny
  706.    # Zerwij wszystkie po│▒czenia
  707.    ipfwadm -F -f
  708.    ipfwadm -I -f
  709.    ipfwadm -O -f
  710.  
  711.  
  712.   Teraz mamy doskona│y firewall. Nic nie przechodzi. Bez w▒tpliwo╢ci
  713.   pewna cze╢µ us│ug powinna byµ przesy│ana (i tego dotyczy nastΩpny
  714.   przyk│ad).
  715.  
  716.  
  717.  
  718.  
  719.  
  720.  
  721.  
  722.  
  723.  
  724.  
  725.  
  726.  
  727.    # przesy│anie poczty do twojego MTA
  728.    ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D 192.1.2.10
  729.    25
  730.  
  731.    # przesy│anie po│▒cze± pocztowych do innych MTA
  732.    ipfwadm -F -a accept -b -P tcp -S 196.1.2.10 25 -D 0.0.0.0/0
  733.    1024:65535
  734.  
  735.    # przesy│anie WWW do twojego serwera
  736.    /sbin/ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D
  737.    196.1.2.11 80
  738.  
  739.    # przesy│anie WWW do serwer≤w zewnΩtrznych
  740.    /sbin/ipfwadm -F -a accept -b -P tcp -S 196.1.2.* 80 -D 0.0.0.0/0
  741.    1024:65535
  742.  
  743.    # przesy│anie ruchu DNS
  744.    /sbin/ipfwadm -F -a accept -b -P udp -S 0.0.0.0/0 53 -D
  745.    196.1.2.0/24
  746.  
  747.  
  748.  
  749.   Mo┐esz byc zaintersowany w rozliczaniu ruchu przechodz▒cego przez tw≤j
  750.   firewall. Poni┐szy skrypt liczy ka┐dy z pakiet≤w. Powiniene╢ dodaµ
  751.   liniΩ albo liczyµ ruch tylko dla jednego systemu.
  752.  
  753.  
  754.    # Zerwanie wszystkich po│▒cze±
  755.    ipfwadm -A -f
  756.    # Rozliczanie
  757.    /sbin/ipfwadm -A -f
  758.    /sbin/ipfwadm -A out -i -S 196.1.2.0/24 -D 0.0.0.0/0
  759.    /sbin/ipfwadm -A out -i -S 0.0.0.0/0 -D 196.1.2.0/24
  760.    /sbin/ipfwadm -A in -i -S 196.1.2.0/24 -D 0.0.0.0/0
  761.    /sbin/ipfwadm -A in -i -S 0.0.0.0/0 -D 196.1.2.0/24
  762.  
  763.  
  764.   Je╢li potrzebowa│e╢ firewalla filtruj▒cego mo┐esz sko±czyµ lekturΩ.
  765.   Mi│ego konfigurowania. ; -)
  766.  
  767.  
  768.   7.  Instalowania serwera proxy - TIS
  769.  
  770.  
  771.  
  772.   7.1.  Pobranie oprogramowania
  773.  
  774.  
  775.   TIS FWTK jest dostΩpny pod adresem:  <ftp://ftp.tis.com/>.
  776.  
  777.   Nie pope│nij tego b│Ωdu co ja. Kiedy dostaniesz siΩ na serwer TIS
  778.    PRZECZYTAJ ,,README'' Pakiet TIS fwtk jest w ukrytym katalogu na ich
  779.   serwerze.
  780.  
  781.   TIS wymaga byµ wys│a│ email do fwtk-request@tis.com zawieraj▒cego
  782.   tylko s│owo SEND w ,,ciele'' wiadomo╢ci aby poznaµ nazwΩ tego ukrytego
  783.   katalogu (nie jest potrzebny temat dla tego listu).  Ich system wy╢le
  784.   Ci wiadomo╢µ z nazw▒ katalogu w ci▒gu 12 godzin.
  785.  
  786.   PiszΩ o wersji 2.0 (beta) TIS FWTK. Wersja ta kompiluje siΩ dobrze (z
  787.   pewnymi wyj▒tkami) i wygl▒da ┐e wszystko pracuje (u mnie). Gdy
  788.   zostanie opublikowana wersja pe│na uaktualniΩ to HowTo.
  789.  
  790.   Aby zainstalowaµ FWTK stw≤rz katalog  fwtk-2.0 w /usr/src. Przenie╢
  791.   tak kopiΩ (fwtk-2.0.tar.gz) odpakuj j▒ (tar zxf fwtk-2.0.tar.gz).
  792.  
  793.   FWTK nie po╢redniczy w przekazywaniu SSL (bezpieczne dokumenty w WWW)
  794.   ale posiada dodatek napisany przez Jean-Christophe Touvet. Jest on
  795.   dostΩpny pod adresem  <ftp://ftp.edelweb.fr/pub/contrib/fwtk/ssl-
  796.   gw.tar.Z>. Touvet nie ╢wiadczy wsparcia technicznego dla tego kodu.
  797.  
  798.   U┐ywam zmodyfikowanej wersji: w│▒czy│em modu│ dostΩpu do bezpiecznych
  799.   serwer≤w news Netscape napisany przez Eric Wedel <ftp://mdi.meridian-
  800.   data.com/pub/tis.fwtk/ssl-gw/ssl-gw2.tar.Z>.
  801.  
  802.  
  803.   W naszych przyk│adach bΩdΩ u┐ywa│ wersji Wedel'a.
  804.  
  805.   Aby go zainstalowaµ po prostu strw≤┐ katalog  ssl-gw w katalogu
  806.   /usr/src/fwtk-2.0 i wsad╝ tam odpowiednie pliki.  Kiedy instalowa│em
  807.   tΩ bramΩ potrzebne by│y drobne zmiany zanim mog│em skompilowaµ resztΩ
  808.   zestawu.
  809.  
  810.   Pierwsza zmiana nast▒pi│a w pliku  ssl-gw.c .  Nie potrafi│ w│▒czyµ
  811.   jednego z plik≤w include.
  812.  
  813.  
  814.    #if defined(__linux)
  815.    #include    <sys/ioctl.h>
  816.    #endif
  817.  
  818.  
  819.   Druga zmiana polega│a na stworzeniu pliku Makefile.  Skopiowa│em jeden
  820.   z innej ,,bramy'' i zast▒pi│em nazwΩ tego modu│u nazw▒ ssl-gw.
  821.  
  822.  
  823.   7.2.  Kompilacja  TIS FWTK
  824.  
  825.   Wersja 2.0 FWTK kompiluje siΩ │atwiej ni┐ poprzednie. Wci▒┐ jednak
  826.   jest kilka rzeczy kt≤re powinny byµ zmienione zanim wersja beta bΩdzie
  827.   siΩ kompilowaµ bez przeszk≤d. Pozostaje mieµ nadziejΩ, ┐e do tak siΩ
  828.   stanie w pe│nej wersji.
  829.  
  830.   Aby to poprawiµ zacznij zmiany od katalogu /usr/src/fwtk/fwtk i
  831.   skopiuj plik  Makefile.config.linux  na
  832.    Makefile.config.
  833.  
  834.   Nie uruchamiaj  FIXMAKE.  Instrukcja m≤wi by╢ to zrobi│. Je╢li chcesz
  835.   zniszczyµ Makefile we wszystkich podkatalogach...
  836.  
  837.   Wykona│em poprawkΩ do fixmake Problem polega│ na tym, ┐e fixmake
  838.   dodawa│ '.' i '' do w│▒czanych do Makefile linii.
