Åëëçíéêü Firewalling êáé Proxy Server HOWTO Mark Grennan, markg@netplus.net v0.4, 8 November 1996 ÁõôÞ ç ôåêìçñßùóç åßíáé ó÷åäéáóìÝíç íá äéäÜîåé ôá âáóéêÜ ôùí firewall óõóôçìÜôùí êáé íá äþóåé ìåñéêÝò ëåðôïìÝñåéåò ãéá ôçí åãêáôÜóôáóç fire- wall, åîïõóéïäüôçóçò (proxy) êáé ößëôñùí (filtering), óå PC âáóéóìÝíá óå Linux. Ìßá HTML Ýêäïóç (áããëéêÞ) áõôÞò ôçò ôåêìçñßùóçò åßíáé äéáèÝóéìç óôï [4mhttp://okcforum.org/~markg/Firewall-HOWTO.html[0m ______________________________________________________________________ Table of Contents 1. ÅéóáãùãÞ 1.1 ÁíÜäñáóç 1.2 Áðïêýñçîç 1.3 Äéêáéþìáôá 1.4 Ïé ëüãïé ðïõ Ýãñáøá áõôü 1.5 TODO 1.6 ÅðéðëÝïí Áíáãíþóìáôá 2. Êáôáíïþíôáò ôï Firewall 2.1 ÌåéïíåêôÞìáôá ìå ôïõò firewalls 2.2 Ôýðïé ôùí Firewalls 2.2.1 IP Firewalls Öéëôñáñßóìáôïò 2.2.2 ÄéáêïìéóôÝò Åîïõóéïäüôçóçò 3. ÓôÞíïíôáò Ýíá Firewall 3.1 ÁðáéôÞóåéò Óõóêåõþí (Hardware) 4. Ëïãéóìéêü ãéá Firewalls. 4.1 ÄéáèÝóéìá ðáêÝôá 4.2 Ôï TIS Firewall Toolkit åíáíôßïí SOCKS 5. ÐñïåôïéìÜæïíôáò ôï óýóôçìá Linux 5.1 Ìåôáãëùôôßæïíôáò ôï ðõñÞíá 5.2 Ñõèìßæïíôáò äýï êÜñôåò äéêôýïõ 5.3 Ñõèìßæïíôáò ôéò Äéåõèýíóåéò ôïõ Äéêôýïõ 5.4 ÅëÝã÷ïíôáò ôï äßêôõü óáò. 5.5 Áóöáëßæïíôáò ôï Firewall. 6. IP åãêáôÜóôáóç öéëôñáñßóìáôïò (IPFWADM) 7. Åãêáèéóôþíôáò ôïí äéáêïìéóôÞ åîïõóéïäüôçóçò TIS 7.1 Áðïêôþíôáò ôï ëïãéóìéêü 7.2 Ìåôáãëùôôßæïíôáò ôçí TIS FWTK 7.3 Åãêáèéóôþíôáò ôçí TIS FWTK 7.4 Ñõèìßæïíôáò ôçí TIS FWTK 7.4.1 Ôï áñ÷åßï netperm-table 7.4.2 Ôï áñ÷åßï inetd.conf 7.4.3 Ôï áñ÷åßï /etc/services 8. Ï SOCKS ÄéáêïìéóôÞò Åîïõóéïäüôçóçò 8.1 ÓôÞíïíôáò ôï ÄéáêïìéóôÞ Åîïõóéïäüôçóçò 8.2 Ñõèìßæïíôáò ôï ÄéáêïìéóôÞ Åîïõóéïäüôçóçò. 8.2.1 Ôï Áñ÷åßï Ðñüóâáóçò 8.2.2 Ôï áñ÷åßï Äñïìïëüãçóçò. 8.2.3 DNS ðßóù áðü ôï firewall. ÓôÞíïíôáò ôçí ¼íïìá Ðåñéï÷Þò Õðçñåóßá (Domain Name Service) ðßóù áðü firewall åßíáé ïìïëïãïõìÝíïò åýêïëï èÝìá. ×ñåéÜæåóôå áðëÜ êáé ìüíï íá óôÞóåôå ôï DNS ðÜíù óôï ìç÷Üíçìá ðïõ åßíáé ï firewall. ÌåôÜ, ïñßóôå óå êÜèå ìç÷Üíçìá ðßóù áðü ôï firewall íá ÷ñçóéìïðïéïýí áõôÞ ôo DNS. 8.3 Äïõëåýïíôáò ìå ÄéáêïìéóôÞ Åîïõóéïäüôçóçò. 8.3.1 Uni÷ 8.3.2 MS Windows ìå Trumpet Winsock 8.3.3 ÊÜíïíôáò ôï ÄéáêïìéóôÞ Åîïõóéïäüôçóçò íá äïõëåýåé ìå UDP ÐáêÝôá 8.4 ÌåéïíåêôÞìáôá ìå ôïõò ÄéáêïìéóôÝò Åîïõóéïäüôçóçò 9. ÐñïçãìÝíåò ÌïñöÝò 9.1 ¸íá ìåãÜëï äßêôõï ìå Ýìöáóç óôçí áóöÜëåéá 9.1.1 Ç åãêáôÜóôáóç ôïõ äéêôýïõ 9.1.2 Ç åãêáôÜóôáóç ôùí åîïõóéïäüôçóåùí ______________________________________________________________________ [1m1. ÅéóáãùãÞ[0m Ç áõèåíôéêÞ Ýêäïóç ôïõ Firewall-HOWTO ãñÜöôçêå áðü ôïí David Rudder, [1mdrig@execpc.com[22m. êáé èÝëù íá ôïí åõ÷áñéóôÞóù ðïõ ìå Üöçóå íá áíáíåþóù ôç äïõëåéÜ ôïõ. Ôá firewalls Ý÷ïõí êåñäßóåé ðñüóöáôá ìåãÜëç öÞìç óáí ýóôáôç áóöÜëåéá ìÝóá óôï Internet. ¼ðùò óôá ðåñéóóüôåñá ðñÜãìáôá ðïõ êåñäßæïõí öÞìç Ýñ÷ïíôáé êáé ðáñåñìçíåýóåéò. Áõôü ôï HOWTO èá êáëýøåé ôá âáóéêÜ ôïõ ôß åßíáé Ýíá firewall, ðþò íá óôÞóåôå Ýíá, ôß åßíáé äéáêïìéóôÝò åîïõóéïäüôçóçò (proxy servers), ðþò íá óôÞóåôå Ýíáí äéáêïìéóôÞ åîïõóéïäüôçóçò, êáèþò êáé ïé åöáñìïãÝò áõôÞò ôçò ôå÷íïëïãßáò åêôüò ôïõ áóöáëïýò âáóéëåßïõ. [1m1.1. ÁíÜäñáóç[0m ÏðïéáäÞðïôå áíÜäñáóç åßíáé êáëïäå÷ïýìåíç. [1mÐÁÑÁÊÁËÙ ÍÁ ÁÍÁÖÅÑÅÔÅ ÔÕ×ÏÍ[0m [1mÁÍÁÊÑÉÂÉÅÓ ÓÅ ÁÕÔÇ ÔÇ ÔÅÊÌÉÑÉÙÓÇ !!! [22mÅßìáé Üíèñùðïò êáé åðéññåðÞò óôï íá êÜíù ëÜèç. ÅÜí âñåßôå êáíÝíá ç äéüñèùóÞ ôïõò åßíáé ï áðþôåñïò óêïðüò ìïõ. Èá ðñïóðáèÞóù íá âñù áðáíôÞóåéò óå üëá ôá e-mail, áëëÜ åßìáé áðáó÷ïëçìÝíïò, ãé' áõôü ìçí ðñïóâëçèåßôå áí äåí áðáíôÞóù. [4mÇ[24m [4memail[24m [4mäéÝõèõíóÞ[24m [4mìïõ[24m [4måßíáé[24m [1mmarkg@netplus.net[0m [1m1.2. Áðïêýñçîç[0m [1mÄÅÍ ÅÉÌÁÉ ÕÐÅÕÈÕÍÏÓ ÃÉÁ ÏÐÏÉÁÄÇÐÏÔÅ ÆÇÌÉÁ ÓÕÌÂÅÉ ÊÁÔÁ ÔÙÍ ÅÍÅÑÃÅÉÙÍ[0m [1mÐÏÕ ÈÁ ÐÁÑÈÏÕÍ ÂÁÓÉÓÌÅÍÅÓ ÓÅ ÁÕÔÇ ÔÇ ÔÅÊÌÉÑÉÙÓÇ.[22m. Ç ôåêìçñßùóç áõôÞ ðñïïñßæåôáé óáí ìßá åéóáãùãÞ óôï ðùò ôá firewalls êáé ïé äéáêïìéóôÝò åîïõóéïäüôçóçò äïõëåýïõí. Äåí åßìáé, ïýôå ðñïóðïéïýìáé üôé åßìáé, Ýíáò åéäéêüò áóöáëåßáò. Åßìáé Ýíáò áðëüò ôýðïò ðïõ äéÜâáóå áñêåôÜ êáé áãáðÜ ðåñéóóüôåñï ôïõ Ç/Õ áðü ôç ðëåéïøçößá ôùí áíèñþðùí. Ðáñáêáëþ, ãñÜöù áõôü ôï âïÞèçìá êÜíïíôáò ãíùóôü óôï êüóìï áõôü ôï áíôéêåßìåíï, êáé äåí åßìáé Ýôïéìïò íá êïëëÞóù ôç æùÞ ìïõ óå ü,ôé åßíáé åäþ. [1m1.3. Äéêáéþìáôá[0m Áí äåí Ý÷åé äçëùèåß äéáöïñåôéêÜ, ïé Linux HOWTO ôåêìçñéþóåéò áíÞêïõí äéêáéùìáôéêÜ óôïõò áíôßóôïé÷ïõò óõããñáöåßò. Ïé Linux HOWTO ôåêìçñéþóåéò ìðïñïýí íá áíáðáñá÷èïýí, íá áíáäéáíåìåéèïýí ïëüêëçñÝò Þ óå ôìÞìáôá ìÝóù êÜèå öõóéêïý Þ çëåêôñïíéêïý ìÝóïõ, üóï áõôÞ ç åéäïðïßçóç äéêáéùìÜôùí åßíáé ðñïóáñôçìÝíç ìáæß ìå ôá áíôßãñáöá. Ç åìðïñéêÞ áíáäéáíïìÞ åðéôñÝðåôáé êáé õðïóôçñßæåôáé ðáñ' üëá áõôÜ, ï óõããñáöÝáò åðéèõìåß íá åíçìåñùèåß ãéá ïðïéåóäÞðïôå ôÝôïéåò äéáíïìÝò. ¼ëåò ïé ìåôáöñÜóåéò, ðáñÜãùãá Þ áèñïéóôéêÝò åñãáóßåò ðïõ åíóùìáôþíïõí êÜèå Linux HOWTO ôåêìçñßùóç, ðñÝðåé íá êáëýðôïíôáé êÜôù áðü áõôÞ ôçí åéäïðïßçóç äéêáéùìÜôùí. Áõôü óçìáßíåé, üôé äåí ìðïñåßôå íá ðáñÜîåôå ðáñÜãùãç åñãáóßá áðü Ýíá HOWTO êáé óåëéäïðïéÞóåôå åðéðëÝïí ðåñéïñéóìïýò óôç äéáíïìÞ. ÅîáéñÝóåéò ôùí êáíüíùí áõôþí ìðïñïýí íá ãßíïõí ðáñáäåêôÝò êÜôù áðü óõãêåêñéìÝíåò êáôáóôÜóåéò, ðáñáêáëïýìå íá Ýñèåôå óå åðáöÞ ìå ôï óõíôïíéóôÞ ôùí Linux HOWTO. Áí Ý÷åôå ðéèáíÝò åñùôÞóåéò, ðáñáêáëïýìå åðéêïéíùíÞóôå ìå ôïí Mark Grennan <markg@netplus.net>. [1m1.4. Ïé ëüãïé ðïõ Ýãñáøá áõôü[0m Áí êáé ìïëïíüôé õðÜñ÷ïõí ðïëëÝò óõæçôÞóåéò êáôÜ ôï ðåñáóìÝíï Ýôïò óôï comp.os.linux.