Различия между версиями 1 и 13 (по 12 версиям)
Версия 1 от 2008-07-07 21:23:55
Размер: 12653
Редактор: eSyr
Комментарий:
Версия 13 от 2008-07-13 20:13:55
Размер: 20115
Редактор: MaximByshevskiKonopko
Комментарий:
Удаления помечены так. Добавления помечены так.
Строка 2: Строка 2:
##{02:31:00}
Строка 3: Строка 4:
Это тематика позапрошлого дня, когда мы гворили про сеть. Мы потрогали стек протоколов, в том числе, гворили о маршрутизации, и ещё лектор говорил о том, что для того, чтобы он был маршрутизатором, нужно выставить системную переменную (ip forwarding). Надо сказать, что перекладывание из одного интерфейса в лругой каких-то пакетов --- задача частная, которая в общем случае выглядит следующим образом: есть задача по перераспределению, преобразованию и ограничению трафика. То есть, манипулировать какими-то данными, которые проходят через маршрутизатор (возм., они зарождаются в нём, возм., они ему направлениы), модифицировать этот трафик собразно нашим нуждам, и накладывать ограничения на трафик, начиная блокировкой, заканчивая шейпингом. Под трафиком имеется в виду некий массив данных, передаваемых по сети. Вспомним о том, что мы говорили о компьютерных сетях и стеке протоколов TCP/IP. В частности, говорилось о задаче маршрутизации, говорилось о том, что маршрутизацией обычно занимаются выделенные для этого устройства --- маршрутизаторы. В роли маршрутизатора может выступать и обычный компьютер. Для того, чтобы компьютер под управлением ОС Linux был маршрутизатором, нужно выставить параметр ядра ip_forwarding.
Строка 5: Строка 6:
Только они неправильно расположены: Маршрутизация может быть рассмотрена как частная задача. Более общей задачей является задача ограничения, перераспределения и преобразования сетевого траффика (под трафиком понимается обобщенный массив передаваемых по сети данных). То есть, компьютер должен манипулировать данными, которые проходят через него (возможно, он и посылает эти данные, или они направлены ему), каким-либо образом модифицировать эти данные и накладывать на траффик ограничения, начиная от простой фильтрации данных, поступающих с определенного компьютера или относящихся к определенному протоколу и заканчивая более тонкими ограничениями, например, на объём передаваемого траффика (шейпинг).