  839.  
  840.  
  841.    sed 's/^include[    ]*\([^ ].*\)/include \1/' $name .proto > $name
  842.  
  843.  
  844.  
  845.   NastΩpnie bΩdziemy musieli wyedytowaµ Makeconfig.file.  Potrzebne bΩd▒
  846.   dwie zmiany.
  847.  
  848.   Autor programu ustawi│ ╝r≤d│a programu w swoim $HOME/.  My kompilujemy
  849.   w /usr/src i powinni╢my zmieniµ zmienn▒ FWTKSRCDIR.
  850.  
  851.  
  852.    FWTKSRCDIR=/usr/src/fwtk/fwtk
  853.  
  854.  
  855.  
  856.   Po drugie, przynajmniej niekt≤re Linuxy u┐ywaj▒ bazy danych w formacie
  857.   gdbm. W  Makefile.config jest u┐ywana dbm Zapewne bΩdziesz musia│ to
  858.   zmieniµ.  Ja w RedHacie 3.0.3 musia│em.
  859.    DBMLIB=-lgdbm
  860.  
  861.  
  862.   Ostania poprawka jest w katalogu x-gw. B│▒d w wersji beta jest w pliku
  863.   socket.c. Poprawka polega na usuniΩciu tych linii.
  864.  
  865.  
  866.    #ifdef SCM_RIGHTS /* 4.3BSD Reno and later */
  867.               + sizeof(un_name->sun_len) + 1
  868.    #endif
  869.  
  870.  
  871.   Je╢li doda│e╢ ssl-gw do swojego katalogu ╝r≤de│ trzeba jeszcze dodaµ
  872.   do listy katalog≤w w  Makefile.
  873.  
  874.  
  875.    DIRS=  smap smapd netacl plug-gw ftp-gw tn-gw rlogin-gw http-gw
  876.    x-gw ssl-gw
  877.  
  878.  
  879.  
  880.   Teraz uruchom make.
  881.  
  882.  
  883.  
  884.   7.3.  Instalacja TIS FWTK
  885.  
  886.   Uruchom make install.  Standardowo katalogiem instalacyjnym jest
  887.   /usr/local/etc.  Mo┐esz to zmieniµ (ja tego nie zrobi│em) na bardziej
  888.   bezpieczny katalog.  Ja zmieni│em prawa dostΩpu do niego na  chmod 700
  889.   .
  890.  
  891.   Na koniec pozosta│a nam konfiguracja firewalla.
  892.  
  893.  
  894.   7.4.  Konfiguracja firewalla TIS FWTK
  895.  
  896.   Teraz naprawdΩ rozpoczynamy. Musisz nauczyµ system wywo│ywania tych
  897.   nowych us│ug i stworzyµ tablice do ich kontroli.
  898.  
  899.   Nie pr≤bujΩ przepisywaµ tutaj dokumentacji do TIS FWTK. ChcΩ pokazaµ
  900.   takie ustawienia jakie u mnie dzia│a│y i wyja╢niµ problemy jakie
  901.   spotka│em.
  902.  
  903.   Istniej▒ trzy pliki kontroluj▒ce firewalla.
  904.  
  905.  
  906.  
  907.   ╖  /etc/services
  908.  
  909.   ╖  m≤wi▒cy systemowi jaki port obs│uguje jak▒ us│ugΩ.
  910.  
  911.  
  912.   ╖  /etc/inetd.conf
  913.  
  914.   ╖  m≤wi▒cy serwerowi inetd jaki program wywo│aµ gdy kto╢ bΩdzie siΩ
  915.      dobija│ do zadanego portu.
  916.  
  917.  
  918.   ╖  /usr/local/etc/netperm-table
  919.  
  920.   ╖  m≤wi▒cy FWTK kto jest dopuszczony a kogo winno siΩ odrzucaµ przy
  921.      danej us│udze.
  922.  
  923.   Aby uzyskaµ poprawne funkcjonowanie FWTK powiniene╢ wyedytowaµ te
  924.   pliki poczynaj▒c od g≤ry. Edycja jedynie services bez inetd.conf i
  925.   netperm-table ustawionych prawid│owo uczyni tw≤j system niedostΩpnym.
  926.  
  927.  
  928.  
  929.   7.4.1.  Plik netperm-table
  930.  
  931.   Plik ten odpowiada za kontrolΩ kto ma dostΩp do us│ug nadzorowanych
  932.   przez TIS FWTK. Powiniene╢ my╢leµ o ruch z obu stron firewalla. Ludzie
  933.   z zewn▒trz twojej sieci powinni zidentyfikowaµ siΩ przed otrzymaniem
  934.   dostΩpu, ale ludzie z wewn▒trz mog▒ zostaµ dopuszczeni od razu.
  935.  
  936.   Aby ludzie moli siΩ zidentyfikowaµ firewall u┐ywa programu o nazwie
  937.   authsrv do trzymania bazy danych o u┐ytkownikach i ich has│ach.
  938.   Sekcja dotycz▒ca autentyfikacji w netperm-table pozwala kontrolowaµ
  939.   gdzie jest trzymana baza danych i kto ma do niej dostΩp.
  940.  
  941.   Mia│em trochΩ k│opot≤w z blokowaniem dostΩpu do us│ug. We╝ pod uwagΩ
  942.   ┐e linia kt≤r▒ pokazujΩ u┐ywa '*' do dawania dostΩpu dla ka┐dego do
  943.   tej us│ugi.  Prawid│owe ustawienie tej linii jest nastΩpuj▒ce: j▒
  944.   pracuj▒c▒.
  945.  
  946.  
  947.    #
  948.    # tablica konfiguracji serwera proxy
  949.    #
  950.    # Autentyfikacja: regu│y serwera i klienta
  951.    authsrv:   database /usr/local/etc/fw-authdb
  952.    authsrv:   permit-hosts *
  953.    authsrv:   badsleep 1200
  954.    authsrv:   nobogus true
  955.    # Aplikacje klienckie u┐ywaj▒ce serwera autentyfikacji
  956.    *:      authserver 127.0.0.1 114
  957.  
  958.  
  959.  
  960.   Aby zaincjalizowaµ bazΩ danych wykonaj su do root`a i uruchom
  961.   ./authsrv w katalogu  /var/local/etc by stworzyµ rekord opisuj▒cy
  962.   administratora systemu.
  963.  
  964.   Oto jest przyk│adowa sesja.
  965.  
  966.   Przeczytaj dokumentacjΩ FWTK, by dowiedzieµ siΩ jak dodaµ u┐ytkownik≤w
  967.   i grupy.
  968.  
  969.  
  970.  
  971.  
  972.  
  973.  
  974.  
  975.  
  976.  
  977.  
  978.  
  979.  
  980.  
  981.  
  982.  
  983.  
  984.  
  985.  
  986.  
  987.  
  988.  
  989.  
  990.  
  991.     #
  992.     # authsrv
  993.     authsrv# list
  994.     authsrv# adduser admin  " Auth DB admin "
  995.     ok - user added initially disabled
  996.     authsrv# ena admin
  997.     enabled
  998.     authsrv# proto admin pass
  999.     changed
  1000.     authsrv# pass admin  " plugh "
  1001.     Password changed.
  1002.     authsrv# superwiz admin
  1003.     set wizard
  1004.     authsrv# list
  1005.     Report for users in database
  1006.     user  group longname      ok?  proto  last
  1007.     ------ ------ ------------------ ----- ------ -----
  1008.     admin     Auth DB admin   ena  passw  never
  1009.     authsrv# display admin
  1010.     Report for user admin (Auth DB admin)
  1011.     Authentication protocol: password
  1012.     Flags: WIZARD
  1013.     authsrv# ^D
  1014.     EOT
  1015.     #
  1016.  