* ãéá ôï firewalling ôï âñÞêá äýóêïëï íá âñù ôéò ðëçñïöïñßåò ðïõ ÷ñåéáæüìïõí ãéá íá óôÞóù Ýíá firewall. Ç áõèåíôéêÞ Ýêäïóç áõôïý ôïõ HOWTO, âïçèïýóå áëëÜ Þôáí åëëéðÞò. Åëðßæù áõôÞ ç åíéó÷õìÝíç Ýêäïóç ôïõ David Rudder's Firewall HOWTO èá äþóåé óôïí êáèÝíá ôéò ðëçñïöïñßåò ðïõ ÷ñåéÜæåôáé ãéá íá äçìéïõñãÞóåé Ýíá ëåéôïõñãéêü firewall ìÝóá óå þñåò êáé ü÷é åâäïìÜäåò. Åðßóçò áéóèÜíïìáé üôé èÝëù íá åðéóôñÝøù êÜôé óôç êïéíüôçôá ôïõ Linux. [1m1.5. TODO[0m · Íá äþóù êÜðïéá åêðáßäåõóç ðùò íá åãêáôáóôáèåß Ýíáò ðåëÜôçò (client) · Íá âñù Ýíá ùñáßï UDP äéáêïìéóôÞ åîïõóéïäüôçóçò íá äïõëåýåé óôï Linux. [1m1.6. ÅðéðëÝïí Áíáãíþóìáôá[0m · Ôï NET-2 HOWTO · Ôï Ethernet HOWTO · Ôï Multiple Ethernet Mini HOWTO · Networking with Linux · Ôï PPP HOWTO · TCP/IP Network Administrator's Guide by O'Reilly and Associates · Ôï Documentation ãéá ôï TIS Firewall Toolkit Óôçí éóôïóåëßäá ôçò Trusted Information System's (TIS)[1mhttp://www.tis.com/ [22mÈá âñåßôå ìßá ìåãÜëç óõëëïãÞ áðü ôåêìçñéþóåéò ðÜíù óôá firewalls êáé óõíáöÞ õëéêÜ. Åðßóçò äïõëåýù ðÜíù óå Ýíá ó÷Ýäéï áóöáëåßáò, êáëåßôáé, ðïõ åãþ áðïêáëþ [4mSecure[24m [4mLinux[24m. Óôç [4mSecure[24m [4mLinux[24m éóôïóåëßäá óõãêåíôñþíù üëåò ôéò ðëçñïöïñßåò, ôåêìçñéþóåéò êáé ðñïãñÜììáôá ðïõ ÷ñåéÜæïíôáé ãéá íá äçìéïõñãçèåß Ýíá áóöáëÝò óýóôçìá Linux. Óôåßëôå ìïõ e-mail åÜí èÝëåôå ðëçñïöïñßåò. [1m2. Êáôáíïþíôáò ôï Firewall[0m ¸íáò firewall åßíáé êÜôé ðïõ ÷ñçóéìïðïéåßôáé ùò êïììÜôé åíüò áõôïêéíÞôïõ. Óôá áõôïêßíçôá firewalls åßíáé ôá öõóéêÜ áíôéêåßìåíá ðïõ ÷ùñßæïõí ôï êéíçôÞñá áðü ôïõò åðéâÜôåò. ÁõôÜ ðñïóôáôåýïõí ôïõò åðéâÜôåò óôç ðåñßðôùóç ðïõ ï êéíçôÞñáò ðéÜóåé öùôéÜ åíþ ðáñÝ÷ïõí áêüìç óôïí ïäçãü, ðñüóâáóç óôï ÷åéñéóìü ôïõ êéíçôÞñá. ¸íáò firewall óôïõò õðïëïãéóôÝò åßíáé ìßá óõóêåõÞ (Ç/Õ) ðïõ ðñïóôáôåýåé Ýíá ðñïóùðéêü äßêôõï áðü ôï äçìüóéï êïììÜôé. (Ôï Internet óáí óýíïëï.) Ï firewall õðïëïãéóôÞò, áðü åäþ êáé ðÝñá èá ïíïìÜæåôáé "firewall", ìðïñåß íá "áêïõìðÜ" áìöüôåñá, ôï ðñïóôáôåõüìåíï äßêôõï êáé ôï Internet. Ôï ðñïóôáôåõüìåíï äßêôõï äåí ìðïñåß íá ðñïóåããßóåé ôï Internet, ïýôå ôï Internet ìðïñåß íá ðñïóåããßóåé ôï ðñïóôáôåõüìåíï äßêôõï. Ãéá êÜðïéïí ðïõ èÝëåé íá åðéêïéíùíÞóåé ìå ôï Internet ìÝóá áðü ôï ðñïóôáôåõüìåíï äßêôõï, ðñÝðåé íá êÜíåé óýíäåóç telnet óôï firewall, êáé íá ÷ñçóéìïðïéÞóåé ôï Internet áðü åêåß. Ç áðëïýóôåñç ìïñöÞ åíüò firewall åßíáé Ýíá äéðëü óðéôéêü óýóôçìá (Ýíá óýóôçìá ìå äýï óõíäÝóåéò äéêôýïõ). ÅÁÍ ÌÐÏÑÅÉÔÅ ÍÁ ÅÌÐÉÓÔÅÕÔÇÔÅ ÏËÏÕÓ ÔÏÕÓ ×ÑÇÓÔÅÓ ÓÁÓ ìðïñåßôå áðëÜ íá óôÞóåôå Ýíá Linux (ìåôáãëùôôßóôå ôï ðõñÞíá ìå IP Forwarding áðåíåñãïðïéçìÝíï) êáé äþóôå üëïõò ôïõò ëïãáñéáóìïýò ðÜíù ôïõ. Èá ìðïñïýí íá êÜíïõí óýíäåóç óôï óýóôçìá (login), telnet, FTP, íá äéáâÜæïõí e-mail, êáé íá ÷ñçóéìïðïéïýí ü,ôé Ý÷åôå åöïäéÜóåé. Ìå áõôü ôï óôÞóéìï, ï ìüíïò õðïëïãéóôÞò óôï ðñïóùðéêü óáò äßêôõï ðïõ èá ãíùñßæåé ôá ðÜíôá ó÷åôéêÜ ìå ôïí Ýîù êüóìï åßíáé ï firewall. Ôï Üëëï óýóôçìá óôï ðñïóôáôåõüìåíï äßêôõï óáò, äåí ÷ñåéÜæïíôáé êáí íá ïñßóåôå ôï óõíÞèåò äñïìïëüãéï (default route). Áõôü ÷ñåéÜæåôáé ìßá äéåõêñßíçóç. Ãéá íá äïõëÝøåé ï ðáñáðÜíù firewall [1mÐÑÅÐÅÉ ÍÁ ÅÌÐÉÓÔÅÕÅÓÔÅ ÏËÏÕÓ ÔÏÕÓ ×ÑÇÓÔÅÓ ÓÁÓ! [22mÄåí ôï ðñïôåßíù áõôü. [1m2.1. ÌåéïíåêôÞìáôá ìå ôïõò firewalls[0m Ôï ðñüâëçìá ìå ôïõò firewalls ößëôñáñßóìáôïò åßíáé üôé ðáñåìðïäßæïõí ôç ðñüóâáóç óôï äßêôõï áðü ôï Internet. Ìüíï õðçñåóßåò óôá óõóôÞìáôá ðïõ Ý÷ïõí ðåñÜóåé ôï öéëôñÜñéóìá ìðïñåß íá ðáñå÷èåß ðñüóâáóç. Ìå ôïõò äéáêïìéóôÝò åîïõóéïäüôçóçò ïé ÷ñÞóôåò ìðïñïýí íá óõíäåèïýí (login) óôï firewall, Ý÷ïíôáò ðñüóâáóç óå êÜèå óýóôçìá ìÝóá óôï ðñïóùðéêü óáò äßêôõï, üðïõ Ý÷ïõí ðñüóâáóç. Åðßóçò, íÝïé ôýðïé áðü ðåëÜôåò äéêôýùí (network clients) êáé äéáêïìéóôþí Ýñ÷ïíôáé ó÷åäüí êÜèå ìÝñá. ¼ôáí áõôü óõìâåß èá ðñÝðåé íá âñåßôå íÝïõò ôñüðïõò ãéá íá åðéôñÝøåôå ôçí åëåã÷üìåíç ðñüóâáóç ðñéí áõôÝò ïé õðçñåóßåò ìðïñïýí íá ÷ñçìïðïéçèïýí. [1m2.2. Ôýðïé ôùí Firewalls[0m ÕðÜñ÷ïõí äýï ôýðïé firewalls 1. IP Firewalls Öéëôñáñßóìáôïò (filtering firewalls) - ìðëïêÜñïõí ôá ðÜíôá áëëÜ óå åðéëåãìÝíá êõêëïöïñéáêÜ äßêôõá. 2. ÄéáêïìéóôÝò Åîïõóéïäüôçóçò (Proxy Servers) - áõôïß êÜíïõí ôç äéêôõáêÞ óýíäåóç ãéá åóÜò. [1m2.2.1. IP Firewalls Öéëôñáñßóìáôïò[0m Ï IP firewall öéëôñáñßóìáôïò äïõëåýåé óáí éóïóôáèìéóôÞò ðáêÝôùí. ¸÷åé ó÷åäéáóôåß ãéá íá åëÝã÷åé ôç ñïÞ áðü ðáêÝôá âáóéóìÝíá óôç ðçãáßá (ðñïïñéóìÝíç) ðýëç êáé óôéò ðëçñïöïñéÝò ðïõ ðåñéÝ÷åé êÜèå ðáêÝôï. Áõôüò ï firewall åßíáé ðïëý áóöáëÞò áëëÜ óôåñÞôáé ïðïéáóäÞðïôå åßäïõò ÷ñÞóéìç åããñáöÞ óõìâÜíôùí. Ìðïñåß íá ìðëïêÜñåé ôï êüóìï áðü ôç ðñüóâáóç óôï ðñïóùðéêü óáò äßêôõï áëëÜ äåí èá áíáöÝñåé ðïéüò ðñïóðÝëáóå ôï äçìüóéï óýóôçìá Þ ðïéïò ôï Internet áðü ìÝóá. Ôá Firewalls öéëôñáñßóìáôïò åßíáé áðüëõôá ößëôñá. Áêüìç êáé áí èÝëåôå íá äþóåôå ðñüóâáóç áð' Ýîù áðü ôïõò ðñïóùðéêïýò óáò äéáêïìéóôÝò äåí ìðïñåßôå íá ôï êÜíåôå ÷ùñßò íá äþóåôå óôïõò ðÜíôåò ðñüóâáóç óôïõò äéáêïìéóôÝò. Ôï Linux ðåñéëáìâÜíåé ôï ðáêÝôï öéëôñáñßóìáôïò óôï ðõñÞíá áðü ôçí Ýêäïóç 1.3.÷ [1m2.2.2. ÄéáêïìéóôÝò Åîïõóéïäüôçóçò[0m Ïé äéáêïìéóôÝò åîïõóéïäüôçóçò åðéôñÝðïõí ôçí Ýììåóç ðñüóâáóç óôï Internet ìÝóù ôïõ firewall. Êáëëßôåñï ðáñÜäåéãìá ðùò äïõëåýåé åßíáé, Ýíá Üôïìï êÜíåé telnet óå Ýíá óýóôçìá êáé ìåôÜ Üëëï telnet áðü åêåß ðñïò êÜðïõ áëëïý. Ìüíï ìå ôïõò äéáêïìéóôÝò åîïõóéïäüôçóçò ç ëåéôïõñãßá åßíáé áõôüìáôç. ¼ôáí óõíäåèåßôå óå Ýíá äéáêïìéóôÞ åîïõóéïäüôçóçò ìå ôï äéêü óáò ðåëáôåéáêü ëïãéóìéêü (client software) ï äéáêïìéóôÞò îåêéíÜ ôï äéêü ôïõ ðåëáôåéáêü (åîïõóéïäïôïýìåíï) ëïãéóìéêü êáé ìåôáâéâÜæåé ôá äåäïìÝíá óáò. ÅðåéäÞ ïé äéáêïìéóôÝò åîïõóéïäüôçóçò áíáðáñÜãïõí üëåò ôéò åðéêïéíùíßåò ìðïñïýí íá êáôáãñÜöïõí ü,ôé êÜíïõí. Ôï êáëü ìå ôïõò äéáêïìéóôÝò åîïõóéïäüôçóçò åßíáé üôé, åßíáé åíôåëþò áóöáëåßò, üôáí ñõèìéóôïýí óùóôÜ. Äåí èá åðéôñÝøïõí óå êÜðïéïí íá ðåñÜóåé áðü ìÝóá ôïõò. Äåí õðÜñ÷ïõí Üìåóá IP äñïìïëüãéá. [1m3. ÓôÞíïíôáò Ýíá Firewall[0m [1m3.1. ÁðáéôÞóåéò Óõóêåõþí (Hardware)[0m Ãéá ôï ðáñÜäåéãìÜ ìáò, ï õðïëïãéóôÞò åßíáé Ýíáò 486-DX66 ìå 16MB RAM êáé 500MB êáôÜôìçóç Linux. Áõôü ôï óýóôçìá Ý÷åé äýï êÜñôåò äéêôýïõ, ç ìßá óõíäåäåìÝíç óôï ôïðéêü ðñïóùðéêü óáò äßêôõï (LAN) êáé ç Üëëç ìå ôï äßêôõï ðïõ êáëïýìå ÁðïóôñáôéêïðïéçìÝíç Æþíç (DMZ De-Militarize Zone). Ç Á.