Итак, мы имеем следующие задачи:
Строка 9: Строка 12:
Это задачи межсетевого экрана.
Строка 10: Строка 14:
Обратите внимание, что кое-какие вещи, например, простейшая маршрутизация, делаются более или менее автоматически. Если соотв. параметр. ядра включён и если таблицы маршрутизации правлиьные, то оно будет работать автоматически. Но надо понимать, что это фича интерфейса (?) Некоторые из этих задач выполняются, в некотором роде, автоматически. Если установлен соответствующий параметр ядра и таблицы маршрутизации правильные, то корректная маршрутизация будет производиться ядром сразу. Также, если послать пакет на недоступный адрес, то он не передастся. Это некоторое "естественое" ограничение траффика.
Строка 12: Строка 16:
В принципе, межсетевой экран как инструмент --- штука совокупная. Особенно, когда вспоминаем, что в стеке протоколов 4 уровня. По всей видимости, можно вообразить решение этих задач на каждом из этих уровней. Представим себе комплекс задач. Межсетевой экран как таковй это подход от подзадачи. У нас есть задача бесп. безопасеность работы в сети, эта задача реш. разными способами, в частности переч. тремя, и эти способы могут быть реализованы различными инструментами. Такой трёхуровневый подход: задача-решение-инструмент. Обратите внимание, что межсет. экран --- решение. С другой стороны, когда мы гворим, что для задачи огр. дотупа в сеть. сп. межсетевой экран, мы не гвоорим, каким образом это получается. Конкретный инструмент может быть iptables, iproute2, секатор. То есть, решение реализуется не одним инструментом. В этом цикле может быть много задач, решений и инструментов. И когда мы гворим про МС, мы говорим про реш., которое восх. к инстр. Все три из упомянутых задач могут возникнуть на любом из 4 уровней стека TCP/IP. Межсетевой экран --- это некий совокупный инструмент для их решения, он может состоять из многих программ и аппаратных средств. Рассмотрим подробнее задачи межсетевого экрана на каждом из уровней TCP/IP.
Строка 14: Строка 18:
Это к чему. Нельзя говорить, что межстеетвой экран это iptables. С жругой стороны. нельзя говорить о том, что МС --- гарантия безоп. сети. Это никакое набл. или практ. результат. Это результат того, что решение не явл. задачей и не явл. инструментом. Далеко не всегда одно реш. удовл., и далеко не всегда это решение исп. iptables. === Интерфейсный уровень ===
==== Ограничение ====
Ограничение на интерфейсном уровне. Примером задачи может служить фильтрация по MAC-адресам. Средства такой фильтрации есть в iptables.
Строка 16: Строка 22:
Вернёмся к 4 урвням протоколов и рассм. наши три задачи. Попробуем себе представить, на каком из этих уровней. ==== Перераспределение ====
Обычно распределение на интерфейсном уровне делается следующим образом: в среде передачи данных создается искуственным образом виртуальные сети (VLAN), например, добавлением байта в теле Ethernet-фрейма, указывающего номер виртуальной сети. На маршрутизаторе регистрируются виртуальные интерфейсы, соответствующие VLAN, и таким образом задача перераспределения переносится с интерфейсного уровня на сетевой. Это делается с помощью специального модуля ядра (vlanutils) и iptables.
Строка 18: Строка 25:
Огр. на инт. уровне. Типичная задача --- фильтрация по MAC-адресам. Это iproute2. ==== Преобразование ====
Преобразование таким же образом выносится на уровень выше посредством VLAN.
Строка 20: Строка 28:
На инт. уровне перерасп. Такая задача возн., когда у нас единая среда перед. данных, на которой должно находиться несколько виртуальных, VLAN. Когда eth-фреймы раскрашиваем по цветам. На уровен линукса это делается так --- регистрируются вирт. сетевые интерфейсы, которые привязываются к соотв. VLAN-ам. То есть задача расп. сводится к задаче на уровне сетевом. iptables. Обычно эти задачи на интерфейсном уровне не очень востребованы и решаются не компьютерами, а специальными аппаратными средствами.
Строка 22: Строка 30:
Вопрос общего плана: насколько это вобще востребовано (за иск. vlanов, котрые делаются аппаратно). Наверное, не чоень. ##{02:53:07}
=== Сетевой уровень ===
==== Ограничение ====
Наиболее часто здесь решается задача фильтрации по IP-адресам. У пакета есть отправитель и получатель, на основе их адресов принимается решение, что делать с пакетом. Также иногда ограничиваются некоторые виды ICMP-сообщений. Делается это с помощью iptables.
##Мы видели в альтераторе ICMP, который можно было разрешить (скриншот?)
Строка 24: Строка 36:
Ограничение по IP. Основное, о чём думают при слове межсетевые экраны. Ибо на основе ip адресатов и получателей разруливается большинство вещей. ==== Перераспределение ====
Распределение на уровне IP всегда нужно --- это, в частном случае, маршрутизация, основная задача на этом уровне. Нужно создать некоторое множество правил, согласно которым управлять пакетами. Иногда эта система правил может оказаться очень сложной. Выполняют эту задачу iptables и iproute2.
Строка 26: Строка 39:
Перераспределение. Если мы решаем эту задачу нест. образом, то созд. множество правил, по которым это распр. осуществляется. Для этог есть ipt и ipr2. ==== Преобразование ====
Преобразование IP-адресов --- также очень часто встречающаяся задача. Каким образом, например, компьютеры локальной сети, могут подключаться к серверам в Интернете, если они имеют локальный адрес? Один метод -- это использование proxy, но он неудобен. Обычно используется NAT (Network Address Translation --- преобразование сетевых адресов). Если машина из внутренней сети посылает пакет наружу, на маршрутизаторе IP-адрес этой машины подменяется IP-адресом машрутизатора во внешней сети, и, когда поступает ответ, адрес преобразуется обратно. Делается это опять-таки с помощью iptables.
Строка 28: Строка 42:
Преобразование. Зачем нужно? NAT. Это нужно для всё ещё непонтной ситуации, как бьыть, когда ip имеют диапазон интранетовский, но хотят в итнернет. Один способ --- прокси, но это кардинально меняет ситауацию. Преобразование IP-адресов --- такой метод, когда машина из внутр. сети, отсылая его наружу, запоминается, какой это был пакет, и тогда с ip внешним уходит пакет по назн., и когда на него приходит ответ, ip преобр. обратно, по каким-то признакам выявляется кому ответ, и пакет взвр. обратно хосту. Делается это опять же с помощью iptable === Траспортный ===
==== Ограничение ====
Ограничение по портам, типичное ограничение на этом уровне, производится с помощью iptables. Ограничение по объёму, traffic control, входит в пакет iproute2 (программа tc).
Строка 30: Строка 46:
Огр. транс: граничение по портам --- iptables. Ограничение по объёму --- iproute2. ==== Распределение ====
Одна из основных задач на этом уровне --- проброс портов (port forwarding), позволяет перенаправлять данные с какого-либо порта одного компьютера на какой-либо порт другого. Здесь также используется iptables.
Строка 32: Строка 49:
Перерасп. транс. уровня. Проброс портов. ==== Преобразование ====
NAT работает и на транспортном уровне, т.к. задействует некоторые свойства пакета, связанные с этим уровнем. Этим занимается iptables.
Строка 34: Строка 52:
Преобр. NAT. Поск., он задействует понятие сост., в том числе TCP. === Прикладной ===
==== Ограничение ====
Фильтрация. Для этого существуют различные программы для различных протоколов, например, squid может фильровать HTTP-соединения по адресу прикладного уровня, URL. Для запрета конкретных протоколов, наприер, ICQ, есть инструмент l7filter для netfilter (iptables). Он по последовательности пакетов определяет, какой протокол ими реализуется. Простейшее взаимодействие с прикладным уровнем есть также и в iptables. Еще одна задача, относящаяся к этому уровню и часто встречающаяся --- антиспам. Анализируется адрес протокола прикладного уровня SMTP, то есть e-mail, анализируется содержимое прикладного уровня, содержимое письма.
Строка 36: Строка 56:
Огр. на прикл. уровне. Да, мы только что в сквиде это делали. l7-filter. Он может выяснять, что за пртокол прикл. уровнгя идёт. Кроме того, они аккуратно промеряют тайминги. Фактически, фильтрация на этом уровне --- дело каждого отдельного приложения. Фактически, фильтрация на этом уровне --- это чаще всего дело отдельного специального приложения.
Строка 38: Строка 58:
Распред. на прикл. Если о нём идёт речь, то оно должно быть реализовано в протоколе. Пример --- рассылка почты. ==== Распределение ====
Если речь идет о распределении на уровне прикладного протокола, значит, оно должно быть реализовано в этом самом протоколе. Допустим, пересылка почты реализуется на уровне e-mail адресов, доменов, и т.д.
Строка 40: Строка 61:
То же саоме --- преобразование. Хотя, его также делает iptables. Пример --- connection tracker (FTP, IRC). ==== Преобразование ====
То же самое --- реализуется обычно отдельным приложением. Хотя, преобразование на прикладном уровне делает также iptables. Когда в прикладном протоколе используется адрес клиента (примером может служить FTP), то нельзя, чтобы туда просочился локальный адрес. iptables с этим справляется.
Строка 42: Строка 64:
|| || Интерфейсный уровень || Сетевой            || Транспортный       || Прикладной ||
|| Ограничение       || iptables || iptables || iptables, iproute2 || l7-filter, iptables, squid, спам-фильтры, ... ||
|| Перераспределение || iptables             || iptables, iproute2 || iptables, iproute2 || ... ||
|| Преобразование    || ?                    || iptables || iptables || iptables, ... ||
Сводная таблица:
||
|| Интерфейсный уровень || Сетевой || Транспортный || Прикладной ||
|| Ограничение || iptables || iptables || iptables, iproute2 || l7-filter, iptables, squid, спам-фильтры, ... ||
|| Перераспределение || iptables || iptables, iproute2 || iptables, iproute2 || ... ||
|| Преобразование || ? || iptables || iptables || iptables, ... ||
Строка 47: Строка 70:
И теперь ответьте на вопрос, про какой инструмент стоит говорить? Да, есть задачи, с которыми справляется и только делает iproute2. Но лектор не готов сейчас рассказывать про iproute2, это такая мощная внутренная программа. Мы видим, что основным инструментом в нашей задаче является iptables, поэтому мы и рассмотрим его подробнее. Но нельзя забывать, что для решения этой задачи могут потребоваться и другие инструменты.
Строка 49: Строка 72:
Достаточно неплохо введение в эту тему излождено в КМ. Идея состоит в следующем. Тут надо на самом деле... лектор не любит линуксовый фаерволл, бсдшный на много прямее... Идея в том, что у нас приходят пакеты и мы их обрабатываем в неск. цепочках. Сначала мы обр. пакеты в цепочке преобр, потом фильтр, потом out. Потом выяснилось, что на самом деле не все пакеты одинаковые. в зависимочсти от гтоо, кто адресат и получатель пакета, надо разные решения получать. Для этого завели таблицы цеполчек. Идея в след.: даже по умолч. есть три пути пакета: пакет, который нам, пакет, который от нас уходит, и пакет, который мы марш. Для этого удобно исп. неск. разных групп правил. Цепочка наз. цепочкой по одной простой причине. Это некий упорядоченный списко правил, который сост. из двух частей. Сначала она опис. условие, вид пакета, а вторая половинка описывает, что с пакетом делать. И способ обр. следующий: если левая половинка вып., то делается то, что в правой и цепочка закачивается. Таким образом, приходит пакет, он обр., обр, пока не найдётся правило, которое он обр. А дальше понятно. Когда пакет проходит через одну цпеочку, потом, вторую, третью и так далее. Если он не попал в такое правило, где его не надо выбрасить или передать в какую-то конкр. таблицу. Достаточно неплохо введение в эту тему изложено в Курячем-Маслинском, в соответствующей главе ([[http://heap.altlinux.org/alt-docs/modules/LinuxIntro.george/Service.html|Настройка сети -> Межсетевой экран]]).

