Блог ИТ склеротика. Записки ИТ склеротика.

Страницы

Расширенный поиск в статьях блога

Показаны сообщения с ярлыком Firewall Proxy Shaper. Показать все сообщения
Показаны сообщения с ярлыком Firewall Proxy Shaper. Показать все сообщения

1 июня 2012 г.

netfilter и iptables в Linux: принципы работы, настройка netfilter



netfilter (встроенные в ядро linux в отличие от ipchains умеет отслеживать соединения (stateful packet filtering), при этом пакеты обязательно дефрагментриуются; цепочки правил объединяются в таблицы различного назначения (filter, nat, mangle), используются специальные модули для различных протоколов (в т.ч. прикладного уровня). Также позволяет менять заголовки пакетов и помечать пакеты для дальнейшего использования при маршрутизации и управлении трафиком. В основном, работает на межсетевом уровне TCP/IP, но захватывает транспортный уровень (TCP, UDP)и уровень доступа к сети (MAC адреса).Одновременное использование данных из 2 пакетов по-прежнему невозможно, для настоящей фильтрации на прикладном уровне пользуйтесь прокси серверами.

В статье описываются:
  • предварительные условия использования netfilter
  • основные понятия (таблицы, цепочки, правила) и путь пакета
  • отслеживание соединений
  • утилита управления цепочками iptables
  • действия (target)
  • шаблоны (match)
  • утилиты iptables-save и iptables-restore
  • сервис в Red Hat Linux
  • примеры и советы

Настройка NAT по принципу сеть в сеть при помощи iptables NETMAP


netmap
 
В этом руководстве я опишу как настроить полный NAT из одной сети в другую, на примере двух офисных сетей. Для настройки данного решения вам понадобится iptables с поддержкой NETMAP и пакет iproute2 для настройки маршрутизации. Я настраивал эту схему на базе Linux ubuntu 8.04 server, iptables v 1.4.7 и iproute2 v ss071016. Кратко опишу, что же такое патч NETMAP для iptables, он позволяет нам делать двухстороннюю трансляцию сетей в другие сети один в один, например транслировать сеть 1.1.1.1/24 в сеть 2.2.2.2/24, и обратно, транслируя айпи адрес 1.1.1.89/32 в айпи 2.2.2.89/32 и тд.

Настройка Прокси сервера + dns сервера на Debian

Поступила задача установить кэширующий прокси сервер(прозрачный) и кэширующий dns сервер.Решил для этой задачи использовать сервер Debian lenny.В качестве прокси сервера squid - довольно простой в настройке и функциональный.Для dns сервера выбрал самый простой - dnsmasq.Ну что ж,как оно было далее.....

Настройка прокси-сервера SQUID+простой контент фильтр на Ubuntu Server 10.04 / 10.10

Использование прокси серверов оправдано в локальный сетях в том случае, если скорость соединения не очень высока или есть необходимость контролировать работу сотрудников в интернет-в общем под эти требования можно подогнать, в принципе, любые задачи. Короче, прокси-серверу быть! SQUID считается огромным монстром, но если его освоить, то он работает как часы, даже в крупных сетях. С его помощью можно крутить сетевые запросы пользователей так, что неподготовленному человеку становится дурно от избытка информации. Переходим от слов к делу

31 мая 2012 г.

Настраиваем VPN соединение в Linux. VPN для начинающих.

PNG-Network-Net.PNG-256x256.pngПросто о сложном. VPN для начинающих. Казалось бы — про VPN не говори, про него все сказано. В сети выложено огромное количество настроек и HOW-TO на любой вкус. Скрупулезный анализ показал, что основные проблемы новичков возникают на этапах аутентификации клиента и VPN-сервера, а также настройки роутинга. На них мы остановимся подробно. Попутно выяснилось что настройки VPN-соединения можно сильно упростить и тем самым облегчить понимание ключевых параметров. Именно для облегчения понимания мы рекомендуем всем новичкам настраивать VPN из командной строки и не пользоваться (полу)автоматическими конфигураторами VPN — как показывает практика, от их непрозрачных настроек одни неприятности. Как вы увидите ниже, этих настроек очень небольшое количество, так что незачем вставать на костыли, чтобы бежать стометровку. К тому же командная строка вам сослужит добрую службу, когда пойдет что-то не так. Вы всегда можете запостить свои конфиги и вывод консольных команд, и суровые бородатые дядьки, которые давно на «ты» с линуксом, вам помогут. Потому что вы говорите с ними на одном языке. И наоборот, что-нибудь вроде «в этом окошке я отмечаю галочкой второй снизу пункт» практически гарантирует отсутствие обратной связи.