  1017.  
  1018.   Kontrola przez bramΩ telnetu (tn-gw) polega na prostym przes│aniu i
  1019.   jest to pierwsza kt≤r▒ powiniene╢ ustawiµ.
  1020.  
  1021.   W moim przyk│adzie pozwoli│em komputerom z wnΩtrza sieci prywatnej na
  1022.   dostΩp bez autentyfikacji (permit-hosts 19961.2.* -passok).
  1023.  
  1024.   Ale inni u┐ytkownicy powinni wprowadziµ swoj▒ nazwΩ u┐ytkownika i
  1025.   has│o.  (permit-hosts * -auth)
  1026.  
  1027.   Poza tym pozwoli│em jednemu innemu systemowi (196.1.2.202) na dostΩp
  1028.   do firewalla bezpo╢rednio, bez przechodzenia przez procedury na nim.
  1029.   Sprawiaj▒ to dwie linie z inetacl-in.telnetd
  1030.  
  1031.   Wyja╢niΩ ich dzia│anie potem.
  1032.  
  1033.   Powiniene╢ zachowaµ kr≤tki czas timeoutu.
  1034.  
  1035.  
  1036.    # regu│y dostΩpu telnetu do firewalla:
  1037.    tn-gw:        denial-msg   /usr/local/etc/tn-deny.txt
  1038.    tn-gw:        welcome-msg   /usr/local/etc/tn-welcome.txt
  1039.    tn-gw:        help-msg    /usr/local/etc/tn-help.txt
  1040.    tn-gw:        timeout 90
  1041.    tn-gw:        permit-hosts 196.1.2.* -passok -xok
  1042.    tn-gw:        permit-hosts * -auth
  1043.    # Tylko administrator mo┐e wykonaµ telnet na port 24 firewalla.
  1044.    netacl-in.telnetd: permit-hosts 196.1.2.202 -exec
  1045.    /usr/sbin/in.telnetd
  1046.  
  1047.  
  1048.   I to samo z r-command.
  1049.  
  1050.  
  1051.  
  1052.  
  1053.  
  1054.  
  1055.  
  1056.  
  1057.    #  regu│y dostΩpu rlogin do firewalla
  1058.    rlogin-gw:  denial-msg   /usr/local/etc/rlogin-deny.txt
  1059.    rlogin-gw:  welcome-msg   /usr/local/etc/rlogin-welcome.txt
  1060.    rlogin-gw:  help-msg    /usr/local/etc/rlogin-help.txt
  1061.    rlogin-gw:  timeout 90
  1062.    rlogin-gw:  permit-hosts 196.1.2.* -passok -xok
  1063.    rlogin-gw:  permit-hosts * -auth -xok
  1064.    # Tylko administrator mo┐e wykonaµ telnet na port 24 firewalla.
  1065.    netacl-rlogind: permit-hosts 196.1.2.202 -exec /usr/libexec/rlogind
  1066.    -a
  1067.  
  1068.  
  1069.  
  1070.   Nie powiniene╢ dawaµ nikomu bezpo╢redniego dostΩpu do firewalla,
  1071.   w│▒czaj▒c w to dostΩp prze FTP (tak pobieranie jak i wk│adanie).
  1072.  
  1073.   Jeszcze raz, linie zawieraj▒ce  permit-hosts pozwalaj▒ ka┐demu w
  1074.   chronionej na wolny dostΩp do Internetu, za╢ wszyscy inni musz▒ siΩ
  1075.   autentyfikowaµ.  W│▒czy│em zapisywanie ka┐dego pliku pobranego i
  1076.   wys│anego do mojej konfiguracji.
  1077.  
  1078.   (-log { retr stor })
  1079.  
  1080.   Timeouty FTP daj▒ ci kontrolΩ nad tym jak d│ugo bΩd▒ utrzymywane
  1081.   ,,z│e'' po│▒czenia i jak d│ugo bΩd▒ utrzymywane po│▒czenia bez ┐adnej
  1082.   aktywno╢ci.
  1083.  
  1084.  
  1085.    #  regu│y dostΩpu ftp do firewalla
  1086.    ftp-gw:        denial-msg   /usr/local/etc/ftp-deny.txt
  1087.    ftp-gw:        welcome-msg   /usr/local/etc/ftp-welcome.txt
  1088.    ftp-gw:        help-msg    /usr/local/etc/ftp-help.txt
  1089.    ftp-gw:        timeout 300
  1090.    ftp-gw:        permit-hosts 196.1.2.* -log { retr stor }
  1091.    ftp-gw:        permit-hosts * -authall -log { retr stor }
  1092.  
  1093.  
  1094.   WWW, Gopher i bazuj▒ce na przegl▒darkach FTP jest kontrolowane przez
  1095.   http-gw. Pierwsze dwie linie tworz▒ katalog gdzie bΩd▒ sk│adowane
  1096.   pliki i dokumenty z FTP i WWW.  Przy czym s▒ one w│asno╢ci▒ root`a i
  1097.   s▒ sk│adowane w katalogu dostΩpnym tylko dla niego.
  1098.  
  1099.   Po│▒czenia WWW powinny byµ bardzo kr≤tki. W ten spos≤b mo┐na
  1100.   kontrolowaµ jak d│ugo u┐ytkownicy bΩd▒ utrzymywaµ b│Ωdne po│▒czenia.
  1101.  
  1102.  
  1103.    # regu│y dostΩpu dla WWW i Gophera
  1104.    http-gw:   userid     root
  1105.    http-gw:   directory    /jail
  1106.    http-gw:   timeout 90
  1107.    http-gw:   default-httpd  www.afs.net
  1108.    http-gw:   hosts      196.1.2.* -log { read write ftp }
  1109.    http-gw:   deny-hosts   *
  1110.  
  1111.  
  1112.  
  1113.   ssl-gw ustawia siΩ tak samo ja i inne bramy. B▒d╝ z ni▒ ostro┐ny.  W
  1114.   tym przyk│adzie pozwalam wszystkim z sieci chronionej na │▒czenie siΩ
  1115.   z ka┐dym z serwer≤w na zewn▒trz z wyj▒tkiem adres≤w 127.0.0.*  i
  1116.   192.1.1.*  oraz (wtedy) na otwieranie port≤w 443 do 563 u┐ywanych jako
  1117.   znane porty dla SSL.
  1118.  
  1119.  
  1120.  
  1121.  
  1122.  
  1123.   # zasady dla bramy ssl:
  1124.    ssl-gw:     timeout 300
  1125.    ssl-gw:     hosts      196.1.2.* -dest { !127.0.0.* !192.1.1.*
  1126.    *:443:563 }
  1127.    ssl-gw:     deny-hosts   *
  1128.  
  1129.  
  1130.  
  1131.   Poni┐ej znajduje siΩ przyk│ad jak u┐yµ plug-gw aby pozwoliµ na
  1132.   po│▒czenie do serwera news. W tym przyk│adzie zezwalam ka┐demu z sieci
  1133.   lokalnej na dostΩp do tylko jednego systemu i tylko na porcie zajΩtym
  1134.   przez news.
  1135.  
  1136.   W drugiej linii pozwalam serwerowi news przes│aµ dane z powrotem do
  1137.   chronionej sieci.