##Я так понимаю, про iptables подробнее в следующей лекции. Если неправильно понимаю, напишите --- переведу оставшееся -- -- VladimirLysikov <<DateTime(2008-07-12T23:36:09Z)>>

##Идея состоит в следующем. Тут надо на самом деле... лектор не любит линуксовый фаерволл, бсдшный намного прямее... Идея в том, что у нас приходят пакеты и мы их обрабатываем в нескольких цепочках. Сначала мы обрабатываем пакеты в цепочке правил mangle, для преобразования, потом в цепочке специального преобразования, nat, подмены адресов, потом в цепочке, предназначенной для фильтрации, filter.

##Когда разрабатывали всю эту систему, выяснилось, что на самом деле не все пакеты одинаковые в нашей системе. В зависимочсти от того, кто адресат и получатель пакета, очень разные решения нужно принимать. Для этого завели таблицы, состоящие из цепочек. Вы видите (ссылка на учебник?) архитектуру таблиц по умолчанию, а можно завести сколько угодно и таблиц, и цепочек, по-моему.

##Идея в следующем: даже по умолчанию есть три типа пакетов: пакеты, которые предназначены нам, пакеты, который от нас уходят, и пакеты, которые мы сквозь себя маршрутизируем. Для этого удобно использовать несколько разных групп правил. Цепочка называется цепочкой, т.к. это упорядоченный список правил, каждое из который состоит из двух частей. Левая половинка правила описывает вид пакета, т.е. условие на пакет, а вторая половинка правила описывает, что с таким пакетом делать.

##И способ обработки следующий: если левая половинка, т.е. условие, выполняется, то делается то, что в написано в правой и обработка текущей цепочки закачивается.

##Это называется политика "first wins".

##Таким образом, приходит пакет, мы что-то с ним делаем, пока в цепочке не найдётся правило, которое подходит ему по типу. И есть в цепочке правило по умолчанию, что делать с теми пакетами, к которым не подошло ни одно правило. Например, выбрасывать, или передавать дальше. Кстати, дальше -- куда?.. На следующую таблицу, или цепочку. Все строго. Раньше были только цепочки (ipchains), а теперь таблицы (iptables). Когда пакет проходит через одну цепочку, тем или иным способом, он проходит в следующую (порядок цепочек задан), и так далее. Если только он не попал в такое правило, где в качестве действия указано "выбросить" или "передать в конкретную другую цепочку".

##Все-таки по таблицам, если ему сказали DNAT, то он попадет в цепочку NAT, так просто в цепочку NAT он не попадет. Лектор мало ел. Давайте разберемся. Кто из них кто. Лектор никогда не любил эту штуку. Цепочки объединены в таблицу.

##Дима: OUTPUT не одна цепочка, их много разных.

##ГК: Нет, на линуксе ничего кроме этого безобразия нет. Нельзя, нельзя читать manual к iptables. Дим, попробуйте объяснить эту картинку.

##Дима: Прямоугольнички, которые обозначены большими буквами на картинке, то есть PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING — это названия цепочек. А в правом верхнем углу каждого прямоугольничка указано, в каких таблицах существует такая цепочка. То есть, когда пакет приходит, он сначала идет в цепочку PREROUTING таблицы mangle, потом PREROUTING nat, потом смотрится, какое решение о маршрутизации принимать...

##ГК: Кто во что объединён, Дим?..