Настраивать VPN-соединение мы будем по шагам. В конце каждого шага — шаг проверки. Все команды в командной строке вводятся от имени суперпользователя (root). Готовы? Тогда вперед! 

Наглядная схема работы iptables


На днях настраивал iptables и «заблудился в трех соснах». До такой степени, что пришлось обращаться за помощью к знатокам. Не буду вдаваться в суть проблемы, но выложенная в ответ на мой вопрос схема фильтрации пакетов в Linux заслуживает перепостинга. Давно хотел обзавестись такой. Прям из разряда «вырежи и сохрани»

31 марта 2012 г.

Динамический IP от провайдера, и проброс портов в Iptables

Наверняка многие из Вас, как и я, сталкивались с той самой проблемой, когда нам нужно прокинуть порт(ы) через Iptables на наши с Вами виртуальные \ физические машины, но наш провайдер выдает нам реальный (не серый) динамический IP адрес, как например в случаях с VPN или PPPoE.
У меня PPPoE, и IP меняется провайдером раз в трое суток. При этом тестовый сервер должен быть доступен всегда в независимости от того, какой у меня внешний IP.
Предлагаю свой вариант решения данной проблемы.

Итак, имеем: сервер на Ubuntu 10.04: (Linux nwserver 2.6.32-40-server #87-Ubuntu SMP Tue Mar 6 02:10:02 UTC 2012 x86_64 GNU/Linux, iptables v1.4.4) и второй сервер, которому мы должны прокинуть порты.

30 марта 2012 г.

Squid и SARG создание отчётности в Windows

Вот возникла у меня задача такая, а именно есть в организации Firewall (железяка цисковая) даже 2, и мартрутизатор который рулит инетом когда основной канал пропадает он переключает на другой, и всё бы хорошо, но надо сделать статистику, то есть кто куда ходит. Тут само собой 2 варианта, либо пустая машина, тогда проблем нет вообще, туда Linux любой по вкусу, Apache ну или кто что любит, Squid для проксирования и редиректов запросов, ну и Sarg для создания отчётов, но вот в винде то не всё так просто.

В общем есть у меня сервак для антивирусной защиты, ну и ночью он бекапит, там ещё много чего есть, но факт в том что он на Windows само собой сервер, зачем не спрашивайте, работаю в немецкой фирме, стандарт такой, так вот забубенил я туда Squid, и Sarg сделал для отчётов, а в качесвте планировщика поставил Xstarter.

Теперь по подробнее о настройке!

 

16 марта 2012 г.

Настраиваем UPnP в iptables в Debian Linux

Задача: поднять и настроить систему UPnP на базе iptables в Linux Debian, дабы автоматически добавлялись для пользователей внутренней сети порты, разрешенные на выход во-вне. Например, для софта с динамическими портами.
Таким видом деятельности занимается технология UPnP, которую мы сейчас реализуем на базе файервола де-факто в Linux - iptables.

Проверка трафика при помощи DansGuardian. Установка и настройка

Сегодня использование интернет-ресурсов стало жизненной необходимостью для большинства компаний. Это и глобальная справочно-информационная система, и способ доступа к технологиям, и транспорт для передачи данных, и, наконец, оперативное и доступное средство коммуникации.

Поскольку интернет является каналом во внешний мир, он и стал источником опасности для компаний. Именно с его помощью сегодня распространяются черви, вирусы и прочий вредоносный код. Так же, зачастую, с его же помощью происходит утечка конфиденциальных данных за пределы офиса.

4 марта 2012 г.

Автоматизируем создание VPN пользователей в PFSense


image
Мне очень нравится PFSense 2.0. Особенно хороша у него стала функция OpenVPN сервера. Сам сервер настраивается в несколько кликов ( www.youtube.com/watch?v=odjviG-KDq8 ).

VPN на 50+ филиалов на коленке



imageПоявилась потребность сделать VPN для аутсорсинговой компании — организовать связь с сетями компаний клиентов таким образом, чтобы админы заказчика и собственной сети видели каждый хост клиента за NATом и не было возможно обратное. Аппаратные решения в принципе не рассматривались ввиду стоимости, да и все проприетарные программные решения отсеялись по этой же причине. Остался только свободный софт. Благо свободных решений более чем достаточно

Вышел pfSense 2.0 форк FreeBSD для создания межсетевых экранов


 После 3-х лет разработки, доступен релиз мини-дистрибутива для создания межсетевых экранов и сетевых шлюзов pfSense 2.0, в котором переработаны и улучшены практически все подсистемы. Дистрибутив основан на кодовой базе FreeBSD 8.1 с задействованием наработок проекта m0n0wall и активным использованием pf и ALTQ. Для загрузки доступны несколько образов для архитектур i386 и amd64, размером от 100 до 150 Мб, включая Live CD и образ для установки на USB Flash.