  1138.  
  1139.   Poniewa┐ wiΩkszo╢µ klient≤w spodziewa siΩ, ┐e pozostaje pod│▒czenie w
  1140.   czasie gdy u┐ytkownik czyta wiadomo╢ci timeout dla news powinien byµ
  1141.   d│ugi.
  1142.  
  1143.  
  1144.    # brama dla modu│u plug-gw i NetNews
  1145.    plug-gw:    timeout 3600
  1146.    plug-gw: port nntp 196.1.2.* -plug-to 199.5.175.22 -port nntp
  1147.    plug-gw: port nntp 199.5.175.22 -plug-to 196.1.2.* -port nntp
  1148.  
  1149.  
  1150.  
  1151.   Brama dla fingera jest prosta. Ka┐dy z chronionej sieci powinien siΩ
  1152.   za│ogowaµ i wtedy pozwalamy mu na u┐ycie fingera na firewallu.
  1153.   Pozostali nie po prostu dostaj▒ wiadomo╢µ.
  1154.  
  1155.  
  1156.    # uruchomienie us│ugi finger
  1157.    netacl-fingerd: permit-hosts 196.1.2.* -exec /usr/libexec/fingerd
  1158.    netacl-fingerd: permit-hosts * -exec /bin/cat
  1159.    /usr/local/etc/finger.txt
  1160.  
  1161.  
  1162.  
  1163.   Nie mam ustawionych us│ug dla poczty elektronicznej i X-Windows wiΩc
  1164.   nie dajΩ przyk│ad≤w. Je╢li kto╢ ma dzia│aj▒cy przyk│ad, proszΩ o
  1165.   przys│anie mi.
  1166.  
  1167.  
  1168.  
  1169.   7.4.2.  Plik inetd.conf
  1170.  
  1171.   Oto jest kompletny plik  /etc/inetd.conf .  Wszystkie niepotrzebne
  1172.   us│ugi zosta│y wykomentowane.  W│▒czy│em pe│ny plik aby pokazaµ co
  1173.   wy│▒czyµ i jak ustawiµ now▒ us│ugΩ w ╢cianie ognia.  {od t│umacza: nie
  1174.   przek│adam typowych dla tego pliku linii}
  1175.  
  1176.  
  1177.  
  1178.  
  1179.  
  1180.  
  1181.  
  1182.  
  1183.  
  1184.  
  1185.  
  1186.  
  1187.  
  1188.  
  1189.    #echo stream tcp nowait root    internal
  1190.    #echo dgram  udp wait  root    internal
  1191.    #discard   stream tcp nowait root    internal
  1192.    #discard   dgram  udp wait  root    internal
  1193.    #daytime   stream tcp nowait root    internal
  1194.    #daytime   dgram  udp wait  root    internal
  1195.    #chargen   stream tcp nowait root    internal
  1196.    #chargen   dgram  udp wait  root    internal
  1197.    # brama FTP w ╢cianie ognia
  1198.    ftp-gw   stream tcp nowait.400 root /usr/local/etc/ftp-gw ftp-gw
  1199.    # brama Telnetu w ╢cianie ognia
  1200.    telnet    stream tcp nowait   root /usr/local/etc/tn-gw
  1201.    /usr/local/etc/tn-gw
  1202.    # local telnet services
  1203.    telnet-a  stream tcp nowait   root /usr/local/etc/netacl in.telnetd
  1204.    # brama Gophera w ╢cianie ognia
  1205.    gopher    stream tcp nowait.400 root /usr/local/etc/http-gw
  1206.    /usr/local/etc/http-gw
  1207.    # brama WWW w ╢cianie ognia
  1208.    http stream tcp nowait.400 root /usr/local/etc/http-gw
  1209.    /usr/local/etc/http-gw
  1210.    # SSL  w ╢cianie ognia
  1211.    ssl-gw stream tcp   nowait root /usr/local/etc/ssl-gw  ssl-gw
  1212.    # NetNews firewall proxy (using plug-gw)
  1213.    nntp  stream tcp   nowait root  /usr/local/etc/plug-gw plug-gw nntp
  1214.    #nntp stream tcp   nowait root  /usr/sbin/tcpd in.nntpd
  1215.    # SMTP (email)  w ╢cianie ognia
  1216.    #smtp stream tcp   nowait root  /usr/local/etc/smap smap
  1217.    #
  1218.    # Shell, login, exec and talk are BSD protocols.
  1219.    #
  1220.    #shell    stream tcp   nowait root  /usr/sbin/tcpd in.rshd
  1221.    #login    stream tcp   nowait root  /usr/sbin/tcpd in.rlogind
  1222.    #exec stream tcp   nowait root  /usr/sbin/tcpd in.rexecd
  1223.    #talk dgram  udp   wait  root  /usr/sbin/tcpd in.talkd
  1224.    #ntalk    dgram  udp   wait  root  /usr/sbin/tcpd in.ntalkd
  1225.    #dtalk    stream tcp   waut  nobody /usr/sbin/tcpd in.dtalkd
  1226.    #
  1227.    # Pop and imap mail services et al
  1228.    #
  1229.    #pop-2  stream tcp nowait root /usr/sbin/tcpd  ipop2d
  1230.    #pop-3  stream tcp nowait root /usr/sbin/tcpd  ipop3d
  1231.    #imap  stream tcp nowait root /usr/sbin/tcpd  imapd
  1232.    #
  1233.    # The Internet UUCP service.
  1234.    #
  1235.    #uucp  stream tcp nowait uucp /usr/sbin/tcpd /usr/lib/uucp/uucico
  1236.    -l
  1237.    #
  1238.    # Tftp service is provided primarily for booting. Most sites
  1239.    # run this only on machines acting as  " boot servers. "
  1240.    Do not uncomment
  1241.    # this unless you *need* it.
  1242.    #
  1243.    #tftp dgram  udp   wait  root  /usr/sbin/tcpd in.tftpd
  1244.    #bootps    dgram  udp   wait  root  /usr/sbin/tcpd bootpd
  1245.    #
  1246.    # Finger, systat and netstat give out user information which may be
  1247.    # valuable to potential "system crackers." Many sites choose to
  1248.    disable
  1249.    # some or all of these services to improve security.
  1250.    #
  1251.    # cfinger is for GNU finger, which is currently not in use in RHS
  1252.    Linux
  1253.    #
  1254.    finger    stream tcp nowait root  /usr/sbin/tcpd in.fingerd
  1255.    #cfinger   stream tcp nowait root  /usr/sbin/tcpd in.cfingerd
  1256.    #systat    stream tcp nowait guest /usr/sbin/tcpd /bin/ps -auwwx
  1257.    #netstat   stream tcp nowait guest /usr/sbin/tcpd /bin/netstat -f
  1258.    inet
  1259.    #
  1260.    # Time service is used for clock syncronization.
  1261.    #
  1262.    #time stream tcp nowait root /usr/sbin/tcpd in.timed
  1263.    #time dgram  udp wait  root /usr/sbin/tcpd in.timed
  1264.    #
  1265.    # Authentication
  1266.    #
  1267.    auth     stream tcp wait  root /usr/sbin/tcpd in.identd -w -t120
  1268.    authsrv    stream tcp nowait root /usr/local/etc/authsrv authsrv
  1269.    #
  1270.    # End of inetd.conf
  1271.  
  1272.  
  1273.  
  1274.  
  1275.   7.4.3.  Plik /etc/services
  1276.  