Æ. (DMZ) Ý÷åé Ýíá äñïìïëïãçôÞ ìå óýíäåóç óôï Internet. Áõôü åßíáé Ýíá ùñáßï ôïðéêü óôÞóéìï ãéá åðé÷åéñÞóåéò. Ìðïñåßôå íá ÷ñçóéìïðïéÞóåôå ìßá êÜñôá äéêôýïõ êáé Ýíá modem ìå ÑÑÑ óôï Internet. Ôï èÝìá åßíáé ï firewall íá Ý÷åé äýï ÉÑ áñéèìïýò äéêôýïõ. Ãíùñßæù üôé áñêåôÜ Üôïìá Ý÷ïõí ìéêñÜ ôïðéêÜ äßêôõá (LANs) óôï óðßôé ìå äýï Þ ôñåéò Ç/Õ åðÜíù. ÊÜôé ðïõ ðñÝðåé íá óêåöôÞôå åßíáé íá âÜëåôå üëá ôá modem óáò óå Ýíá êïõôß Linux (ßóùò óå Ýíá ðáëéü 386) êáé íá óõíäÝóåôå üëá óôï Internet ìå öïñôùìÝíç éóïóôÜèìéóç. Ìå áõôü ôï óôÞóéìï üôáí Ýíá ìüíï ðñüóùðï ôñáâÜåé äåäïìÝíá èá ìðïñåß íá ÷ñçóéìïðïéåß áìöüôåñá ôá modems äéðëáóéÜæïíôáò ôç ôá÷ýôçôá óýíäåóçò :-) [1m4. Ëïãéóìéêü ãéá Firewalls.[0m [1m4.1. ÄéáèÝóéìá ðáêÝôá[0m ÅÜí áõôü ðïõ æçôÜôå åßíáé Ýíáò firewall öéëôñáñßóìáôïò èá ÷ñåéáóôÞôå ìüíï ôï Linux êáé ôï âáóéêü ðáêÝôï ãéá äßêôõá. ¸íá ðáêÝôï ðïõ ìðïñåß íá ìçí ðåñéÝ÷åôáé óôç äéáíïìÞ óáò åßíáé ôï IP Firewalling Administration Tool. To (IPFWADM) õðÜñ÷åé óôï [1mhttp://www.xos.nl/linux/ipfwadm/[0m ÅÜí èÝëåôå íá óôÞóåôå Ýíá äéáêïìéóôÞ åîïõóéïäüôçóçò èá ÷ñåéáóôÞôå Ýíá áðü ôá ðáñáêÜôù ðáêÝôá. 1. SOCKS 2. TIS Firewall Toolkit (FWTK) [1m4.2. Ôï TIS Firewall Toolkit åíáíôßïí SOCKS[0m Ôï Trusted Information System (http://www.tis.com) Ý÷åé åêäüóåé ìßá óõëëüãç áðü ðñïãñÜììáôá ó÷åäéáóìÝíá ãéá ôç äéåõêüëõíóç ôïõ firewalling (firewalling). Ôá ðñïãñÜììáôá áõôÜ êÜíïõí ôá ßäéá ìå ôï SOCS ðáêÝôï, áëëÜ ìå äéáöïñåôéêÞ ó÷åäéáóìÝíç óôñáôçãéêÞ. Åêåß ðïõ ôï SOCS Ý÷åé Ýíá ðñüãñáììá ðïõ êáëýðôåé üëåò ôéò óõíáëëáãÝò ôïõ Internet, ôï TIS ðáñÝ÷åé Ýíá ðñüãñáììá ãéá êÜèå ôé ðïõ åðéèõìåß íá ÷ñçóéìïðïéÞóåé ôï firewall. Óå áíôéðáñáâïëÞ êáé ôùí äýï, áò ðÜñïõìå ôï ðáñÜäåéãìá ôïõ World Wide Web êáé ôçò ðñüóâáóçò telnet. Ìå ôï SOCS ðáßñíåôå Ýíá áñ÷åßï ñõèìßóåùí êáé Ýíá äáßìïíá. ÌÝóá áðü ôï áñ÷åßï áõôü êáé ôï äáßìïíá, Ý÷åôå áìöüôåñá WWW êáé telnet åíåñãïðïéçìÝíá, êáèþò êáé Üëëåò õðçñåóßåò ðïõ äåí Ý÷åôå áðåíåñãïðïéÞóåé. Ìå ôç TIS åñãáëåéïèÞêç, óôÞíåôå áðü Ýíá äáßìïíá óôá WWW êáé telnet, áëëÜ êáé áðü Ýíá áñ÷åßï ñõèìßóåùí åðßóçò, óôï êáèÝíá. Áöïý Ý÷åôå êÜíåé ôá ðáñáðÜíù, ïé Üëëåò ðñïóâÜóåéò (õðçñåóßåò) óôï Internet åßíáé áêüìá áðåíåñãïðïéçìÝíåò ìÝ÷ñé íá ôéò óôÞóåôå. ÅÜí äåí Ý÷åôå óôÞóåé Ýíá äáßìïíá ãéá ìßá óõãêåêñéìÝíç õðçñåóßá, õðÜñ÷åé Ýíáò "plug-in" äáßìïíáò , áëëÜ äåí åßíáé ïýôå åýêáìðôïò ïýôå ôüóï åýêïëïò óôçí åãêáôÜóôáóç, óáí ôá Üëëá åñãáëåßá. Áõôü ìðïñåß íá ìçí öáßíåôáé ôüóï óïâáñü, áëëÜ êÜíåé ìåãÜëç äéáöïñÜ. Ôï SOCS åðéôñÝðåé íá åßóôå áêáôÜóôáôïé. Ìå Ýíá öôù÷ü óôÞóéìï äéáêïìéóôÞ SOCS, êÜðïéïò áðü ìÝóá ìðïñåß íá êåñäßóåé ðåñéóóüôåñç ðñüóâáóç áðü áõôÞ ðïõ êáíïíéêÜ ôïõ Ý÷åôå ðñïïñßóåé. Ìå ôç TIS åñãáëåéïèÞêç, ôá Üôïìá ðïõ åßíáé ìÝóá Ý÷ïõí ðñüóâáóç ìüíï åêåß ðïõ ï äéá÷åéñéóôÞò ôïõ óõóôÞìáôïò èÝëåé íá Ý÷ïõí. Ôï SOCS åßíáé åýêïëï óôï óôÞóéìï, åõêïëüôåñï óôç ìåôáãëþôôéóç (compile) êáé åðéôñÝðåé ìåãÜëç åõêáìøßá. Ç TIS åñãáëåéïèÞêç åßíáé ðéï áóöáëÞò áí èÝëåôå íá ôáêôïðïéÞóåôå ôïõò ÷ñÞóôåò óáò ìÝóá óôï ðñïóùðéêü óáò äßêôõï. Êáé ïé äýï ðáñÝ÷ïõí áðüëõôç ðñïóôáóßá áð' Ýîù. Èá êáëýøù ôçí åãêáôÜóôáóç êáé ôï óôÞóéìï êáé ôùí äýï. [1m5. ÐñïåôïéìÜæïíôáò ôï óýóôçìá Linux[0m [1m5.1. Ìåôáãëùôôßæïíôáò ôï ðõñÞíá[0m ÎåêéíÜìå ìå ìßá êáèáñÞ åãêáôÜóôáóç ôçò Linux äéáíïìÞò óáò. (×ñçóéìïðïßçóá ôï RH 3.0.3 êáé ôá ðáñáäåßãìáôá åßíáé âáóéóìÝíá óå áõôÞ ôç äéáíïìÞ). ¼óï ðéï ëßãï ëïãéóìéêü Ý÷åôå öïñôþóåé, ôüóï ðéï ëßãåò ôñýðåò, ðßóù ðüñôåò êáé (Þ) bugs èá õðÜñ÷ïõí ãéá íá ðáñïõóéÜóïõí ðñïâëÞìáôá áóöáëåßáò óôï óýóôçìÜ óáò, Ýôóé öïñôþíåôå ìüíï ôçí Ýëá÷éóôç óõëëïãÞ áðü åöáñìïãÝò (minimum installation). ÐÜñôå Ýíá óôáèåñü ðõñÞíá. ×ñçóéìïðïßçóá ôïí 2.0.14 ðõñÞíá ôïõ Linux ãéá ôï óýóôçìÜ ìïõ. ¸ôóé áõôÞ ç ôåêìçñßùóç åßíáé âáóéóìÝíç óôç äéêÞ ìïõ óýíèåóç. Èá ÷ñåéáóôåß íá ìåôáãëùôôßóåôå îáíÜ ôï ðõñÞíá ôïõ Linux ìå ôéò áíÜëïãåò ñõèìßóåéò. Ãé' áõôü êïéôÜîôå óôá Kernel-HOWTO, Ethernet-HOWTO êáé NET-2 HOWTO, åÜí äåí ôï Ý÷åôå îáíáêÜíåé. ÐáñáêÜôù áêïëïõèïýí ïé ñõèìßóåéò ðïõ ãíùñßæù üôé äïõëåýïõí ìå ôï make config. 1. ÊÜôù áðü ôï General setup a. ÂÜëôå Networking Support ON 2. ÊÜôù áðü ôï Networking Options a. ÂÜëôå Network firewalls ON b. ÂÜëôå TCP/IP Networking ON c. ÂÜëôå IP forwarding/gatewaying OFF (UNLESS you wish to use IP filtering) d. ÂÜëôå IP Firewalling ON e. ÂÜëôå IP firewall packet loggin ON (this is not required but it is a good idea) f. ÂÜëôå IP: masquerading OFF (I am not covering this subject here.) g. ÂÜëôå IP: accounting ON h. ÂÜëôå IP: tunneling OFF i. ÂÜëôå IP: aliasing OFF j. ÂÜëôå IP: PC/TCP compatibility mode OFF k. ÂÜëôå IP: Reverse ARP OFF l. ÂÜëôå Drop source routed frames ON 3. ÊÜôù áðü ôï Network device support a. ÂÜëôå Network device support ON b. ÂÜëôå Dummy net driver support ON c. ÂÜëôå Ethernet (10 or 100Mbit) ON d. ÅðéëÝîôå ôç êÜñôá äéêôýïõ óáò (network card) Ôþñá ìðïñåßôå íá ìåôáãëùôôßóåôå êáé íá åðáíåãêáôáóôÞóåôå ôï ðõñÞíá êáé åðáíåêêßíçóç (reboot). Ç êÜñôá (-åò) äéêôýïõ èá åìöáíéóôïýí êáôÜ ôç äéÜñêåéá ôçò åêêßíçóçò. ÅÜí ü÷é, ðçãáßíåôå óôá Üëëá HOWTO îáíÜ ìÝ÷ñé íá äïõëÝøïõí [1m5.2. Ñõèìßæïíôáò äýï êÜñôåò äéêôýïõ[0m ÅÜí Ý÷åôå äýï êÜñôåò äéêôýïõ óôïí õðïëïãéóôÞ óáò, ðéèáíþò èá ÷ñåéáóôåß íá ðñïóèÝóåôå ìßá äÞëùóç óôï áñ÷åßï /etc/lilo.conf ãéá ôç ðåñéãñáöÞ ôùí IRQ êáé ôùí äéåõèýíóåùí ôùí äýï êáñôþí. Ç äÞëùóç óôï äéêü ìïõ lilo.conf åßíáé êÜðùò Ýôóé: append="ether=12,0x300,eth0 ether=15,0x340,eth1" [1m5.3. Ñõèìßæïíôáò ôéò Äéåõèýíóåéò ôïõ Äéêôýïõ[0m Áõôü åßíáé ðñáãìáôéêÜ Ýíá åíäéáöÝñïí êïììÜôé. Ôþñá èá Ý÷åôå ìåñéêÝò áðïöÜóåéò íá ðÜñåôå. ÅðåéäÞ äåí èÝëïõìå ôï Internet íá Ý÷åé ðñüóâáóç óå êáíÝíá ôìÞìá ôïõ ðñïóùðéêïý ìáò äéêôýïõ, äåí ÷ñåéÜæåôáé íá ÷ñçóéìïðïéÞóïõìå ðñáãìáôéêÝò äéåõèýíóåéò. ÕðÜñ÷åé Ýíáò áñéèìüò äéåõèýíóåùí Internet ðïõ âñßóêïíôáé óôçí Üêñç ãéá ôá ðñïóùðéêÜ äßêôõá. ÅðåéäÞ ï êáèÝíáò ÷ñåéÜæåôáé ðåñéóóüôåñåò äéåõèýíóåéò êáé åðåéäÞ áõôÝò ïé äéåõèýíóåéò äåí ìðïñïýí íá äéáóôáõñùèïýí ìÝóá óôï Internet, åßíáé êáëÞ åðéëïãÞ. ÁõôÝò, 192.168.2.