##Дима: Цепочки объединены в таблицы.

##ГК: Зачем? В данном случае наоборот. Или я чего-то непонял?

##Дима: Нет, смотрите. Есть INPUT: есть цепочка INPUT в таблице mangle, есть цепочка INPUT в таблице filter. Это разные цепочки. Выполняется сначала одна, потом другая.

##ГК: Нет.

##?: Прямоугольник — это не одна цепочка.

##ГК: Ну и? Давайте тогда про путь пакета.

##Дима: Вот пакет пришел из сети. Он пойдёт вначале в цепочку PREROUTING таблицы mangle, потом он пойдёт в цепочку PREROUTING таблицы nat, потом принимается промежуточное решение о маршрутизации...

##ГК: Тогда объясните мне, почему они во что-то объединены?

##Дима: .... это, если я правильно помню, обоснование приблизительно такое было. Разные типы действий над пакетами разрешены в разных таблицах. Например, сказать слово SNAT, т.е. выполнять...

##ГК: Все, я понял. Самое смешное, Дим, что они разрешены везде. У меня получалось это объяснить, когда-то давно... Давайте сделаем так. На сегодня мы бардак прекратим.
Строка 56: Строка 123:
|| Готовность (%) || Продолжительность (ак. ч.) || Подготовка (календ. ч.) || Полный текст (раб. д.) || Предварительные знания || Level || Maintainer                       || Start date || End date ||
|| 0 || 1 || 1 || 1 || || 1 || PavelSutyrin, VladimirLysikov    || || ||
|| Готовность (%) || Продолжительность (ак. ч.) || Подготовка (календ. ч.) || Полный текст (раб. д.) || Предварительные знания || Level || Maintainer || Start date || End date ||
|| 67 || 1 || 1 || 1 || || 1 || PavelSutyrin, VladimirLysikov, MaximByshevskiKonopko || || ||

Строка 59: Строка 128:
CategoryLectures CategoryPspo CategoryMpgu CategoryUneex  CategoryLectures CategoryPspo CategoryMpgu CategoryUneex

Межсетевые экраны: теория

Вспомним о том, что мы говорили о компьютерных сетях и стеке протоколов TCP/IP. В частности, говорилось о задаче маршрутизации, говорилось о том, что маршрутизацией обычно занимаются выделенные для этого устройства --- маршрутизаторы. В роли маршрутизатора может выступать и обычный компьютер. Для того, чтобы компьютер под управлением ОС Linux был маршрутизатором, нужно выставить параметр ядра ip_forwarding.

Маршрутизация может быть рассмотрена как частная задача. Более общей задачей является задача ограничения, перераспределения и преобразования сетевого траффика (под трафиком понимается обобщенный массив передаваемых по сети данных). То есть, компьютер должен манипулировать данными, которые проходят через него (возможно, он и посылает эти данные, или они направлены ему), каким-либо образом модифицировать эти данные и накладывать на траффик ограничения, начиная от простой фильтрации данных, поступающих с определенного компьютера или относящихся к определенному протоколу и заканчивая более тонкими ограничениями, например, на объём передаваемого траффика (шейпинг).

Итак, мы имеем следующие задачи:

  • Ограничение (фильтрация и шейпинг)
  • Перераспределение (маршрутизация, перенаправление, балансировка)
  • Преобразование

Это задачи межсетевого экрана.

Некоторые из этих задач выполняются, в некотором роде, автоматически. Если установлен соответствующий параметр ядра и таблицы маршрутизации правильные, то корректная маршрутизация будет производиться ядром сразу. Также, если послать пакет на недоступный адрес, то он не передастся. Это некоторое "естественое" ограничение траффика.

Все три из упомянутых задач могут возникнуть на любом из 4 уровней стека TCP/IP. Межсетевой экран --- это некий совокупный инструмент для их решения, он может состоять из многих программ и аппаратных средств. Рассмотрим подробнее задачи межсетевого экрана на каждом из уровней TCP/IP.

Интерфейсный уровень

Ограничение

Ограничение на интерфейсном уровне. Примером задачи может служить фильтрация по MAC-адресам. Средства такой фильтрации есть в iptables.

Перераспределение

Обычно распределение на интерфейсном уровне делается следующим образом: в среде передачи данных создается искуственным образом виртуальные сети (VLAN), например, добавлением байта в теле Ethernet-фрейма, указывающего номер виртуальной сети. На маршрутизаторе регистрируются виртуальные интерфейсы, соответствующие VLAN, и таким образом задача перераспределения переносится с интерфейсного уровня на сетевой. Это делается с помощью специального модуля ядра (vlanutils) и iptables.