  1277.   Tutaj siΩ wszystko zaczyna. Gdy klient │▒czy siΩ ze ╢cian▒ ognia
  1278.   dzieje siΩ to na tzw. dobrze znanym porcie (ni┐szym od 1024).  Na
  1279.   przyk│ad telnet │▒czy siΩ na porcie 23. Serwer  inetd s│yszy pro╢bΩ o
  1280.   po│▒czenie, i szuka nazwy tej us│ugi w /etc/services. P≤╝niej wzywa
  1281.   programy wyznaczony  dla tej us│ugi w  /etc/inedt.conf
  1282.  
  1283.   Niekt≤re z us│ug nie s▒ normalnie tworzone przez wywo│anie w
  1284.   /etc/serwices.  Mo┐na przydzielaµ niekt≤re porty jak chcemy, Na
  1285.   przyk│ad ja przydzia│em us│udze ,,telnet administratora'' (telnet-a)
  1286.   port 24.  Ty mo┐esz przydzieliµ tΩ us│ugΩ na portowi 2323, je╢li
  1287.   chcesz.  Dla administratora (CIEBIE) bezpo╢rednie po│▒czenie ze ╢cian▒
  1288.   ognia na porcie 24 nie 23 no┐e byµ potrzebne, je╢li masz ustawion▒
  1289.   swoj▒ chronionej sieci.
  1290.  
  1291.  
  1292.  
  1293.    telnet-a    24/tcp
  1294.    ftp-gw     21/tcp      # this named changed
  1295.    auth      113/tcp  ident  # User Verification
  1296.    ssl-gw     443/tcp
  1297.  
  1298.  
  1299.  
  1300.  
  1301.  
  1302.   8.  Serwer proxy SOCKS
  1303.  
  1304.   8.1.  Konfigurowanie serwera Proxy
  1305.  
  1306.   SOCKS proxy server dostΩpny jest z adresu:
  1307.   <ftp://sunsite.unc.edu/pub/Linux/system/Network/misc/socks-linux-
  1308.   src.tgz>.  Zawiera przyk│adowy plik konfiguracyjny w katalogu
  1309.   nazwanym: " socks-conf " . Zdekompresuj i untaruj te pliki w dowolnym
  1310.   katalogu i postΩpuj wed│ug instrukcji.  Mia│em kilka problem≤w kiedy
  1311.   kompilowa│em go. Upewnij siΩ, ┐e tw≤j Makefile  jest prawid│owy.
  1312.  
  1313.   Jedn▒ z wa┐niejszych rzeczy jest pamiΩtanie o konieczno╢ci dodania
  1314.   serwera proxy do /etc/inetd.conf.  Aby m≤c odpowiedzieµ na ┐▒dania
  1315.   musisz dopisaµ nastΩpuj▒c▒ liniΩ:
  1316.  
  1317.  
  1318.    socks stream tcp nowait nobody /usr/local/etc/sockd sockd
  1319.  
  1320.  
  1321.   8.2.  Konfiguracja serwera proxy
  1322.  
  1323.   Program SOCKS potrzebuje dw≤ch oddzielnych plik≤w konfiguracyjnych.
  1324.   Jeden z nich m≤wi tym komu udzieliµ dostΩpu a drugi w jaki spos≤b
  1325.   przekazywaµ ┐▒dania do w│a╢ciwego serwera proxy. Plik decyduj▒cy o
  1326.   dostΩpie powinien znajdowaµ siΩ na serwerze. Plik dotycz▒cy
  1327.   przekazywania dostΩpu (routingu) powinien znajdowaµ siΩ na ka┐dej z
  1328.   maszyn Unixowych. W wypadku DOSa i czΩ╢ciowo MaC≤w komputery powinny
  1329.   mieµ sw≤j w│asny routing.
  1330.  
  1331.  
  1332.   8.2.1.  Access File Plik dostΩpu.
  1333.  
  1334.   W wersji 4.2 Beta SOCSKs≤w plik dostΩpu nazywa siΩ " sockd.conf " .
  1335.   powinien zawieraµ dwie linie: zezwolenia i zakazu. Ka┐da z linii
  1336.   posiada trzy pozycje:
  1337.  
  1338.  
  1339.   ╖  identyfikator (permit/deny)
  1340.  
  1341.   ╖  adres IP
  1342.  
  1343.   ╖  modyfikator adresu
  1344.  
  1345.      Identyfikator to permit lub  deny Powiniene╢ u┐yµ obu: ka┐dy we
  1346.      w│a╢ciwej linii.  Adres IP powinien zawieraµ czterobajtowy adres w
  1347.      typowej dal IP notacji.  np. 192.168.2.0.  Modyfikator adresu tak┐e
  1348.      jest normalnym IP i pracuje jak maska.  RozwiniΩcie tego adresu da
  1349.      32 bity (1 albo zero).
  1350.  
  1351.      Na przyk│ad, w tej linii:
  1352.  
  1353.  
  1354.     permit 192.168.2.23 255.255.255.255
  1355.  
  1356.  
  1357.   zezwalam na dostΩp maszynom w kt≤rych adres pasuje co do bitu  z
  1358.   zadanym: pasuje tu tylko 192.168.2.23
  1359.  
  1360.  
  1361.     permit 192.168.2.0 255.255.255.0
  1362.  
  1363.  
  1364.   zezwala na dostΩp maszynom z gdyby od 192.168.2.0 do 192.168.2.255, w
  1365.   formie ca│ej klasy C.
  1366.  
  1367.   Nie powiniene╢ mieµ nastΩpuj▒cej linii:
  1368.  
  1369.  
  1370.     permit 192.168.2.0 0.0.0.0
  1371.  
  1372.  
  1373.   daj▒cej dostΩp dla wszystkich adres≤w.
  1374.  
  1375.   Tak wiΩc pierwsza linia daje zezwolenie dla tych adres≤w kt≤rym chcesz
  1376.   go daµ, a druga zakazuje reszcie.  Aby zezwoliµ na dostΩp wszystkim z
  1377.   klasy 192.168.2.xxx potrzeba linii:
  1378.  
  1379.  
  1380.     permit 192.168.2.0 255.255.255.0
  1381.     deny 0.0.0.0 0.0.0.0
  1382.  
  1383.  
  1384.   Zwr≤µ uwagΩ na pierwsze  " 0.0.0.0 "  w linii zakazu.  Z mask▒ 0.0.0.0
  1385.   taki adres nie istnieje. Wszystkie zera zosta│y tam wprowadzone bo s▒
  1386.   │atwe do zapisu.
  1387.   Dopuszczalne jest umieszczenie wiΩkszej ilo╢ci jeden zapis≤w w ka┐dej
  1388.   z linii.  Konkretni u┐ytkownicy mog▒ ponadto otrzymaµ lub traciµ prawo
  1389.   dostΩpu.  jest to wykonywane przy pomocy autentyfikacji przy pomocy
  1390.   ident.  Nie wszystkie systemu u┐ywaj▒ ident, w│▒czaj▒c w to
  1391.    Trumpet Winsock , dlatego te┐ nie w│▒czam tu przyk│ad≤w.
  1392.   Dokumentacja do SOCKS jest ca│kiem dobra w tej kwestii.
  1393.  
  1394.  
  1395.   8.2.2.  Tablica trasowania
  1396.  
  1397.   Tablica routingu w SOCS jest niestety nazywana socks.conf.
  1398.  