÷÷÷, åßíáé ôïðïèåôçìÝíåò óôçí Üêñç êáé èá ôéò ÷ñçóéìïðïéÞóïõìå óôï ðáñÜäåéãìÜ ìáò. Ï firewall óáò, èá åßíáé ìÝëïò êáé óôá äýï äßêôõá êáé Ýôóé èá ìðïñåß íá ìåôáâéâÜæåé äåäïìÝíá áðü êáé ðñïò ôï ðñïóùðéêü óáò äßêôõï. 199.1.2.10 __________ 192.168.2.1 _ __ _ \ | | / _______________ | \/ \/ | \| Firewall |/ | | / Internet \--------| System |------------| Workstation/s | \_/\_/\_/\_/ |__________| |_______________| ÅÜí åðéèõìåßôå íá ÷ñçóéìïðïéÞóåôå firewalls öéëôñáñßóìáôïò ìðïñåßôå íá ÷ñçóéìïðïéÞóåôå áêüìç êáé ôïõò ðáñáðÜíù áñéèìïýò. Èá ÷ñåéáóôåß üìùò íá ÷ñçóéìïðïéÞóåôå IP masqurading ãéá íá óõìâåß áõôü. Ìå áõôÞ ôç äéáäéêáóßá ï firewall èá ðñïùèåß ðáêÝôá êáé èá ôá ìåôáâéâÜæåé óå "REAL (ðñáãìáôéêÝò)" äéåõèýíóåéò ãéá ôï ôáîßäé ôïõò óôï Internet. Èá ðñÝðåé íá ïñßóåôå ôéò ðñáãìáôéêÝò ÉÑ äéåõèýíóåéò óôç êÜñôá äéêôýïõ ðÜíù óôç (Ýîù) ðëåõñÜ ôïõ Internet. Êáé íá ïñßóåôå 192.168.2.1 óôçí Ethernet êÜñôá óôï åóùôåñéêü. ÁõôÞ èá åßíáé ç IP äéåýèõíóç ôïõ åîïõóéïäïôÞ/ðýëç. Ìðïñåßôå íá ïñßóåôå óå üëïõò ôïõò Üëëïõ Ç/Õ ìÝóá óôï ðñïóôáôåõüìåíï äßêôõï ìåñéêïýò áñéèìïýò áðü ôï 192.168.2.÷÷÷ ðåäßï (192.168.2.2 Ýùò 192.168.2.254) ÅðåéäÞ ÷ñçóéìïðïéþ RH Linux (Å! ÐáéäéÜ, ìïõ êÜíåôå Ýíá áíôßãñáöï ãéá ôá plugs? ;-) ãéá íá ñõèìßóù ôï äßêôõï êáôÜ ôï ÷ñüíï åêêßíçóçò ðñüóèåóá Ýíá ifcfg-eth1 áñ÷åßï óôï êáôÜëïãï /etc/sysconfig/network- scripts. Áõôü ôï áñ÷åßï äéáâÜæåôáé êáôÜ ôç äéÜñêåéá ôçò åêêßíçóçò ãéá ôçí åãêáôÜóôáóç ôïõ äéêôýïõ êáé ôùí ðéíÜêùí. ÐáñáêÜôù ðáñïõóéÜæù ìå ôß ôï ifcfg-eth1 ìïéÜæåé. #!/bin/sh #>>>Device type: ethernet #>>>Variable declarations: DEVICE=eth1 IPADDR=192.168.2.1 NETMASK=255.255.255.0 NETWORK=192.168.2.0 BROADCAST=192.168.2.255 GATEWAY=199.1.2.10 ONBOOT=yes #>>>End variable declarations Ìðïñåßôå íá ÷ñçóéìïðïéÞóåôå áõôÜ ôá scripts ãéá íá óõíäåèÞôå áõôüìáôá ìÝóù modem óôï ðáñï÷Ýá óáò Internet. ÊïéôÜîôå óôï ipup-ppp script. ÅÜí ðñïïñßæåôå íá ÷ñçóéìïðïéÞóåôå modem ãéá ôç óýíäåóÞ óáò ìå ôï Internet, ç åîùôåñéêÞ ÉÑ äéåýèõíóç èá ðñÝðåé íá ïñéóôåß áðü ôïí ISP ãéá åóÜò êáôÜ ôç äéÜñêåéá ôçò óýíäåóçò. [1m5.4. ÅëÝã÷ïíôáò ôï äßêôõü óáò.[0m ÎåêéíÞóôå åëÝã÷ïíôáò ôá ifconfig êáé route. ÅÜí Ý÷åôå äýï êÜñôåò äéêôýïõ ôï ifconfig èá åßíáé êÜðùò Ýôóé: #ifconfig lo Link encap:Local Loopback inet addr:127.0.0.0 Bcast:127.255.255.255 Mask:255.0.0.0 UP BROADCAST LOOPBACK RUNNING MTU:3584 Metric:1 RX packets:1620 errors:0 dropped:0 overruns:0 TX packets:1620 errors:0 dropped:0 overruns:0 eth0 Link encap:10Mbps Ethernet HWaddr 00:00:09:85:AC:55 inet addr:199.1.2.10 Bcast:199.1.2.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 TX packets:0 errors:0 dropped:0 overruns:0 Interrupt:12 Base address:0x310 eth1 Link encap:10Mbps Ethernet HWaddr 00:00:09:80:1E:D7 inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 TX packets:0 errors:0 dropped:0 overruns:0 Interrupt:15 Base address:0x350 êáé ï ðßíáêáò route êÜðùò Ýôóé: #route -n Kernel routing table Destination Gateway Genmask Flags MSS Window Use Iface 199.1.2.0 * 255.255.255.0 U 1500 0 15 eth0 192.168.2.0 * 255.255.255.0 U 1500 0 0 eth1 127.0.0.0 * 255.0.0.0 U 3584 0 2 lo default 199.1.2.10 * UG 1500 0 72 eth0 [1mÓçìåßùóç: [22m199.1.2.0 åßíáé ç Internet ðëåõñÜ áõôïý ôïõ firewall êáé 192.168.2.0 ç ðñïóùðéêÞ ðëåõñÜ. Ôþñá ðñïóðáèÞóôå íá êÜíåôå ping ôï Internet áðü ôï firewall. ÓõíÞèéæá íá ÷ñçóéìïðïéþ ôï nic.ddn.mil óáí äïêéìáóôéêü óçìåßï. Åßíáé êáëü óçìåßï äïêéìÞò, áëëÜ Ý÷åé áðïäåé÷èåß üôé åßíáé ëéãüôåñï áîéüðéóôï áð' üôé åß÷á åëðßóåé. Áí äåí äïõëÝøåé ìå ôç ðñþôç, ðñïóðáèÞóôå íá êÜíåôå ping óå ìåñéêÜ Üëëá óçìåßá ðïõ äåí åßíáé óõíäåäåìÝíá ìå ôï ôïðéêü óáò äßêôõï (LAN). ÅÜí äåí äïõëÝøåé ïýôå ôþñá, ôüôå ôï ÑÑÑ äåí åßíáé óôçìÝíï óùóôÜ. ÎáíáäéáâÜóôå ôï ÍÅÔ-2 HOWTO êáé ðñïóðáèÞóôå îáíÜ. ÌåôÜ, ðñïóðáèÞóôå íá êÜíåôå ping Ýíá host ìÝóá óôï ðñïóôáôåõüìåíï äßêôõï áðü ôï firewall. ¼ëïé ïé õðïëïãéóôÝò ìðïñïýí íá êÜíïõí ping ìåôáîý ôïõò. ÅÜí ü÷é, ðçãáßíåôå óôï NET-2 HOWTO îáíÜ êáé äïõëÝøåôå ëßãï ðÜíù óôï äßêôõü óáò áêüìç. ¾óôåñá, ðñïóðáèÞóôå íá êÜíåôå ping ôçí åîùôåñéêÞ äéåýèõíóç ôïõ firewall áðü ôï åóùôåñéêü ôïõ ðñïóôáôåõüìåíïõ äéêôýïõ. (Óçìåßùóç: Ç äéåýèõíóç ôçò åîùôåñéêÞò ðëåõñÜò ôïõ firewall äåí åßíáé êáíÝíáò 192.168.2.÷÷÷ ÉÑ áñéèìüò). ÅÜí ìðïñåßôå, ôüôå äåí Ý÷åôå áðåíåñãïðïéÞóåé ôï IP Forwarding. ÓéãïõñåõôÞôå üôé ôï èÝëåôå áõôü. ÅÜí ôï áöÞóåôå åíåñãïðïéçìÝíï ìðïñåßôå íá ðÜôå êáôåõèåßáí óôï êåöÜëáéï [1m"IP åãêáôÜóôáóç öéëôñáñßóìáôïò (êåöÜëáéï 6)" [22máõôÞò ôçò ôåêìçñßùóçò. Ôþñá, ðñïóðáèÞóôå íá êÜíåôå ping óôï Internet ðßóù áðü ôï firewall ÷ñçóéìïðïéþíôáò ôéò ßäéåò äéåõèýíóåéò ðïõ äïýëåøáí ðñïçãïõìÝíïò. (ð÷ nic.ddn.mil). ÎáíÜ, åÜí Ý÷åôå áðåíåñãïðïéçìÝíï ôï IP Forwarding, áõôü äåí ðñüêåéôáé íá äïõëÝøåé. Áí üìùò ôï Ý÷åôå åíåñãïðïéçìÝíï áõôü èá äïõëÝøåé. Áí Ý÷åôå ôï IP Forwarding åðéëåãìÝíï íá ÷ñçóéìïðïéÞôå "ÐñáãìáôéêÝò (REAL)" (êáé ü÷é 192.168.2.÷÷÷) IP äéåõèýíóåéò ãéá ôï ðñïóùðéêü óáò äßêôõï. Áí äåí ìðïñåßôå íá êÜíåôå ping ôï Internet áëëÜ ìðïñåßôå ôçí Internet ðëåõñÜ ôïõ firewall åëÝîôå áí ï åðüìåíïò äñïìïëïãçôÞò ôçò ãñáììÞò (ðñïò ôï Internet) äñïìïëïãåß ðáêÝôá óôç äéåýèõíóç ôïõ ðñïóùðéêïý óáò äéêôýïõ. (Ï ISP ôï êÜíåé áõôü ãéá åóÜò) ÅÜí Ý÷åôå êáèïñßóåé ôï ðñïóôáôåõüìåíï äßêôõï óôï 192.168.2.÷÷÷, ôüôå êáíÝíá ðáêÝôï äåí ìðïñåß íá äñïìïëïãçèåß óå áõôü ìå ôßðïôá. ÅÜí Ý÷åôå ðñï÷ùñßóåé êáé Ý÷åôå Þäç ôï IP masqurading åíåñãïðïéçìÝíï, áõôü ôï ôåóô èá äïõëÝøåé. Ôþñá Ý÷åôå ôï âáóéêü óáò óýóôçìá Ýôïéìï. [1m5.5. Áóöáëßæïíôáò ôï Firewall.