Ελληνικό Firewalling και Proxy Server HOWTO: Προηγμένες Μορφές

9. Προηγμένες Μορφές

Υπάρχει μία μορφή που θα ήθελα να ασχοληθώ πριν κλείσω αυτή τη τεκμηρίωση. Αυτή μόλις τη σκιαγράφησα και πιθανώς θα ικανοποιήσει αρκετούς. Πάντως, σκέφτομαι ότι το επόμενο σκιαγράφημα θα δείξει περισσότερο προηγμένης μορφής από το να ξεκαθαρίσει κάποιες ερωτήσεις. Εάν έχετε ερωτήσεις πέρα από αυτές που μόλις κάλυψα, ή απλά ενδιαφέρεστε για την ευκαμψία των διακομιστών εξουσιοδότησης και των firewalls, συνεχίστε το διάβασμα.

9.1 Ένα μεγάλο δίκτυο με έμφαση στην ασφάλεια

Πείτε, για παράδειγμα, ότι είστε ο επικεφαλής παραστρατιωτικής οργάνωσης και θέλετε να δικτυώσετε τη θέση σας. Έχετε 50 Η/Υ και ένα υποδίκτυο από 32 ΙΡ αριθμούς των 5 στοιχείων (bits). Χρειάζεστε διαφορετικά επίπεδα πρόσβασης μέσα στο δίκτυό σας επειδή λέτε στους ακολούθους σας διαφορετικά πράγματα. Έτσι, θα χρειαστήτε να προστατεύσετε συγκεκριμένα τμήματα του δικτύου από το υπόλοιπο.

Τα επίπεδα είναι:

Το εξωτερικό επίπεδο. Αυτό το επίπεδο που δείχνετε στους πάντες. Εδώ είναι που φωνάζετε και παραλληλήτε για να πάρετε νέους εθελοντές.
Στρατιωτικό Εδώ είναι το επίπεδο από άτομα που έχουν περάσει πέρα από το εξωτερικό επίπεδο. Εδώ είναι που τους διδάσκετε σχετικά με την evail κυβέρνηση και στο πώς να φτιάχνουν βόμβες.
Μισθοφόροι Εδώ είναι που τα πραγματικά πλάνα κρατούνται. Σε αυτό το επίπεδο είναι αποθηκευμένες όλες οι πληροφοριές πάνω στο πώς η τριτοκοσμική κυβέρνηση πηγαίνει να κατακτήσει το κόσμο, τα πλάνα σας εμπλέκουν τις Newt Gingrish, Oklahoma City, lown ενδιαφέροντος προϊόντα και τί πραγματικά είναι αποθηκευμένο μέσα στα υπόστεγα τις περιοχής 51.

Η εγκατάσταση του δικτύου

Οι ΙΡ αριθμοί είναι κατανεμημένοι ως εξής:

1 αριθμός είναι 192.168.2.2555, που είναι η διεύθυνση εκπομπής και δεν χρησιμοποιείται
23 από τις 32 ΙΡ διευθύνσεις είναι τοποθετημένες στα 23 μηχανήματα που θα είναι προσβάσημα στο Internet.
1 επιπλέον ΙΡ πηγαίνει σε ένα κουτί linux σε αυτό το δίκτυο
1 επιπλέον πηγαίνει σε ένα διαφορετικό κουτί linux σε αυτό το δίκτυο.
2 ΙΡ αριθμοί πάνε στο δρομολογητή
4 αφέθηκαν στη πάντα, αλλά τους δόθηκαν τα τοπικά ονόματα paul, ringo, john, και george, απλά για να μπερδεύουν τα πράγματα λιγάκι.
Τα προστατευόμενα δίκτυα αμφότερα έχουν διευθύνσεις 192.168.2.χχχ

Μετά, δύο χωριστά δίκτυα δημιουργήθηκαν, το καθένα σε διαφορετικά δωμάτια. Αυτά δρομολογήθηκαν μέσω υπέρυθρου Ethernet έτσι είναι απολύτως αόρατα στα εξωτερικά δωμάτια. Ευτυχώς, τα υπέρυθρα ethernet δουλεύουν σαν τα κανονικά ethernet.

Αυτά τα δίκτυα είναι το καθένα συνδεδεμένο με από ένα κουτί linux με μία επιπλέον ΙΡ διεύθυνση.

Υπάρχει ένας διακομιστής αρχείων (file server) που συνδέει τα δύο προστατευόμενα δίκτυα. Αυτό γίνεται επειδή για την κατάκτηση του κόσμου εμπλέκονται και υψηλότεροι στρατιώτες. Ο διακομιστής αρχείων κρατά την διεύθυνση 192.168.2.17 για το Στρατιωτικό δίκτυο και την 192.168.2.23 για το Μισθοφορικό δίκτυο. Αυτός έχει διαφορετικές ΙΡ διευθύνσεις επειδή έχει διαφορετικές κάρτες Ethernet. Το ΙΡ Forwarding πάνω σε αυτόν είναι κλειστό.

Το ΙΡ Forwarding είναι και στα δύο κουτιά linux επίσης κλειστό. Ο δρομολογητής δεν θα προωθεί πακέτα προορισμένα για 192.168.2.χχχ εκτός εάν δεν του δηλωθεί κατηγορηματικά να το κάνει, έτσι το Internet δεν θα είναι ικανό να μπεί μέσα. Ο λόγος που απενεργοποιήθηκε το IP Forwarding εδώ έγινε γιατί έτσι τα πακέτα από το δίκτυο των Στρατιωτών δεν θα είναι ικανά να προσεγγίσουν το Μισθοφορικό δίκτυο, και το ανάποδο.

