Редактирование: UNИX, весна 2009, 10 лекция (от 06 мая)
Материал из eSyr's wiki.
Внимание: Вы не представились системе. Ваш IP-адрес будет записан в историю изменений этой страницы.
Правка может быть отменена. Пожалуйста, просмотрите сравнение версий, чтобы убедиться, что это именно те изменения, которые вас интересуют, и нажмите «Записать страницу», чтобы изменения вступили в силу.
Текущая версия | Ваш текст | ||
Строка 67: | Строка 67: | ||
* Мелочи типа QoS, баланс. нагрузки | * Мелочи типа QoS, баланс. нагрузки | ||
От базовой структуры мы должны были перейти к решению частных задач, но это мы и не сделали. | От базовой структуры мы должны были перейти к решению частных задач, но это мы и не сделали. | ||
- | |||
- | = Конспект Kda = | ||
- | Мы не успели очень многое. | ||
- | Можно оставить на следующий семестр. | ||
- | Мысль вторая: а что делать сейчас? | ||
- | Мысль третья: как должен выглядеть экзамен и кто его будет проводить? | ||
- | |||
- | По поводу первого: вопрос не горящий. | ||
- | Можем продолжить в следующем семестре или не продолжить. | ||
- | Возможно, возобновятся попытки разработки для девелоперов. | ||
- | Если лектор будет этим заниматься, времени у него не хватит. | ||
- | |||
- | == Shorewall == | ||
- | Вернемся к теме нашего разговора. | ||
- | У нас есть пункт номер 2, что делать сегодня? | ||
- | Присутствующий здесь Александр произнес слово ShoreWall. | ||
- | Это продукт под iptables, который предназначен для того, чтобы вместо скриптов iptables заниматься | ||
- | более разумными вещами. | ||
- | |||
- | === Действия администратора === | ||
- | Какие действия ожидаются от администратора? | ||
- | Нужно нарисовать устройство сети. | ||
- | Затем карту нужно интепретировать в терминах ShoreWall. | ||
- | Какие есть группы хостов в смысле доступа к ним. | ||
- | Часто они совпадают с подсетями. | ||
- | Есть подключение к Интернеру — одна подгруппа и другая зона с политикой безопасности. | ||
- | Это все конфигурационные файлы. | ||
- | Затем вчерне описываются правила доступа из одной зоны в другую. | ||
- | Доступ снаружи блокируется напрочь, а доступ изнутри наружу ограничен. | ||
- | |||
- | === Хитрости === | ||
- | Потом более хитрые хитрости. | ||
- | Есть сервер, на который нужно делать проброс портов. | ||
- | Это делается в терминах ShoreWall. | ||
- | При этом достигается довольно разумная отвязка от реальных ip-адресов и от компьютеров. | ||
- | Даже достигается отвязка от локальных подсетей. | ||
- | Оперируем не понятиями подсети за интерфейсом, а понятием зоны. | ||
- | Разные зоны могут лежать за различными интерфейсами. | ||
- | Если сложная конфигурация, не нужно описывать зоны в файле интерфейсов. | ||
- | Возникает отвязка от нижнего уровня, мы манипулируем зонами без привязки к их расположению. | ||
- | |||
- | === Специфика === | ||
- | В общую структуру добавлена поддержка различной специфики. | ||
- | Адрес реальный, но временный, ADSL, нет ни одного нормального адреса (DHCP). | ||
- | Нельзя делать NAT через интерфейс, адрес которого может меняться, нужен маскарадинг. | ||
- | Указываем тип сети, а в результате адрес будет превращен. | ||
- | |||
- | === Работа === | ||
- | Описывается структура и есть компилятор на шелле и на перле. | ||
- | |||
- | === Достоинства === | ||
- | В чем главное достоинство? | ||
- | Примерно в том же, что и у pf. | ||
- | Он предназначен для системного инженера, который может быть и влез бы в iptables, но у него сложная задача, легко | ||
- | ошибиться. | ||
- | Есть файрвол и нужен полезный инструментарий, ориентированный на его задачу. | ||
- | |||
- | Второе достоинство. | ||
- | Если посмотреть внимательно на то, с помощью каких инструментов мы решаем задачу, там много всего дергается. | ||