[0m Ï firewall äåí êÜíåé êáëü áí ôïí Ý÷ïõìå äéÜðëáôá áíïéêôü óå åðéèÝóåéò ìÝóù ìç ÷ñçóéìïðïéïýìåíùí õðçñåóéþí. ¸íáò "êáêüò ôýðïò (bad guy)" ìðïñåß íá áðïêôÞóåé ðñüóâáóç óôï firewall êáé íá ôïí ôñïðïðïéÞóåé áíÜëïãá ìå ôéò áíÜãêåò ôïõ. ÎåêéíÜìå áðåíåñãïðïéþíôáò üëåò ôéò Ü÷ñçóôåò õðçñåóßåò. ÊïéôÜîôå ôï áñ÷åßï /etc/inetd.conf. Áõôü ôï áñ÷åßï åëÝã÷åé ôï ôé êÜëåóå ôïí "õðÝñ äéáêïìéóôÞ (super server)". ÅëÝã÷åé ìßá ïìÜäá áðü äáßìïíåò õðçñÝôåò êáé ôïõò îåêéíÜ üôáí áõôïß æçôçèïýí. ÏðùóäÞðïôå áðåíåñãïðïéïýìå ôá netstat, systat, tftp, bootp, êáé finger. Ãéá íá áðåíåñãïðïéÞóïõìå ìßá õðçñåóßá, âÜëôå # óôï ðñþôï ÷áñáêôÞñá ôçò ãñáììÞò ôçò êÜèå õðçñåóßáò ðïõ äåí èÝëïõìå. ¼ôáí ôï êÜíåôå áõôü, óôåßëôå Ýíá SIG-HUP óôç äéåñãáóßá ãñÜöïíôáò [1m"kill -HUP[0m [1m<pid>"[22m, üðïõ <pid> åßíáé ï áñéèìüò åñãáóßáò ôïõ inetd. Áõôü ìðïñåß íá êÜíåé ôï inedt íá îáíáäéáâÜóåé ôï áñ÷åßï ñõèìßóåþí ôïõ (inedt.conf) êáé åðáíåêêßíçóç (restart). [1m6. IP åãêáôÜóôáóç öéëôñáñßóìáôïò (IPFWADM)[0m Ãéá îåêßíçìá, èá ðñÝðåé íá Ý÷åôå ôï IP Forwarding åíåñãïðïéçìÝíï óôï ðõñÞíá êáé ôï óýóôçìá èá ðñÝðåé íá åßíáé öïñôùìÝíï êáé íá ðñïùèåß ü,ôé ôïõ óôÝëíåôå. Ïé ðßíáêåò äñïìïëïãßùí (routing tables) èá ðñÝðåé íá åßíáé óôç èÝóç ôïõò êáé èá ðñÝðåé íá Ý÷åôå ðñüóâáóç ðáíôïý, áðü ìÝóá Ýîù êáé áðü Ýîù ìÝóá. ¶ëëá åìåßò ÷ôßæïõìå Ýíá firewall, Ýôóé ÷ñåéÜæåôáé íá îåêéíÞóïõìå íá âïõëþíïõìå óå ôß õðÜñ÷åé ðñüóâáóç, áðü üëïõò. Óôï óýóôçìÜ ìïõ äçìéïýñãçóá ìåñéêÜ scripts ãá íá ôïðïèåôþ óôï firewall ðïëéôéêÞ ðñïþèçóçò êáé ðïëéôéêÞ èåþñçóçò. Êáëþ áõôÜ ôá scripts áðü ôá /etc/rc.d scripts Ýôóé ôï óýóôçìÜ ìïõ åßíáé ñõèìéóìÝíï áðü ôç óôéãìÞ ôçò åêêßíçóçò. Åî ïñéóìïý ôï IP Forwarding óýóôçìá óôï ðõñÞíá ôïõ Linux ðñïùèåß ôá ðÜíôá. Ãé' áõôü ôï script ôïõ firewall èá ðñÝðåé íá îåêéíÜ áðü ôï íá áñíåßôáé ðñüóâáóç óôá ðÜíôá êáé íá êáèáñßæåé üðïéïõò ipfw êáíüíåò åßíáé ôïðïèåôçìÝíïé áðü ôç ôåëåõôáßá öïñÜ ðïõ Ýôñåîå. Ôçí åñãáóßá áõôÞ ôç êÜíåé ôï ðáñáêÜôù script : # # setup IP packet Accounting and Forwarding # # Forwarding # # By default DENY all services ipfwadm -F -p deny # Flush all commands ipfwadm -F -f ipfwadm -I -f ipfwadm -O -f Ôþñá Ý÷ïõìå ôïí ôåëéêü firewall. Ôßðïôá äåí ìðïñåß íá ðåñÜóåé áðü ìÝóá. ×ùñßò áìöéâïëßá Ý÷åôå êÜðïéåò õðçñåóßåò ðïõ ÷ñåéÜæåôáé íá ðñïùèÞóåôå (åíåñãïðïéÞóåôå) Ýôóé åäþ õðÜñ÷ïõí ìåñéêÜ ðáñáäåßãìáôá ðïõ èá âñåßôå ÷ñÞóéìá. · # Ðñïþèçóç email óôï äéáêïìéóôÞ ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D 192.1.2.10 25 · # Ðñïþèçóç óýíäåóçò email óôïí åîùôåñéêü äéáêïìéóôÞ email ipfwadm -F -a accept -b -P tcp -S 196.1.2.10 25 -D 0.0.0.0/0 1024:65535 · # Ðñïþèçóç óýíäåóçò Web óôïí Web äéáêïìéóôÞ /sbin/ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D 196.1.2.11 80 · # Ðñïþèçóç óýíäåóçò Web ãéá ôïí åîùôåñéêü Web äéáêïìéóôÞ /sbin/ipfwadm -F -a accept -b -P tcp -S 196.1.2.* 80 -D 0.0.0.0/0 1024:65535 · # Ðñïþèçóç DNS óõíáëëáãÞò /sbin/ipfwadm -F -a accept -b -P udp -S 0.0.0.0/0 53 -D 196.1.2.0/24 Ìðïñåßôå íá åíäéáöåñèÞôå åðßóçò ãéá ôçí êáôáãñáöÞ ôùí óõíäéáëëáãþí ðïõ ðåñíïýí ôï firewall. Áõôü ôï script èá êáôáãñÜöåé êÜèå ðáêÝôï. Ìðïñåßôå íá ðñïóèÝóåôå ìßá ãñáììÞ Þ äýï ãéá íá êáôáãñÜöåôå ãéá ðáêÝôá ìåôáâáßíïíôáò óå Ýíá ìïíü óýóôçìá. # Êáèáñßóôå ôïõ õðÜñ÷ïíôåò êáíüíåò êáôáãñáöÞò ipfwadm -A -f # ÊáôáãñÜöùíôáò /sbin/ipfwadm -A -f /sbin/ipfwadm -A out -i -S 196.1.2.0/24 -D 0.0.0.0/0 /sbin/ipfwadm -A out -i -S 0.0.0.0/0 -D 196.1.2.0/24 /sbin/ipfwadm -A in -i -S 196.1.2.0/24 -D 0.0.0.0/0 /sbin/ipfwadm -A in -i -S 0.0.0.0/0 -D 196.1.2.0/24 ÅÜí ôá üóá æçôÜôå Þôáí Ýíáò firewall öéëôñáñßóìáôïò ìðïñåßôå íá óôáìáôÞóåôå åäþ. ÁðïëÜõóôå ôï :-) [1m7. Åãêáèéóôþíôáò ôïí äéáêïìéóôÞ åîïõóéïäüôçóçò TIS[0m [1m7.1. Áðïêôþíôáò ôï ëïãéóìéêü[0m Ç TIS fwtk åßíáé äéáèÝóéìç óôï [1mftp://ftp.tis.com/[22m. Ìçí êÜíåôå ôï ëÜèïò ðïõ Ýêáíá åãþ. ¼ôáí êáôåâÜæåôå áñ÷åßá áðü ôï TIS ÄÉÁÂÁÓÔÅ ÔÁ README. Ç TIS fwtk åßíáé êëåéäùìÝíç ìÝóá óå Ýíá êñõöü êáôÜëïãï óôï äéáêïìéóôÞ ôïõò.Ôï TIS æçôÜ íá óôåßëåôå Ýíá email óôï [1mfwtk-request@tis.com [22mìå ìüíï ôç ëÝîç [1mSEND [22móôï óþìá ôïõ ìõíÞìáôïò ãéá íá ìÜèåôå ôï üíïìá áõôïý ôïõ êñõììÝíïõ êáôáëüãïõ. Äåí ÷ñåéÜæåôáé èÝìá (subject) óôï ìÞíõìá. Ôï óýóôçìÜ ôïõò èá óáò óôåßëåé ôï üíïìá áõôïý ôïõ êñõöïý êáôáëüãïõ (êáëü ãéá 12 þñåò) ãéá íá êáôåâÜóåôå ôï ðçãáßï áñ÷åßï. Ôç óôéãìÞ ðïõ ãñÜöù áõôü (ôï HOWTO) ôï TIS åêäßäåé ôçí Ýêäïóç 2.0 (beta) ôçò FWTK. ÁõôÞ ç Ýêäïóç öáßíåôáé üôé ìåôáãëùôôßæåôáé êáëÜ (ìå ìåñéêÝò åîáéñÝóåéò) êáé ôá ðÜíôá äïõëåýïõí. ÁõôÞ åßíáé ç Ýêäïóç ðïõ èá êáëýøù åäþ. ¼ôáí äéáèÝóïõí ôï ôåëéêü êþäéêá èá áíáíåþóù ôï HOWTO. Ãéá ôçí åãêáôÜóôáóç ôç FWTK, äçìéïõñãÞóôå ôï êáôÜëïãï fwtk-2.0 óôï /usr/src. ÌåôáêéíÞóôå ôï áíôßãñáöï ôçò FWTK fwtk-2.0.tar.gz) áðü ôï êáôÜëïãü óáò óå áõôüí ôï êáôÜëïãï (/usr/src/fwtk-2.0) êáé áðïóõìðéÝóôå ôï. (tar zxf fwtk-2.0.tar.gz) Ç FWTK äåí åîïõóéïäïôåß (õðïóôçñßæåé) SSL web êåßìåíá áëëÜ õðÜñ÷åé Ýíá ðñüóèåôï (add on) ãé' áõôÞ ãñáììÝíï áðü ôïí Jean-Christophe Touvet. Åßíáé äéáèÝóéìï óôï [1mftp://ftp.edelweb.fr/pub/contrib/fwtk/ssl-[0m [1mgw.tar.Z[22m. Ï Touvet äåí õðïóôçñßæåé áõôü ôï êþäéêá ×ñçóéìïðïéþ ìßá ôñïðïðïéçìÝíç Ýêäïóç ðïõ ðåñéëáìâÜíåé ðñüóâáóç ãéá Netscape áóöáëåßò äéáêïìéóôÝò íÝùí ãñáììÝíï áðü ôïí Eric Wedel. Åßíáé äéáèÝóéìç óôï [1mftp://mdi.meridian-data.com/pub/tis.fwtk/ssl-gw/ssl-[0m [1mgw2.tar.Z[22m. Óôï ðáñÜäåéãìÜ ìáò èá ÷ñçóéìïðïéÞóù ôçí Ýêäïóç ôïõ Eric Wedel. Ãéá íá ôï åãêáôáóôÞóåôå, áðëÜ äçìéïõñãÞóôå ôï ssl-gw êáôÜëïãï óôï /usr/src/fwtk-2.0 êáé âÜëôå ôá áñ÷åßá åêåß ìÝóá. ¼ôáí åãêáôÝóôçóá áõôÞ ôç ðýëç áðáßôçóå ìåñéêÝò áëëáãÝò ðñéí ìåôáãëùôôéóôåß ìáæß ìå ôçí õðüëïéðç åñãáëåéïèÞêç. Ç ðñþôç áëëáãÞ Þôáí óôï ssl-gw.c áñ÷åßï. ÂñÞêá üôé äåí ðåñéåëÜìâáíå Ýíá ÷ñÞóéìï ðåñéåëáìâáíüìåíï (included) áñ÷åßï. #if defined(__linux) #include <sys/ioctl.h> #endif Äåýôåñïí äåí Ýñ÷åôáé ìå Makefile. ÁíôÝãñáøá Ýíá Ýîù áðü ôïõò Üëëïõò êáôáëüãïõò ðõëþí êáé áíôéêáôÝóôçóá ôï üíïìá ôçò ðýëçò ìå ôï ssl-gw. [1m7.2. Ìåôáãëùôôßæïíôáò ôçí TIS FWTK[0m Ç Ýêäïóç 2.0 ôçò FWTK ìåôáãëùôôßæåôáé ðïëý ðéï åýêïëá áðü ïðïéáäÞðïôå ðáëáéüôåñç Ýêäïóç. Âñßóêù áêüìá ìåñéêÜ ðñÜãìáôá ðïõ ÷ñåéÜæåôáé íá áëëá÷èïýí ðñéí ç BETA Ýêäïóç ìðïñåß íá ìåôáãëùôôéóôåß êáèáñÜ. Åëðßæù áõôÝò ïé áëëáãÝò íá ãßíïõí óôç ôåëéêÞ Ýêäïóç. Ãéá ôç äéüñèùóÞ ôïõò, îåêéíÞóôå áëëÜæïíôáò ôï /usr/src/fwtk/fwtk êáôÜëïãï êáé áíôéãñÜøôå ôï Makefile.config.linux ðÜíù áðü ôï Makefile.config [1mÌÇÍ ÅÊÔÅËÅÓÅÔÅ ÔÏ FIXMAKE[22m. Ïé ïäçãßåò ëÝíå íá ôï åêôåëÝóåôå. ÅÜí ôï êÜíåôå èá óðÜóåé ôá Makefiles óôï êÜèå êáôÜëïãï Äåí Ý÷ù êáìßá äéüñèùóç ãéá ôï fixmake. Ôï ðñüâëçìá åßíáé ôï sed script ðñïóèÝóôå Ýíá '.' êáé '' óôç êÜèå ãñáììÞ ðïõ ðåñéëáìâÜíåé ôá Makefiles. sed 's/^include[ ]*\([^ ].