  1399.   Tablica routingu m≤wi klientom SOCKS kiedy u┐ywaµ socks a kiedy nie.
  1400.   Na przyk│ad, w twojej sieci 192.168.2.3 nie potrzebuje u┐ywania socks
  1401.   do po│▒czenia z 192.168.2.1. Po prostu │▒czy siΩ bezpo╢rednio, po
  1402.   Ethernecie.  Definiuje siΩ automatycznie 127.0.0.1 jako loopback.
  1403.   Oczywiste jest, ┐e nie potrzebujesz rozmawiaµ przez ╢cianΩ ogniow▒ z
  1404.   samym sob▒...
  1405.  
  1406.   S▒ trzy typy rekord≤w:
  1407.  
  1408.  
  1409.   ╖  deny
  1410.  
  1411.   ╖  direct
  1412.  
  1413.   ╖  sockd
  1414.  
  1415.   Deny m≤wi SOCKS kiedy ma odm≤wiµ ┐▒daniu. Rekord ten ma takie same
  1416.   trzy pola jak sockd.conf: identyfikator, adres i maska.  Og≤lnie,
  1417.   dop≤ki jest to modyfikowane przez sockd.conf, maska w pliku dostΩpu
  1418.   jest ustawiona na 0.0.0.0. Je╢li chcesz pozwoliµ na dzwonienie do
  1419.   siebie mo┐esz to zrobiµ tutaj.
  1420.  
  1421.   Rekord direct m≤wi kt≤re do kt≤rych adres≤w nie u┐ywaµ SOCKS.  Te
  1422.   adresy bΩd▒ dorΩczone bez serwera proxy.
  1423.  
  1424.   Jeszcze raz, mamy trzy pola: identyfikator, adres i maska.
  1425.  
  1426.  
  1427.     direct 192.168.2.0 255.255.255.0
  1428.  
  1429.  
  1430.   W ten spos≤b kierujesz bezpo╢rednio ca│y ruch w chronionej sieci.
  1431.  
  1432.   Rekord z sockd m≤wi komputerowi kt≤re z host≤w s▒ serwerem SOCKS
  1433.  
  1434.   Sk│adnia jest nastΩpuj▒ca:
  1435.  
  1436.    sockd @=<serverlist> <IP address> <modifier>
  1437.  
  1438.  
  1439.   Zwr≤µ uwagΩ na fragment: @= .  Pozwala on na wprowadzenie listy ser¡
  1440.   wer≤w proxy.  W naszym przyk│adzie u┐ywamy tylko jednego. Ale mo┐esz
  1441.   mieµ wiele w celu zwiΩkszenia przepustowo╢ci i obni┐enia mo┐liwo╢ci
  1442.   awarii.
  1443.  
  1444.   Pola adresu IP i maski dzia│aj▒ jak w innych przyk│adach.
  1445.   Specyfikujesz adres i zakres jego obowi▒zywania.
  1446.  
  1447.  
  1448.   8.2.3.  zadaniem. Potrzeba jedynie ustawienia DNS na maszynie z fire¡
  1449.   wallem.  I inne maszyny za firewallem bΩd▒ go u┐ywa│y.  DNS zza fire¡
  1450.   walla Ustawienie us│ugi DNS zza firewalla jest  prostym
  1451.  
  1452.  
  1453.   8.3.  Wsp≤│praca z serwerami proxy
  1454.  
  1455.   8.3.1.  Unix
  1456.  
  1457.   Aby twoje aplikacje dzia│a│y z serwerami proxy potrzebujesz je
  1458.   zsockisy... ( " sockified " ).  BΩdziesz potrzebowa│ dw≤ch r≤┐nych
  1459.   telnet≤w (jeden do komunikacji bezpo╢redniej drugi przez serwer
  1460.   proxy). SOCKS przychodz▒ z instrukcj▒ jak zSOCKifikowaµ program, i z
  1461.   paroma programami przygotowanymi na tΩ mod│Ω. Je╢li u┐ywasz
  1462.   zSOCKIfowanej wersji gdziekolwiek bezpo╢rednio SOCKS automatycznie
  1463.   prze│▒czy ciΩ na w│a╢ciw▒ wersjΩ. Z tego powodu trzeba zmieniµ nazwy
  1464.   wszystkich program≤w w naszej chronionej sieci i zst▒piµ je wersjami
  1465.   zSOCKisowanymi. Finger stanie siΩ finger.orig, telnet stanie siΩ
  1466.   telnet.orig i tak dalej.  Musisz powiedzieµ SOCKS o ka┐dym w pliku
  1467.   include/socks.h.
  1468.  
  1469.  
  1470.  
  1471.   Dobre programy s▒ w stanie dostarczaµ tablic trasowania i
  1472.   zsocksifikowaµ siΩ same. Jednym z nich jest Netscape Navigator. Mo┐esz
  1473.   u┐ywaµ serwer≤w proxy przez wprowadzenie adresu serwera (192.168.2.1 w
  1474.   naszym wypadku) w polu SOCKs w Menu Proxies. Ka┐da aplikacja
  1475.   potrzebuje przynajmniej minimalnej informacji o tym co jest serwerem
  1476.   proxy.
  1477.  
  1478.  
  1479.   8.3.2.  MS Windows i Trumpet Winsock
  1480.  
  1481.   Trumpet Winsock przychodzi z wbudowanymi mo┐liwo╢ciami wsp≤│pracy z
  1482.   serwerem proxy. W
  1483.    setup  menu wprowad╝ adres serwera, i adresy komputer≤w dostΩpnych
  1484.   bezpo╢rednio. Program przekieruje na serwer wszystkie pakiety maj▒ce
  1485.   wyj╢µ na zewn▒trz.
  1486.  
  1487.  
  1488.  
  1489.   8.3.3.  Ustawienie serwera po╢rednicz▒cego do pracy z pakietami UDP.
  1490.  
  1491.   Pakiet SOCKS pracuje jedynie z pakietami TCP, pomijaj▒c UDP.  Powoduje
  1492.   to trochΩ mniejsz▒ jego u┐yteczno╢µ. Wiele u┐ytecznych program≤w,
  1493.   takich jak na przyk│ad talk i Archie u┐ywa UDP. Jest jednak pakiet
  1494.   kt≤ry mo┐e byµ u┐yty jako serwer proxy dla UDP: UDPrelay stworzony
  1495.   przez Toma Fitzgeralda  <fitz@wang.com>. Niestety w chwili pisania
  1496.   tego tekstu nie jest on zgodny z Linuxem.
  1497.  
  1498.  
  1499.  
  1500.   8.4.  Wady serwer≤w proxych
  1501.  
  1502.   Serwer proxy, jak pokaza│em powy┐ej jest narzΩdziem bezpiecze±stwa.
  1503.   U┐ywanie go zwiΩksza dostΩpno╢µ do Internetu z ograniczon▒ liczb▒
  1504.   adres≤w wi▒┐e siΩ jednak z wieloma niedogodno╢ciami. Serwer proxy
  1505.   pozwala na wiΩksz▒ dostΩpno╢µ internetu z sieci chronionej, ale
  1506.   pozostawia wnΩtrze ca│kowicie niedostΩpne z zewn▒trz. Oznacza to brak
  1507.   mo┐liwo╢ci uruchomienia wewn▒trz sieci rozmaitych serwer≤w, talk i
  1508.   archie, oraz bezpo╢redniego wysy│ania list≤w do chronionej sieci.
  1509.   Poni┐sze uchybienia wygl▒daj▒ nieznacz▒ca, ale spos≤b my╢lenia
  1510.   przebiega nastΩpuj▒co:
  1511.  
  1512.  