1 марта 2012 г.

Блокировка нежелательных URL с помощью iptables

stop.jpgИногда может возникнуть необходимость заблокировать доступ к некоторым сайтам, и внесение их адресов или даже подсетей в фаервол не приносит желаемых результатов, так как продуманные пользователи продолжают посещать их используя веб прокси количество которых так велико что о блокировке их не может быть и речи…. Есть конечно и явные минусы этого способа, но в моем случае минусы приниматься во внимание не стали. Из плюсов стоит отметить полную блокировку сайтов, они не будут работать даже через веб и обычные прокси сервера, с них не будет доставлятся почта и тд.

26 февраля 2012 г.

Настройка PPPoE с шейпингом трафика для небольшой сети

Однажды возникла задача настроить раздачу интернета на пару десятков компьютеров (офисные и домашние). Коробочные решения оказались либо платными, либо достаточно сложно настраиваемыми, поэтому было принято решение использовать собственное на базе Debian Linux. Опытом его поднятия я хочу поделиться с вами в этом посте, но приведенные здесь версии могли немного устареть с момента написания мануала «для себя», так что нужно проявить некоторую внимательность. Также, нужно учитывать, что приведенное решение далеко от идеального и профессионального. Оно поможет скорее тем, кому нужно быстро поднять у себя сервер, раздающий интернет. В конце у нас будет раздача интернета через PPPoE с назначением внутренних IP клиентам, шейпинг трафика, DNS сервер и простой мониторинг текущих сессий из консоли.

18 февраля 2012 г.

Установка Vuurmuur 0.7 на Debian

Vuurmuur — за таким «кошачьим» именем скрывается довольно мощная GUI надстройка для iptables. Основным отличием от других iptables-надстроек является наличие консольного интерфейса написанного на Ncurses. Поэтому администрирование всё также легко возможно посредством SSH или консоли. Vuurmuur умеет работать с шейпингом, поддерживает функции мониторинга трафика, ведёт отдельные логи, прекрасно работает как на 2.4 так и на 2.6 ядрах и даже «говорит» на русском.

IPtables + Squid

Итак,сегодня мы займемся тем,что будем настраивать firewall на прокси сервере.
Для более удобной настройки и хранения всех правил firewall'а мы напишем небольшой скрипт.Два интерфейса внутренний eth0 и внешний eth1.Настроенный squid.

IPTables и удаленный доступ в сеть

Итак, сеть настроена, пакеты ходят, интернет работает, права режутся — в общем момент, когда можно перевести дух и заняться «доводкой» сервера для удобства не пользователя, но администратора. А что хочется правильному системному администратору? Конечно же! Чтобы его рабочие обязанности отнимали у него как можно меньше свободного времени. А что для этого служит лучше всего — естественно удаленный доступ.


8 февраля 2012 г.

Установка хостинг панели ISPConfig 3 на Ubuntu 9.04

ispconfig_logo.png
В этой статье описывается как установить панель управления хостингом ISPConfig на Ubuntu 9.04. ISPConfig работает со следующими компонентами:
  • Apache 1.3.x/2.0.x/2.2.x
  • Proftpd & vsftpd
  • Supports The Following Mail Servers: Sendmail & Postfix
  • All POP3 & POP3s Servers
  • All IMAP & IMAPs Servers
  • BIND 8/9 (A, CNAME, MX, SPF Records)
  • Firewall Configuration
  • Monitoring Of Services And Automatic Restart
  • Web FTP
  • Web Mail Interface
  • phpMyAdmin Integration

Ограничение количества сессий с одного ip адреса

Если у вас вдруг возникнет необходимость ограничить количество сессий для айпи адресов в вашей локальной сети, то после прочтения данной заметки у вас будет готовое решение. Воспользуемся штатными возможностями пакетного фильтра iptables, а именно его модулями connlimit иrecent. Модуль connlimit сильно расходует ресурсы машины, и использовать его рекомендуется только в маленьких сетях, да и работает он только с протоколом TCP.

.

Счетчик тИЦ и PR Яндекс.Метрика Msn bot last visit powered by MyPagerank.NetYahoo bot last visit powered by MyPagerank.Net ping fast  my blog, website, or RSS feed for Free