*\)/include \1/' $name .proto > $name ÌåôÜ ÷ñåéÜæåôáé íá åðåîåñãáóôïýìå ôï áñ÷åßï Makefile.config. ÕðÜñ÷ïõí äýï áëëáãÝò ðïõ ÷ñåéÜæåôáé íá êÜíåôå. Ï óõããñáöÝáò Ýèåóå ùò ðçãáßï êáôÜëïãï ôï äéêü ôïõ óðéôéêü êáôÜëïãï. Èá ìåôáãëùôôßóïõìå ôï êþäéêÜ ìáò óôï /usr/src Ýôóé ðñÝðåé íá áëëÜîïõìå ôç ìåôáâëçôÞ FWTKSRCDIR ãéá íá áíôéêáôñïðôßæåé áõôü. FWTKSRCDIR=/usr/src/fwtk/fwtk Äåýôåñïí, óå ïñéóìÝíá ëßãá óõóôÞìáôá Linux ÷ñçóéìïðïéÞôáé ç âÜóç äåäïìÝíùí gdbm. Ôï Makefile.conf ÷ñçóéìïðïéåß dbm. Èá ÷ñåéáóôåß íá áëëÜîåôå áõôü. Åß÷á ãéá ôï RH 3.0.3 DBMLIB=-lgdbm Ç ôåëåõôáßá äéüñèùóç åßíáé óôï x-gw. Ôï bug óôç ÂÅÔÁ Ýêäïóç åßíáé ìÝóá óôï socket.c êþäéêá. Ãéá íá ôï öôéÜîåôå óâÞóôå ôéò ðáñáêÜôù ãñáììÝò êþäéêá #ifdef SCM_RIGHTS /* 4.3BSD Reno and later */ + sizeof(un_name->sun_len) + 1 #endif ÅÜí ðñïóèÝóåôå ôï ssl-gw óôï FWTK ðçãáßï êáôÜëïãï óáò. Èá ÷ñåéáóôÞôå íá ðñïóèÝóåôå áõôü óôç ëßóôá êáôáëüãùí óôï Makefile. DIRS= smap smapd netacl plug-gw ftp-gw tn-gw rlogin-gw http-gw x-gw ssl-gw Ôþñá åêôåëÝóôå ôï [1mmake[22m. [1m7.3. Åãêáèéóôþíôáò ôçí TIS FWTK[0m ÅêôåëÝóôå [1mmake install[22m. Ï åî ïñéóìïý êáôÜëïãïò åãêáôÜóôáóçò åßíáé ï /usr/local/etc. Ìðïñåßôå íá ôïí áëëÜîåôå (åãþ ü÷é) óå Ýíá ðéï áóöáëÝò êáôÜëïãï. ÄéÜëåîá íá áëëÜîù ôç ðñüóâáóç óôï êáôÜëïãï áõôü ìå chmod 700. ¼ëá áõôÜ ðïõ Ýìåéíáí ôþñá åßíáé ç ôåëéêÞ ñýèìéóç ôïõ firewall [1m7.4. Ñõèìßæïíôáò ôçí TIS FWTK[0m Ôþñá áñ÷ßæåé ç ðñáãìáôéêÞ äéáóêÝäáóç. ÐñÝðåé íá ìÜèïõìå :-) ôï óýóôçìá íá êáëåß áõôÝò ôéò íÝåò õðçñåóßåò êáé íá äçìéïõñãåß ôïõò ðßíáêåò ãéá ôïí Ýëåã÷ü ôïõò. Äåí ðñüêåéôáé íá äïêéìÜóù íá îáíáãñÜøù ôï åã÷åéñßäéï ôçò TIS FWTK, åäþ. Èá óáò äåßîù ôéò ñõèìßóåéò ðïõ áíáêÜëõøá äïõëåýïíôáò êáé èá åîçãÞóù ôá ðñïâëÞìáôá ðïõ âñÞêá êáé ðþò ôá îåðÝñáóá. ÕðÜñ÷ïõí ôñßá áñ÷åßá ðïõ ñõèìßæïõí áõôÜ ôá ÷åéñéóôÞñéá · /etc/services · ËÝåé óôï óýóôçìá ôß ðüñôåò õðçñåóéþí åßíáé áíïéêôÝò · /etc/inetd.conf · ËÝåé óôï inetd ôß ðñüãñáììá íá êáëåß üôáí êÜðïéïò ÷ôõðÜ ðüñôá õðçñåóßáò · /usr/local/etc/netperm-table · ËÝåé óôéò FWTK õðçñåóßåò óå ðïéüí íá åðéôñÝðïõí êáé óå ðïéüí íá áðáãïñåýïõí ôçò õðçñåóßåò ôïõò. Ãéá íá ðÜñåôå ôç FWTK ëåéôïõñãéêÞ, èá ðñÝðåé íá åðåîåñãáóôÞôå áõôÜ ôá áñ÷åßá áðü ôï ôåëåõôáßï ðñïò ôá ðÜíù. ÅðåîåñãÜæïíôáò ôá áñ÷åßá ôùí õðçñåóéþí ÷ùñßò ôï inedt.conf Þ ôï netperm-table ñõèìéóìÝíá óùóôÜ ìðïñåß íá êÜíåôå ôï óýóôçìÜ óáò áðñïóðÝëáóôï. [1m7.4.1. Ôï áñ÷åßï netperm-table[0m Áõôü ôï áñ÷åßï åëÝã÷åé ðïéüò ìðïñåß íá Ý÷åé ðñüóâáóç óôéò õðçñåóßåò áðü ôç TIS FWTK. Ïöåßëåôå íá óêåöôÞôå ó÷åôéêÜ ìå ôï êõêëïöïñéáêü ÷ñçóéìïðïéþíôáò ôï firewall êáé áðü ôéò äýï ðëåõñÝò. Ï êüóìïò Ýîù áðü ôï äßêôõü óáò, ïöåßëåé íá áíáãíùñßóåé ôïõò åáõôïýò ôùí ðñéí êåñäßóïõí ðñüóâáóç, áëëÜ ï êüóìïò ìÝóá óôï äßêôõü óáò ìðïñåß íá áöåèåß íá ðåñíÜ áðëÜ áðü ìÝóá. ¸ôóé ï êüóìïò ìðïñåß íá áíáãíùñßóåé ôïõò åáõôïýò ôïõò, ï firewall ÷ñçóéìïðïéåß Ýíá ðñüãñáììá ðïõ êáëåßôáé [1mauthsrv [22mãéá íá êñáôÜ ìßá âÜóç äåäïìÝíùí ôá user ID êáé ôïõò êùäéêïýò. Ôï ôìÞìá åðéêýñùóçò áðü ôï netperm-table åëÝã÷åé ðïõ ç âÜóç äåäïìÝíùí âñßóêåôáé êáé ðïéüò ìðïñåß íá Ý÷åé ðñüóâáóç óå áõôÞ. Åß÷á êÜðïéá ðñïâëÞìáôá êëåßíïíôáò ôç ðñüóâáóç óå áõôÞ ôçí õðçñåóßá. Óçìåéþóôå üôé ç ãñáììÞ permit-hosts ðïõ ðáñïõóéÜæù ÷ñçóéìïðïéåß '*' ãéá íá äßíåé óå üëïõò ðñüóâáóç. Ïé óùóôÝò ñõèìßóåéò ãéá ôç ãñáììÞ áõôÞ åßíáé '' authsrv: premit-hosts localhost åÜí ìðïñÝóåôå íá ôï ðáñÝôå áõôü äïõëåýïíôáò # # Proxy configuration table # # Authentication server and client rules authsrv: database /usr/local/etc/fw-authdb authsrv: permit-hosts * authsrv: badsleep 1200 authsrv: nobogus true # Client Applications using the Authentication server *: authserver 127.0.0.1 114 Ãéá íá ïñßóåôå ôç âÜóç äåäïìÝíùí, ãßíåôå root, êáé åêôåëÝóôå [1m./authsrv[0m ìÝóá óôï /var/local/etc êáôÜëïãï ãéá íá äçìéïõñãçèåß ç åããñáöÞ ôïõ ÷ñÞóôç ðïõ åêôåëåß ÷ñÝç äéá÷åéñéóôÞ. Åäþ åßíáé Ýíá áðëü ðáñÜäåéãìá. ÄéáâÜóôå ôç ôåêìçñßùóç ôçò FWTK ãéá íá ìÜèåôå ðþò íá ðñïóèÝôåôå ÷ñÞóôåò êáé ïìÜäåò. # # authsrv authsrv# list authsrv# adduser admin "Auth DB admin" ok - user added initially disabled authsrv# ena admin enabled authsrv# proto admin pass changed authsrv# pass admin "plugh" Password changed. authsrv# superwiz admin set wizard authsrv# list Report for users in database user group longname ok? proto last ------ ------ ------------------ ----- ------ ----- admin Auth DB admin ena passw never authsrv# display admin Report for user admin (Auth DB admin) Authentication protocol: password Flags: WIZARD authsrv# ^D EOT # Ôï ÷åéñéóôÞñéï ôçò telnet ðýëçò (tn-gw) åßíáé êáôåõèåßáí ìðñïóôÜ êáé ôï ðñþôï ðïõ ïöåßëåôå íá óôÞóåôå. Óôï ðáñÜäåéãìÜ ìïõ, åðéôñÝðù óå host áðü ôï åóùôåñéêü ôïõ ðñïóùðéêïý äéêôýïõ íá ðåñíÜåé áðü ìÝóá ÷ùñßò íá åðéêõñþíïõí ôïõò åáõôïýò ôïõò. (permit-hosts 19961.2.