  1513.   ╖  Otrzyma│e╢ informacjΩ o b│Ωdach w twojej chronionej sieci.  Jeste╢
  1514.      w domu, i decydujesz siΩ  sprawdziµ to. Ale nie mo┐esz. Nie jeste╢
  1515.      w stanie dostaµ siΩ do ┐adnego z komputer≤w poniewa┐ znajduj▒ siΩ
  1516.      za ╢cian▒ ogniow▒.
  1517.  
  1518.  
  1519.   ╖  Twoja c≤rka posz│a do college`u. Chcia│by╢ wys│aµ jej list. Chcesz
  1520.      z ni▒ porozmawiaµ o pewnych prywatnych sprawach, i wola│by╢ raczej
  1521.      by twoja poczta by│a kierowana bezpo╢rednio na tw≤j komputer. Ufasz
  1522.      swojemu administratorowi, ale to jednak prywatna poczta.
  1523.  
  1524.   ╖  Niemo┐liwo╢µ u┐ycia us│ug dzia│aj▒cych z UDP jest wielk▒ wad▒
  1525.      serwer≤w proxych. Choµ mam nadziejΩ, ┐e  ju┐ nied│ugo.
  1526.  
  1527.   Przypadek FTP pokazuje jeszcze jeden problem z serwerami proxymi.
  1528.   Kiedy pobieram pliki lub wydajΩ komendΩ ls, serwer FTP otwiera gniazdo
  1529.   (,,socket'') na maszynie klienckiej i wysy│a o tym informacjΩ. Serwer
  1530.   proxy nie pozwala na to, tak wiΩc FTP nie dzia│a w spos≤b prawid│owy.
  1531.  
  1532.  
  1533.   Poza tym serwery po╢rednicz▒ce dzia│aj▒ powoli.  Z powodu wiΩkszej
  1534.   wydajno╢ci wiΩkszo╢µ innych metod dostΩpu do Internetu bΩdzie szybsza.
  1535.  
  1536.   Je╢li masz przydzielony adres IP, i nie martwisz siΩ o bezpiecze±stwo,
  1537.   nie u┐ywaj ╢cian ogniowych i/lub serwer≤w proxych.  Je╢li nie masz nr.
  1538.   IP, i tak┐e nie martwisz siΩ o bezpiecze±stwo swojej sieci, mo┐esz
  1539.   u┐yµ jednego z ,,emulator≤w IP'' takich jak Term, Slirp lub TIA. Term
  1540.   jest dostΩpny z <ftp://sunsite.unc.edu/>, Slirp z
  1541.   <ftp://blitzen.canberra.edu.au/pub/slirp>, za╢ TIA z
  1542.   <http://markertplace.com/>.  Pakiety te pracuj▒ szybciej, pozwalaj▒ na
  1543.   szybsze po│▒czenia i na wiΩkszy dostΩp z sieci wewnΩtrznej do
  1544.   internetu.  Serwery po╢rednicz▒ce s▒ dobre dla tych kt≤ry maj▒ du┐e
  1545.   sieci z komputerami maj▒cymi mieµ dostΩp ,,w locie'' do internetu z
  1546.   jednorazowym ustawieniem, i minimalnym wk│adem pracy potem.
  1547.  
  1548.  
  1549.   9.  Konfiguracja zaawansowana.
  1550.  
  1551.   Przedstawi│em jedn▒ konfiguracjΩ, kt≤r▒ wypr≤bowa│em przez stworzeniem
  1552.   tego dokumentu. Przy czym ten zarys powinien wystarczyµ dla wiΩkszo╢ci
  1553.   ludzi. My╢lΩ ┐e poni┐szy opis zaawansowanych konfiguracji mo┐e rozwiaµ
  1554.   pozosta│e w▒tpliwo╢ci. Je╢li opr≤cz tego masz jeszcze jakie╢ pytania
  1555.   poza tym co opisa│em, albo ciΩ to po prostu interesuj▒ ciΩ szczeg≤│y
  1556.   zwi▒zane ze firewallami i serwerami proxy mo┐esz przeczytaµ poni┐szy
  1557.   fragment.
  1558.  
  1559.  
  1560.  
  1561.   9.1.  Wielkie sieci wymagaj▒ po│o┐enia nacisku na bezpiecze±stwo
  1562.  
  1563.   Powiedzmy, na przyk│ad, ┐e jeste╢ szefem milicji obywatelskiej i
  1564.   chcesz ,,usieciowµ'' swoj▒ siedzibΩ. Masz piΩµdziesi▒t komputer≤w i 32
  1565.   nr IP (5 bit≤w). Potrzebujesz mo┐liwo╢ci dania r≤┐nych poziom≤w
  1566.   dostΩpu do sieci poniewa┐ powierzasz swoim wsp≤│pracownikom r≤┐ne
  1567.   zadania. Poza tym bΩdziesz potrzebowa│ izolacji okre╢lonych miejsc w
  1568.   sieci od  reszty.
  1569.  
  1570.   Poziomy dostΩpu:
  1571.  
  1572.  
  1573.   1. Poziom zewnΩtrzny - ukazywany wszystkim, tutaj werbujesz i
  1574.      zdobywasz nowych ochotnik≤w.
  1575.  
  1576.   2. Troop poziom ten przeznaczony jest dla ludzi kt≤rzy otrzymali
  1577.      dostΩp z poziomu zewnΩtrznego. Tutaj jest miejsce gdzie uczysz o
  1578.      rz▒dzie dusz i jak zrobiµ bombΩ.
  1579.  
  1580.   3. Mercenary Tutaj jest miejsce gdzie naprawdΩ planujesz chroniµ.
  1581.      Tutaj sk│adujesz wszelkie informacje o tym jak rz▒dy trzeciego
  1582.      ╢wiata zamierzaj▒ podbiµ ╢wiat, twoje plany dla Newt Gingich,
  1583.      Oklahoma City, sk│adujesz tajne informacje.
  1584.  
  1585.   9.1.1.  Konfiguracja sieci
  1586.  
  1587.   Numery IP s▒ ustawione w nastΩpuj▒cy spos≤b:
  1588.  
  1589.  
  1590.  
  1591.   ╖  1 numer to 192.168.2.255, bΩd▒cy adresem rozg│oszeniowym nie
  1592.      u┐ywanym
  1593.  
  1594.   ╖  23 z 32 adres≤w IP jest przydzielonych dla maszyn dostΩpnych w
  1595.      Internecie.
  1596.  
  1597.   ╖  1 dodatkowy adres IP zosta│ przydzielony Linuxowi
  1598.  
  1599.   ╖  1 dodatkowy adres IP zosta│ przydzielony innemu linuxowi
  1600.  
  1601.   ╖  2 numery IP zosta│y przydzielone routerowi
  1602.  
  1603.   ╖  4 pozosta│e pozostaj▒ od│▒czone ale otrzymuj▒ nazwy domenowe: paul,
  1604.      ringo, john, george .
  1605.  
  1606.   ╖  chroniona sieµ ma numer 192.168.2.xxx
  1607.  
  1608.   Teraz budujemy dwie izolowane sieci, ka┐da w innym pokoju. S▒ one
  1609.   trasowane przez ekranowany ethernet i s▒ kompletnie niewidoczne z
  1610.   innych pomieszcze±. Na szczΩ╢cie ekranowany Ethernet zachowuje siΩ tak
  1611.   samo jak zwyczajny ethernet.
  1612.  
  1613.  