Преобразование

Преобразование таким же образом выносится на уровень выше посредством VLAN.

Обычно эти задачи на интерфейсном уровне не очень востребованы и решаются не компьютерами, а специальными аппаратными средствами.

Сетевой уровень

Ограничение

Наиболее часто здесь решается задача фильтрации по IP-адресам. У пакета есть отправитель и получатель, на основе их адресов принимается решение, что делать с пакетом. Также иногда ограничиваются некоторые виды ICMP-сообщений. Делается это с помощью iptables.

Перераспределение

Распределение на уровне IP всегда нужно --- это, в частном случае, маршрутизация, основная задача на этом уровне. Нужно создать некоторое множество правил, согласно которым управлять пакетами. Иногда эта система правил может оказаться очень сложной. Выполняют эту задачу iptables и iproute2.

Преобразование

Преобразование IP-адресов --- также очень часто встречающаяся задача. Каким образом, например, компьютеры локальной сети, могут подключаться к серверам в Интернете, если они имеют локальный адрес? Один метод -- это использование proxy, но он неудобен. Обычно используется NAT (Network Address Translation --- преобразование сетевых адресов). Если машина из внутренней сети посылает пакет наружу, на маршрутизаторе IP-адрес этой машины подменяется IP-адресом машрутизатора во внешней сети, и, когда поступает ответ, адрес преобразуется обратно. Делается это опять-таки с помощью iptables.

Траспортный

Ограничение

Ограничение по портам, типичное ограничение на этом уровне, производится с помощью iptables. Ограничение по объёму, traffic control, входит в пакет iproute2 (программа tc).

Распределение

Одна из основных задач на этом уровне --- проброс портов (port forwarding), позволяет перенаправлять данные с какого-либо порта одного компьютера на какой-либо порт другого. Здесь также используется iptables.

Преобразование

NAT работает и на транспортном уровне, т.к. задействует некоторые свойства пакета, связанные с этим уровнем. Этим занимается iptables.

Прикладной

Ограничение

Фильтрация. Для этого существуют различные программы для различных протоколов, например, squid может фильровать HTTP-соединения по адресу прикладного уровня, URL. Для запрета конкретных протоколов, наприер, ICQ, есть инструмент l7filter для netfilter (iptables). Он по последовательности пакетов определяет, какой протокол ими реализуется. Простейшее взаимодействие с прикладным уровнем есть также и в iptables. Еще одна задача, относящаяся к этому уровню и часто встречающаяся --- антиспам. Анализируется адрес протокола прикладного уровня SMTP, то есть e-mail, анализируется содержимое прикладного уровня, содержимое письма.

Фактически, фильтрация на этом уровне --- это чаще всего дело отдельного специального приложения.

Распределение

Если речь идет о распределении на уровне прикладного протокола, значит, оно должно быть реализовано в этом самом протоколе. Допустим, пересылка почты реализуется на уровне e-mail адресов, доменов, и т.д.

Преобразование

То же самое --- реализуется обычно отдельным приложением. Хотя, преобразование на прикладном уровне делает также iptables. Когда в прикладном протоколе используется адрес клиента (примером может служить FTP), то нельзя, чтобы туда просочился локальный адрес. iptables с этим справляется.

Сводная таблица:

Интерфейсный уровень

Сетевой

Транспортный

Прикладной

Ограничение

iptables

iptables

iptables, iproute2

l7-filter, iptables, squid, спам-фильтры, ...

Перераспределение

iptables

iptables, iproute2

iptables, iproute2

...

Преобразование

?

iptables

iptables

iptables, ...

Мы видим, что основным инструментом в нашей задаче является iptables, поэтому мы и рассмотрим его подробнее. Но нельзя забывать, что для решения этой задачи могут потребоваться и другие инструменты.

Достаточно неплохо введение в эту тему изложено в Курячем-Маслинском, в соответствующей главе (Настройка сети -> Межсетевой экран).


Сведения о ресурсах

Готовность (%)

Продолжительность (ак. ч.)

Подготовка (календ. ч.)

Полный текст (раб. д.)

Предварительные знания

Level

Maintainer

Start date

End date

67

1

1

1

1

PavelSutyrin, VladimirLysikov, MaximByshevskiKonopko


PspoClasses/080707/04RoutingTheory (последним исправлял пользователь MaximByshevskiKonopko 2008-10-09 21:12:31)