- | В ShoreWall все сведено воедино и описывается в одном конфиге. | ||
- | В ShoreWall примерно такая же идея, как в АльтЛинукс. | ||
- | Комментируем что нужно. | ||
- | |||
- | Если инструмент осваиваем, с ним можно идти куда угодно. | ||
- | |||
- | === Недостатки === | ||
- | Есть и недостатки. | ||
- | Первый недостаток. | ||
- | Это полноценная сетевая подсистема, разве что интерфейсы поднимаются вручную. | ||
- | Если есть альтернативная система в дистрибутиве, то нужно отключить ее части для корректной работы. | ||
- | Это нормальная ситуация для таких сложных продуктов. | ||
- | |||
- | Другой недостаток. | ||
- | Последний стабильный релиз ShoreWall 4.2.8. | ||
- | В 2000 году не было того, что есть сейчас, а совместимость идет к тому времени. | ||
- | Тем не менее, проект развивается. | ||
- | Можно использовать девелопмент-версию, но это делает вас разработчиком. | ||
- | |||
- | == Альтернативы ShoreWall == | ||
- | На сегодняшний день это не прорыв, хотя, возможно, они были первыми. | ||
- | Есть SuseFirewall2. | ||
- | Документированы не только внутренности, но и 3 основных UseCase'а. | ||
- | Чем хорошо? | ||
- | Берем реальную ситуацию и правим. | ||
- | Все это делается путем редактирования конфиг-файлов. | ||
- | Описываем сетевую ситуацию. | ||
- | |||
- | У Suse один из самых продвинутых конфигураторов. | ||
- | Можно сидеть на одной машине и конфигурировать одним окошком несколько клиентских. | ||
- | Yast — yet another system tool. | ||
- | Работа через yast документирована, а через конфиг-файлы не до конца. | ||
- | Конфиги компилируются в один файл. | ||
- | Таких продуктов чертова прорва. | ||
- | |||
- | == Проблема iptables == | ||
- | Когда лектор начал работать с Линукс и познакомился с iptables, он пришел в уныние. | ||
- | Нужен нормальный язык описания, структурированное описание. | ||
- | Естественно, к действительности это отношения не имеет. | ||
- | Бездна всяких ситуаций. | ||
- | Либо нужно сужать поле решаемых задач, либо резко усложнять модель, в результате чего возникает | ||
- | умопомрачительный синтаксис, который хуже тем, что его никто не использует. | ||
- | |||
- | == FireHOL == | ||
- | Она показалась интересной тем, что в ней используется структурированный конфиг-файл. | ||
- | Введены абстрактные понятия. | ||
- | Когда хотим принять решение или узнать, что происходит в сети, сразу знаем, куда смотреть. | ||
- | Объектная модель довольно остроумная, но описывает не все области применения. | ||
- | 80\% случаев под эту модель подпадает. | ||
- | Это довольно много. | ||
- | К сожалению, нет времени продолжить разговор. | ||
- | Наконец перевели разговор на описание сети вместо описания правил. | ||
- | |||
- | == Краткое резюме == | ||
- | Iptables слишком сложный инструмент. | ||
- | Вышеописанное — высокоуровневые средства, позволяющие работать в терминах структуры сети. | ||
- | |||
- | == GUI == | ||
- | Возможно, лектор ошибается, но на рынке таких программ конкуренция большая, но они малокачественные. | ||
- | Лектор предлагает обратить внимание на три вещи. | ||
- | |||
- | === Firewall Builder === | ||
- | Эта штука представляет собой трехуровневый программный продукт, который позволяет настроить и загрузить в эксплуатацию | ||
- | различные железки, поддерживающие некоторые интерфейсы. | ||
- | Описываем поведение сети с помощью инструментов. | ||
- | Можно сконфигурировать все файрволы в сети. | ||
- | Человек имеет один большой профиль и одной кнопкой внедряет его в сеть. | ||
- | |||
- | === FireStarter === | ||
- | Еще можно упомянуть о FireStarter. | ||
- | Под линукс есть инструменты, позволяющие наблюдать, кто с кем соединяется. | ||