  1614.   Ka┐da z tych sieci jest po│▒czona do jednej ze stacji linuxowych na
  1615.   dodatkowych adresach IP.
  1616.  
  1617.   S▒ to serwery plik≤w po│▒czone do obu chronionych sieci. Jest tak,
  1618.   poniewa┐ planujemy daµ dostΩp tak dla sieci Troops ja i wy┐szej.
  1619.  
  1620.   Serwer plik≤w nosi numery 192.168.2.17 dla sieci Troop i 192.168.2.23
  1621.   dla sieci Mercenary.  Maj▒ r≤┐ne adresy poniewa┐ maj▒ dwie r≤┐ne karty
  1622.   sieciowe.  network. IP Forwarding jest wy│▒czony.
  1623.  
  1624.   IP Forwarding na obu stacjach linuxowych tak┐e jest wy│▒czony.  Router
  1625.   nie powinien przesy│aµ pakiet≤w przeznaczonych dla sieci 192.168.2.xxx
  1626.   dop≤ki mu tego wprost nie powiemy, tak wiΩc dostΩp do internetu
  1627.   pozostaje wy│▒czony. Wy│▒czenie przesy│ania IP ma na celu zablokowanie
  1628.   po│▒cze± z sieci Troop do sieci Mercenary  na odwr≤t.
  1629.  
  1630.   Serwer NFS mo┐e ponadto oferowaµ r≤┐ne pliki dla r≤┐nych sieci.
  1631.  
  1632.   To │atwe przy drobnych operacjach z symbolicznymi odniesieniami mo┐na
  1633.   zrobiµ w ten spos≤b ┐e wsp≤lne pliki s▒ dzielone przez wszystkich.
  1634.   U┐ycie tego typu ustawie± i r≤┐nych kart sieciowych umo┐liwia Ci
  1635.   zastosowanie jednego serwera plik≤w dla trzech sieci.
  1636.  
  1637.  
  1638.   9.1.2.  Serwer proxy
  1639.  
  1640.   Teraz, dop≤ki wszystkie trzy poziomu bΩd▒ mo┐liwe do pracy w ramach
  1641.   wyznaczonych zada± bΩd▒ potrzebowa│y dostΩpu do sieci.  ZewnΩtrzna
  1642.   sieµ jest po│▒czona bezpo╢rednio z internetem, tak wiΩc nie ma tu
  1643.   zastosowania dla serwera po╢rednicz▒cego. Sieci Mercenary i Troop
  1644.   znajduj▒ siΩ za ╢cian▒ ogniow▒ wiΩc potrzebny im serwer proxy.
  1645.   Konfiguracja obu jest bardzo podobna. Oba maj▒ takie same adresu IP.
  1646.   Jedyna r≤┐nica polega na nieco innych parametrach.
  1647.  
  1648.  
  1649.   1. Nie ka┐dy mo┐e u┐yµ serwera plik≤w dla dostΩpu do Interntu.
  1650.      Wystawia to go na wirusy i inne brzydkie rzeczu.
  1651.   2. Nie chcemy zezwoliµ sieci Troop na dostΩp do WWW. Przechodz▒
  1652.      szkolenie I jaki kolwiek przep│y informacji m≤g│by zniszczyµ jego
  1653.      efekty.
  1654.  
  1655.   Tak wiΩc w pliku sockd.conf w linuxie w sieci Troop znajdzie siΩ
  1656.   nastΩpuj▒ca linia.
  1657.  
  1658.  
  1659.     deny 192.168.2.17 255.255.255.255
  1660.  
  1661.  
  1662.   a w stacji przeznaczonej dla Mercenary:
  1663.  
  1664.  
  1665.     deny 192.168.2.23 255.255.255.255
  1666.  
  1667.  
  1668.   Teraz w stacji linuxowej sieci Troop wpisujemy:
  1669.  
  1670.  
  1671.     deny 0.0.0.0 0.0.0.0 eq 80
  1672.  
  1673.  
  1674.   Ten tekst m≤wi ┐e zabraniamy dostΩpu wszystkich maszynom pr≤buj▒cym
  1675.   siΩ dostaµ do portu r≤wnego (eq) 80 (http).  Nadal pozwala siΩ na
  1676.   dostΩp do wszystkich us│ug z wyj▒tkiem WWW.
  1677.  
  1678.   Teraz oba pliki powinny zawieraµ linie:
  1679.  
  1680.  
  1681.     permit 192.168.2.0 255.255.255.0
  1682.  
  1683.  
  1684.   by zezwoliµ wszystkim komputerom z sieci 192.168.2.xxx na u┐ycie tego
  1685.   serwera po╢rednicz▒cego zamiast tego kt≤ry zosta│ zakazany (np.  ser¡
  1686.   wer plik≤w i dostΩp do WWW z sieci Troop).
  1687.  
  1688.  
  1689.   W sieci Troop w pliku sockd.conf powinien wygl▒daµ w ten spos≤b:
  1690.  
  1691.  
  1692.     deny 192.168.2.17 255.255.255.255
  1693.     deny 0.0.0.0 0.0.0.0 eq 80
  1694.     permit 192.168.2.0 255.255.255.0
  1695.  
  1696.  
  1697.  
  1698.   a w sieci Mercenary mniej wiΩcej tak:
  1699.  
  1700.  
  1701.     deny 192.168.2.23 255.255.255.255
  1702.     permit 192.168.2.0 255.255.255.0
  1703.  
  1704.  
  1705.  
  1706.   To powinno zako±czyµ konfiguracjΩ wszystkiego. Ka┐da z sieci jest
  1707.   izolowana, z prawid│owymi ustawieniami interakcji. Ka┐dy powinien byµ
  1708.   szczΩ╢liwy.
  1709.  
  1710.   Dalej... Podbij ╢wiat...
  1711.  
  1712.   10.  Od t│umacza.
  1713.  
  1714.   ZdajΩ sobie sprawΩ ile w tym tekscie jest potkniΩµ jΩzykowych,
  1715.   przeinacze±.  Je╢li kt≤re╢ ciΩ dra┐ni▒ prze╢lij mi swoje uwagi.  Aha,
  1716.   jeszcze jedno. Wyra┐enia firewall i ╢ciana ogniowa oraz proxy i serwer
  1717.   po╢rednicz▒cy  traktujΩ (przynajmniej na razie) zamiennie. (choc ju┐
  1718.   wiΩkszo╢µ polskich odpowiednik≤w (na ┐yczenie publiczno╢ci) usun▒│em.
  1719.  
  1720.   Celowo pozostawiam tekst bez zwyczajowego (c) t│umacza ;-)
  1721.  
  1722.  
  1723.  
  1724.  
  1725.  
  1726.  
  1727.  
  1728.  
  1729.  
  1730.  
  1731.  
  1732.  
  1733.  
  1734.  
  1735.  
  1736.  
  1737.  
  1738.  
  1739.  
  1740.  
  1741.  
  1742.  
  1743.  
  1744.  
  1745.  
  1746.  
  1747.  
  1748.  
  1749.  
  1750.  
  1751.  
  1752.  
  1753.  
  1754.  
  1755.  
  1756.  
  1757.  
  1758.  
  1759.  
  1760.  
  1761.  
  1762.  
  1763.  
  1764.  
  1765.  
  1766.  
  1767.  
  1768.  
  1769.  
  1770.  
  1771.  
  1772.  
  1773.  
  1774.  
  1775.  
  1776.  
  1777.  
  1778.  
  1779.  
  1780.  
  1781.  
  1782.  
  1783.