Ο διακομιστής NFS μπορεί επίσης να οριστεί για να προσφέρει διαφορετικά αρχεία σε διαφορετικά δίκτυα. Αυτό γίνεται χειροκίνητα, και με λίγα τρυκ με τις συμβολικές συνδέσεις (symbolic links) μπορεί να γίνει έτσι ώστε τα κοινά αρχεία να μοιράζονται σε όλους. Χρησιμοποιώντας αυτό το στήσιμο και άλλη μία ethernet κάρτα μπορούμε να προσφέρουμε αυτό τον ένα διακομιστή αρχείων και για τα τρία δίκτυα.

Η εγκατάσταση των εξουσιοδότησεων

Τώρα, αφού και τα τρία επίπεδα θέλουν να είναι ικανά να συμβουλεύονται το δίκτυο για τους δικούς τους σκοτεινούς σκοπούς, και οι τρεις χρειάζονται να έχουν πρόσβαση στο Internet, έτσι δεν έχουμε να τα τροφοδοτήσουμε εδώ με διακομιστές εξουσιοδότησης. Τα Μισθοφορικό και Στρατιωτικό δίκτυα είναι πίσω από firewalls, έτσι είναι αναγκαίο να στήσουμε διακομιστές εξουσιοδότησης εκεί.

Αμφότερα τα δίκτυα θα έχουν εγκατασταθεί παρόμοια. Και τα δύο έχουν τις ίδιες ΙΡ διευθύνσεις τοποθετημένες επάνω τους. Θα πετάξω μερικές παραμέτρους, απλά για να κάνω τα πράγματα πιο ενδιαφέροντα.

Κανένας δεν μπορεί να χρησιμοποιεί το διακομιστή αρχείων για πρόσβαση στο Internet. Αυτή εκθέτει το διακομιστή αρχείων σε ιούς και άλλα δυσάρεστα πράγματα, και αυτό είναι κάπως σοβαρό, έτσι είναι εκτός των ορίων.
Δεν θα επιτρέπουμε πρόσβαση των στρατιωτών στο World Wide Web. Αυτοί είναι σε εκπαίδευση, και αυτής της φύσης οι πληροφορίες, ανάκτησης δύναμης, μπορεί να αποδειχθούν καταστροφικές.

Έτσι, το αρχείο sockd.conf στο κουτί linux των Στρατιωτών θα έχει αυτή τη γραμμή:

    deny 192.168.2.17 255.255.255.255

και στον Μισθοφόρων το μηχάνημα:

    deny 192.168.2.23 255.255.255.255

Και, το κουτί linux των Στρατιωτών θα έχει την εξής γραμμή:

    deny 0.0.0.0 0.0.0.0 eq 80

Αυτή λέει να αρνηθεί πρόσβαση σε όλες τις μηχανές που προσπαθούν να αποκτήσουν πρόσβαση σε πόρτα ίση (equal) με 80, την http πόρτα. Αυτό ακόμα επιτρέπει όλες τις άλλες υπηρεσίες, απλά απαγορεύει Web πρόσβαση.

Μετά, αμφότερα τα αρχεία θα έχουν:

    permit 192.168.2.0 255.255.255.0

για να επιτρέψετε σε όλους τους υπολογιστές πάνω στο 192.168.2.χχχ δίκτυο να χρησιμοποιούν αυτό το διακομιστή εξουσιοδότησης εκτός για αυτούς που τους έχει ήδη απαγορευτή. (π.χ ο διακομιστής αρχείων και η Web πρόσβαση από το δίκτυο των στρατιωτών.)

Το αρχείο sockd.conf των Στρατιωτών θα είναι κάπως έτσι:

    deny 192.168.2.17 255.255.255.255
    deny 0.0.0.0 0.0.0.0 eq 80
    permit 192.168.2.0 255.255.255.0

και των Μισθοφόρων κάπως έτσι:

    deny 192.168.2.23 255.255.255.255
    permit 192.168.2.0 255.255.255.0

Αυτό οφείλει να έχει τα πάντα ρυθμισμένα σωστά. Κάθε δίκτυο είναι απομονωμένο ανάλογα, με τη σωστή ποσότητα αλληλεπίδρασης. Όλοι οφείλουν να είναι χαρούμενοι.

Τώρα, κατακτήστε το κόσμο!

Σημείωση του Μεταφραστή

Για οποιοδήποτε λάθος στη μετάφραση ζητώ να με συγχωρήσετε μιάς και παρόλο που έδωσα το καλλίτερο εαυτό μου σε μερικά σημεία δεν μπόρεσα να κάνω ακριβή μετάφραση. Σε μερικά σημεία υπάρχουν αγγλικές λέξεις που ήταν αδύνατο να τις μεταφράσω ούτε με τη βοήθεια λεξικών. Ελπίζω να δείξετε τη κατανόηση σας όπως επίσης και στα ορθογραφικά λάθη :-> Παρακαλώ όσους έχουν επισημάνει λάθη ή ανακρίβειες να τις σημειώσουν και να τις στείλουν είτε στη συντηρήτρια των ελληνικών HOWTO, Βούλα Σανιδά voulariba@hellug.gr, είτε σε εμένα προσωπικά. Οποιαδήποτε επιπλέον πληροφορία για τους firewalls που πιθανώς θα βοηθήσει στην εγκατάστασή τους, επικοινωνήστε με τη συντηρήτρια.

Παναγιώτης Τσακίρης mazestix@ath.forthnet.gr 26 Ιουνίου 1999

Next Previous Contents