- | |||
- | === Средства, встроенные в дистрибутив === | ||
- | Средства представляют собой, как правило, усеченные конфигураторы. | ||
- | Если задача состоит в том, чтобы открыть один порт, можно зайти в конфигуратор, открыть там файрвол и поставить галочку. | ||
- | Разработчики дистрибутивов стараются что-нибудь предложить, чтобы пользователь, желающий нажать кнопку и открыть порт, | ||
- | увидел кнопку, нажал ее и успокоился. | ||
- | На этом тему настроек можно прикрыть. | ||
- | |||
- | == DMZ == | ||
- | Поговорим про термин, который уже возникал. | ||
- | Про нее существует множество легенд, не соответствующих действительности. | ||
- | Ситуация следующая. | ||
- | Возможно, есть технологии у циски или еще у кого-то, которые делят на зоны сеть. | ||
- | Ее и назвали DMZ. | ||
- | В маршрутизаторе есть кнопка DMZ. | ||
- | Непонятно, что это, но она есть. | ||
- | На машину будут попадать все пакеты из сети без фильтрации. | ||
- | |||
- | === Ситуации === | ||
- | DMZ — это такая технология организации сети, которая приносит много полезного. | ||
- | В сущности, это очень простая вещь. | ||
- | Есть Интернет, есть сеть и есть файрвол. | ||
- | Какие часто встречающие функции бывают у машины? | ||
- | Обслуживание клиентов. | ||
- | Выход в интернет — NAT. | ||
- | Хотят качать ослом на дикой скорости — нужно резать. | ||
- | Ограничение на захват трафика одной машиной. | ||
- | Клиентские машины могут захотеть резко что-то слать на 25 порт. | ||
- | Вполне определенное действие. | ||
- | Если стоит сервер, к нему применяется подобная картина действий. | ||
- | Преобразование адресов. | ||
- | Какие-то правила общения с Интернетом. | ||
- | |||
- | Если внимательно присмотреться, между сервером и клиентской машиной есть существенная разница. | ||
- | Пусть 25 порт. | ||
- | Преобразование один-в-один или проброс портов. | ||
- | На клиентские машины порты не пробрасываются. | ||
- | Предположительно будет вход по Secure Shell. | ||
- | Есть некая политика, по которой на интерфейсы можно заходить. | ||
- | Некоторые веб-интерфейсы не умеют https. | ||
- | Существуют специальные компьютеры, с которых можно заходить, а с остальных нельзя. | ||
- | Есть разница в том, как их обслуживать. | ||
- | |||
- | Есть еще одна забавная штука. | ||
- | Веб-почта расположена на одной машине. | ||
- | Заходим в белочку по https, она лезет на IMAP. | ||
- | Хорошо бы, чтобы не было лишних накладных расходов на шифрацию SSL. | ||
- | Если есть другие пользователи в той же сети, то, конечно, никакого доверия быть не может, нужно SSL. | ||
- | Если мы выделим отдельную подсеть, в которой будут только наши сервера, причем так, что обеспечим правильное обращение, | ||
- | то можно будет не использовать шифрацию, т.к. никто не подслушает. | ||
- | |||
- | === Суть DMZ === | ||
- | Образуется парк компьютеров или сеть. | ||
- | Информация внутри подсети будет достаточно секретная, ее никто не подслушает. | ||
- | Этот кусок называется DMZ, в нем не нужно вооружаться одному компьютеру против другого. | ||
- | Соединение допущено только, если позволяет файрвол. | ||
- | |||
- | === Реализация === | ||
- | Как это реализуется? | ||
- | На маршрутизаторе или свиче заводится 3 независимых локальных сети как VLAN. | ||
- | Три сети на один интерфейс или, что проще, 3 карточки. | ||
- | На серверной замок. | ||
- | Ничего чудесного тут нет, это раз, и ничего определенного тоже нет. | ||
- | Это не протокол, не взаимодействие. | ||
- | |||
- | == Экзамен == | ||
- | По поводу экзамена. | ||
- | Лектор не представляет, каким образом можно принимать экзамен по этому курсу. | ||
- | |||
{{UNИX, весна 2009}} | {{UNИX, весна 2009}} | ||
{{Lection-stub}} | {{Lection-stub}} |