* -passok) ÁëëÜ, êÜèå Üëëïò ÷ñÞóôçò ðñÝðåé íá åéóÜãåé ôá user ID êáé ôï êùäéêü ôïõ ãéá íá ÷ñçóéìïðïéåß ôïí åîïõóéïäïôçôÞ. (permit-hosts * -auth) Åðßóçò åðéôñÝðù óå Ýíá Üëëï óýóôçìá (196.1.2.202) íá Ý÷åé ðñüóâáóç óôï firewall ÷ùñßò íá ðåñíÜ ìÝóá áðü ôï firewall óôç ðñáãìáôéêüôçôá. Ïé äýï ãñáììÝò inetacl-in.telnetd ôï êÜíïõí áõôü. Èá åîçãÞóù ðþò áõôÝò ïé ãñáììÝò êáëïýíôáé áñãüôåñá. Ôï Telnet time out ïöåßëåôáé íá êñáôçèåß ìéêñü. # telnet gateway rules: tn-gw: denial-msg /usr/local/etc/tn-deny.txt tn-gw: welcome-msg /usr/local/etc/tn-welcome.txt tn-gw: help-msg /usr/local/etc/tn-help.txt tn-gw: timeout 90 tn-gw: permit-hosts 196.1.2.* -passok -xok tn-gw: permit-hosts * -auth # Only the Administrator can telnet directly to the Firewall via Port 24 netacl-in.telnetd: permit-hosts 196.1.2.202 -exec /usr/sbin/in.telnetd Ïé r-commands äïõëåýïõí ìå ôïí ßäéï ôñüðï üðùò ôï telnet. # rlogin gateway rules: rlogin-gw: denial-msg /usr/local/etc/rlogin-deny.txt rlogin-gw: welcome-msg /usr/local/etc/rlogin-welcome.txt rlogin-gw: help-msg /usr/local/etc/rlogin-help.txt rlogin-gw: timeout 90 rlogin-gw: permit-hosts 196.1.2.* -passok -xok rlogin-gw: permit-hosts * -auth -xok # Only the Administrator can telnet directly to the Firewall via Port netacl-rlogind: permit-hosts 196.1.2.202 -exec /usr/libexec/rlogind -a Äåí ïöåßëåôå íá Ý÷åôå óå êáíÝíáí Üìåóç ðñüóâáóç óôï firewall êáé áõôü ðåñéëáìâÜíåé ôï FTP Ýôóé äåí âÜæïõìå ôï FTP, äéáêïìéóôÞ ðÜíù óôï firewall. ÎáíÜ, ïé ãñáììÝò permit-hosts åðéôñÝðïõí ìÝóá óôï ðñïóôáôåõüìåíï äßêôõï åëåýèåñç ðñüóâáóç óôï Intenet êáé üëïé ïé Üëëïé ðñÝðåé íá åðéêõñþóïõí ôïõò åáõôïýò ôïõò. ÓõìðåñéÝëáâá ôç êáôáãñáöÞ óõìâÜíôùí ãéá êÜèå áñ÷åßï ðïõ áðïóôÝëåôáé êáé ðáñáëáìâÜíåôáé ãéá ôïí åëÝã÷ü ìïõ. (-log { retr stor }) Ôï ftp timeout åëÝã÷åé ðüóï èá ðÜñåé ãéá íá ñßîåé ìßá êáêÞ óýíäåóç ôüóï üóï ðüóï èá êñáôÞóåé ìßá óýíäåóç ðïõ Ý÷åé ìåßíåé áíïéêôÞ ÷ùñßò äñáóôçñéüôçôá. # ftp gateway rules: ftp-gw: denial-msg /usr/local/etc/ftp-deny.txt ftp-gw: welcome-msg /usr/local/etc/ftp-welcome.txt ftp-gw: help-msg /usr/local/etc/ftp-help.txt ftp-gw: timeout 300 ftp-gw: permit-hosts 196.1.2.* -log { retr stor } ftp-gw: permit-hosts * -authall -log { retr stor } Web, gopher êáé óå browser âáóéóìÝíï ftp åßíáé ðáñáìïñöùìÝíá áðü ôç http-gw. Ïé äýï ðñþôåò ãñáììÝò äçìéïõñãïýí Ýíá êáôÜëïãï ãéá áðïèÞêåõóç ôùí ftp êáé web êåéìÝíùí êáèþò áõôÜ ðåñíïýí ìÝóá áðü ôï firewall. ¸êáíá áõôÜ ôá áñ÷åßá íá áíïßêïõí óôïí root êáé ôá ôïðïèÝôçóá óå Ýíá êáôÜëïãï ðñïóâÜóéìï ìüíï áðü ôïí root. Ç óýíäåóç Web ïöåßëåôáé íá êñáôçèåß ìéêñÞ. ÅëÝã÷åé ðüóï ï ÷ñÞóôçò èá ðåñéìÝíåé óå ìßá êáêÞ óýíäåóç. # www and gopher gateway rules: http-gw: userid root http-gw: directory /jail http-gw: timeout 90 http-gw: default-httpd www.afs.net http-gw: hosts 196.1.2.* -log { read write ftp } http-gw: deny-hosts * Ôï ssl-gw åßíáé ðñÜãìáôé áðëÜ ìßá äéÜâáóç ïðïéáóäÞðïôå ðýëçò. ÐñïóÝîôå ìå áõôü. Óå áõôü ôï ðáñÜäåéãìá åðéôñÝðù óôïí êáèÝíá áðü ìÝóá ôïõ ðñïóôáôåõüìåíïõ äéêôýïõ íá óõíäÝåôáé óå êÜèå äéáêïìéóôÞ Ýîù áðü ôï äßêôõï åêôüò ôùí äéåõèýíóåùí 127.0.0.÷÷÷ êáé 192.1.1.÷÷÷ êáé ìüíï óôéò ðüñôåò 443 Ýùò 563. Ïé ðüñôåò 443 Ýùò 563 åßíáé ãíùóôÝò SSL ðüñôåò. # ssl gateway rules: ssl-gw: timeout 300 ssl-gw: hosts 196.1.2.* -dest { !127.0.0.* !192.1.1.* *:443:563 } ssl-gw: deny-hosts * Åäþ åßíáé Ýíá ðáñÜäåéãìá óôï ðþò íá ÷ñçóéìïðïéÞóåôå ôï plug-gw ãéá íá åðéôñÝøåôå óõíäÝóåéò óå äéáêïìéóôÝò íÝùí. Óå áõôü ôï ðáñÜäåéãìá åðéôñÝðù óôï êáèÝíá ìÝóá óôï ðñïóôáôåýïìåíï äßêôõï íá óõíäåèåß óå Ýíá ìüíï óýóôçìá êáé ìüíï óôç ðüñôá íÝùí ôïõ. Ç äåýôåñç ãñáììÞ åðéôñÝðåé ôï äéáêïìéóôÞ íÝùí íá ðåñíÜ ôá äåäïìÝíá ôïõ ðßóù óôï ðñïóôáôåõüìåíï äßêôõï. ÅðåéäÞ ðïëëïß ðåëÜôåò ðåñéìÝíïõí íá óôÝêïíôáé óõíäåäåìÝíïé üóï ï ÷ñÞóôçò äéáâÜæåé ôá íÝá, ôï timeout ãéá äéáêïìéóôÝò íÝùí ïöåßëåôáé íá åßíáé ìåãÜëï. # NetNews Pluged gateway plug-gw: timeout 3600 plug-gw: port nntp 196.1.2.* -plug-to 199.5.175.22 -port nntp plug-gw: port nntp 199.5.175.22 -plug-to 196.1.2.* -port nntp Ç ðýëç finger åßíáé áðëÞ. Ï êáèÝíáò ìÝóá óôï ðñïóôáôåõüìåíï äßêôõï ðñÝðåé íá êÜíåé login ðñþôá êáé ìåôÜ åðéôñÝðïõìå íá ÷ñçóéìïðïéÞóïõí ôï ðñüãñáììá finger ðÜíù óôï firewall. ¼ëïé ïé Üëëïé áðëÜ ðÝñíïõí Ýíá ìÞíõìá. # Enable finger service netacl-fingerd: permit-hosts 196.1.2.* -exec /usr/libexec/fingerd netacl-fingerd: permit-hosts * -exec /bin/cat /usr/local/etc/finger.txt Äåí Ý÷ù óôÞóåé ôéò Mail êáé X-windows õðçñåóßåò Ýôóé äåí ðåñéëáìâÜíù ðáñáäåßãìáôá. ÅÜí êÜðïéïò Ý÷åé äïõëÝøåé Ýíá ðáñÜäåéãìá, ðáñáêáëþ óôåßëôå ìïõ email. [1m7.4.2. Ôï áñ÷åßï inetd.conf[0m Åäþ åßíáé ðëÞñåò Ýíá áñ÷åßï /etc/inetd.conf. ¼ëåò ïé Ü÷ñçóôåò õðçñåóßåò Ý÷ïõí áöáéñåèåß ùò ó÷üëéá. ¸÷ù óõìðåñéëÜâåé ôï ðëÞñåò áñ÷åßï ãéá íá äåßîù ôß íá áðåíåñãïðïéÞóåôå, ôüóï üóï ôï ðþò íá óôÞíåôå ôéò íÝåò õðçñåóßåò ôïõ firewall. #echo stream tcp nowait root internal #echo dgram udp wait root internal #discard stream tcp nowait root internal #discard dgram udp wait root internal #daytime stream tcp nowait root internal #daytime dgram udp wait root internal #chargen stream tcp nowait root internal #chargen dgram udp wait root internal # FTP firewall gateway ftp-gw stream tcp nowait.400 root /usr/local/etc/ftp-gw ftp-gw # Telnet firewall gateway telnet stream tcp nowait root /usr/local/etc/tn-gw /usr/local/etc/tn-gw # local telnet services telnet-a stream tcp nowait root /usr/local/etc/netacl in.telnetd # Gopher firewall gateway gopher stream tcp nowait.400 root /usr/local/etc/http-gw /usr/local/etc/http-gw # WWW firewall gateway http stream tcp nowait.400 root /usr/local/etc/http-gw /usr/local/etc/http-gw # SSL firewall gateway ssl-gw stream tcp nowait root /usr/local/etc/ssl-gw ssl-gw # NetNews firewall proxy (using plug-gw) nntp stream tcp nowait root /usr/local/etc/plug-gw plug-gw nntp #nntp stream tcp nowait root /usr/sbin/tcpd in.nntpd # SMTP (email) firewall gateway #smtp stream tcp nowait root /usr/local/etc/smap smap # # Shell, login, exec and talk are BSD protocols. # #shell stream tcp nowait root /usr/sbin/tcpd in.rshd #login stream tcp nowait root /usr/sbin/tcpd in.rlogind #exec stream tcp nowait root /usr/sbin/tcpd in.rexecd #talk dgram udp wait root /usr/sbin/tcpd in.talkd #ntalk dgram udp wait root /usr/sbin/tcpd in.ntalkd #dtalk stream tcp waut nobody /usr/sbin/tcpd in.dtalkd # # Pop and imap mail services et al # #pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d #pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d #imap stream tcp nowait root /usr/sbin/tcpd imapd # # The Internet UUCP service. # #uucp stream tcp nowait uucp /usr/sbin/tcpd /usr/lib/uucp/uucico -l # # Tftp service is provided primarily for booting. Most sites # run this only on machines acting as "boot servers." Do not uncomment # this unless you *need* it. # #tftp dgram udp wait root /usr/sbin/tcpd in.tftpd #bootps dgram udp wait root /usr/sbin/tcpd bootpd # # Finger, systat and netstat give out user information which may be # valuable to potential "system crackers." Many sites choose to disable # some or all of these services to improve security. # # cfinger is for GNU finger, which is currently not in use in RHS Linux # finger stream tcp nowait root /usr/sbin/tcpd in.fingerd #cfinger stream tcp nowait root /usr/sbin/tcpd in.cfingerd #systat stream tcp nowait guest /usr/sbin/tcpd /bin/ps -auwwx #netstat stream tcp nowait guest /usr/sbin/tcpd /bin/netstat -f inet # # Time service is used for clock syncronization. # #time stream tcp nowait root /usr/sbin/tcpd in.timed #time dgram udp wait root /usr/sbin/tcpd in.timed # # Authentication # auth stream tcp wait root /usr/sbin/tcpd in.identd -w -t120 authsrv stream tcp nowait root /usr/local/etc/authsrv authsrv # # End of inetd.conf [1m7.4.3. Ôï áñ÷åßï /etc/services[0m Åäþ åßíáé ðïõ îåêéíïýí üëá. ¼ôáí Ýíáò ðåëÜôçò óõíäåèåß óôï firewall áõôü óõíäÝåôáé óå ìßá ãíùóôÞ ðüñôá. (ìéêñüôåñç áðü 1024). ð.÷. Ôï telnet óõíäÝåôáé óôç ðüñôá 23. Ï inetd äáßìïíáò áêïýåé áõôÞ ôç óýíäåóç êáé êïéôÜ ôï üíïìá áõôÞò ôçò õðçñåóßáò óôï áñ÷åßï /etc/services. Áõôü ôüôå êáëåß ôï ðñüãñáììá ïñéóìÝíï ãéá ôï üíïìá óôï ìÝóá óôï áñ÷åßï /etc/inetd.conf. ÊÜðïéåò õðçñåóßåò ðïõ äçìéïõñãïýìå äåí åßíáé êáíïíéêÜ óôï áñ÷åßï /etc/sevices. Ìðïñåßôå íá ïñßóåôå ìåñéêÝò áðü áõôÝò óå üðïéá ðüñôá èÝëåôå. ð.÷. ¸÷ù ïñßóåé ôç telnet ðüñôá ôïõ äéá÷åéñéóôÞ (telnet-a) óôç ðüñôá 24. Ìðïñåßôå íá ôï ïñßóåôå óôç ðüñôá 2323 åÜí åðéèõìÞôå. Ãéá ôï äéá÷åéñéóôÞ (ÅÓÅÉÓ), ãéá íá óõíäÝåóôå Üìåóá óôï firewall èá ÷ñåéÜæåóôå íá êÜíåôå telnet óôç ðüñôá 24 êáé ü÷é 23 åÜí óôÞóåôå ôï áñ÷åßï netperm-table, üðùò åãþ Ýêáíá, èá åßóôå éêáíïß íá ôï êÜíåôå áõôü ìüíï áðü ôï åóùôåñéêü ôïõ ðñïóôáôåõüìåíïõ äéêôýïõ. telnet-a 24/tcp ftp-gw 21/tcp # this named changed auth 113/tcp ident # User Verification ssl-gw 443/tcp [1m8. Ï SOCKS ÄéáêïìéóôÞò Åîïõóéïäüôçóçò[0m [1m8.1. ÓôÞíïíôáò ôï ÄéáêïìéóôÞ Åîïõóéïäüôçóçò[0m Ï SOCKS äéáêïìéóôÞò åîïõóéïäüôçóçò åßíáé äéáèÝóéìïò áðü ôï [1mftp://sunsite.unc.edu/pub/Linux/system/Network/misc/socks-linux-[0m [1msrc.tgz[22m. Åêåß åßíáé êáé Ýíá ðáñÜäåéãìá ôïõ áñ÷åßïõ ñõèìßóåùí (config file) ðïõ êáëåßôáé "socks-conf". ÁðïóõìðéÝóôå ôá áñ÷åßá ìÝóá óå êáôÜëïãï ôïõ óõóôÞìáôüò óáò, êáé áêïëïõèÞóôå ôéò ïäçãßåò ðÜíù óôï ðþò èá ôï öôéÜîåôå. Åß÷á ìåñéêÜ ðñïâëÞìáôá üôáí ôï Ýöôéáîá áõôü. ÓéãïõñåõôÞôå üôé ôá Makefile áñ÷åßá óáò åßíáé åíôÜîåé. ¸íá óõìáíôéêü ðñÜãìá ãéá íá óçìåéþóïõìå åßíáé üôé ï äéáêïìéóôÞò åîïõóéïäüôçóçò ÷ñåéÜæåôáé íá ðñïóôåèåß óôï áñ÷åßï /etc/inetd.conf. ÐñÝðåé íá ðñïóèÝóåôå ôç ãñáììÞ : socks stream tcp nowait nobody /usr/local/etc/sockd sockd ãéá íá ðåßôå óôï äéáêïìéóôÞ íá ôñÝîåé üôáí ôïõ æçôçèåß. to tell the server to run when requested. [1m8.2. Ñõèìßæïíôáò ôï ÄéáêïìéóôÞ Åîïõóéïäüôçóçò.[0m Ôï ðñüãñáììá SOCKS ÷ñåéÜæåôáé äýï ÷ùñéóôÜ áñ÷åßá ñõèìßóåùí. ¸íá íá ëÝåé ôçí åðéôñåðüìåíç ðñüóâáóç, êáé Ýíá ãéá íá äñïìïëïãåß ôéò áéôÞóåéò óôï êáôÜëëçëï äéáêïìéóôÞ åîïõóéïäüôçóçò. Ôï áñ÷åßï ðñüóâáóçò ðñÝðåé íá âñßóêåôáé óôï äéáêïìéóôÞ. Ôï áñ÷åßï äñïìïëüãçóçò ïöåßëåôáé íá âñßóêåôáé óå êÜèå Un*x ìç÷Üíçìá. Ïé DOS êáé, õðïôéèÝìåíïé, Macintosh Õ/Ç èá êÜíïõí äéêÝò ôïõò äñïìïëïãÞóåéò. [1m8.2.1. Ôï Áñ÷åßï Ðñüóâáóçò[0m Ìå ôï socks4.2 Beta, ôï áñ÷åßï ðñüóâáóçò êáëåßôáé "sockd.conf". Áõôü ïöåßëåé íá ðåñéÝ÷åé 2 ãñáììÝò, ìßá ãñáììÞ áäåßá êáé ìßá áñíÞóåùò. ÊÜèå ãñáììÞ èá Ý÷åé ôñßá ðåäßá: · Ôïí ÅîáêñéâùôÞ (Identifier) (permit/deny) · Ôçí IP äéåýèõíóç · Ôï ÔñïðïðïéçôÞ Äéåõèýíóåùí Ï åîáêñéâùôÞò åßíáé Þ áäåßáò Þ áñíÞóåùò. Ïöåßëåôå íá Ý÷åôå áìöüôåñá ìßá ãñáììÞ áäåßáò êáé ìßá áñíÞóåùò. Ç ÉÑ äéåýèõíóç êñáôÜ ìßá ôåóóÜñùí byte äéåýèõíóç óå ôõðéêÞ ÉÑ óçìåßùóç êïõêßäáò. ð.÷. 192.168.2.0. Ï ôñïðïðïéçôÞò äéåõèýíóåùí åßíáé åðßóçò ìßá ôõðéêÞ ÉÑ äéåýèõíóç ôåóóÜñùí byte. Áõôü äïõëåýåé óáí ìÜóêá äéêôýïõ (netmask). ÏñáìáôéóôÞôå áõôü ôïí áñéèìü íá åßíáé 32 bit (1 Þ 0). ÅÜí ôï bit åßíáé 1, ôï áíôßóôïé÷ï bit áðü ôç äéåýèõíóç ðïõ åëÝã÷åôå ðñÝðåé íá åßíáé ßäéï ìå ôï áíôßóôïé÷ï bit ìÝóá óôï ðåäßï ôùí ÉÑ äéåõèýíóåùí. ð.÷. åÜí ç ãñáììÞ åßíáé: permit 192.168.2.23 255.255.255.255 áõôü èá äßíåé Üäåéá ìüíï óå ÉÑ äéåõèýíóåéò ðïõ ôáéñéÜæïõí óå êÜèå bit ìÝóá 192.168.2.23, ð.÷. ìüíï 192.168.2.3. Ç ãñáììÞ: permit 192.168.2.0 255.255.255.0 èá äþóåé Üäåéá óå êÜèå áñéèìü ìÝóá óôçí ïìÜäá 192.168.2.0 Ýùò 192.168.2.255, üëç ç C êëÜóç ðåñéï÷Þ. Äåí ðñÝðåé íá Ý÷åôå ôç ãñáììÞ: permit 192.168.2.0 0.0.0.0 åðåéäÞ áõôÞ äßíåé Üäåéá óå êÜèå äéåýèõíóç, áäéÜöïñï. ¸ôóé, ðñþôá äßíïõìå Üäåéá óå üëåò ôéò äéåõèýíóåéò ðïõ èÝëïõìå íá äþóïõìå Üäåéá, êáé ôüôå áðïññßðôïõìå ôéò õðüëïéðåò. Ãéá íá áöÞóåôå ôïõò ðÜíôåò ìÝóá óôç ðåñéï÷Þ 192.168.2.÷÷÷, ïé ãñáììÝò: permit 192.168.2.0 255.255.255.0 deny 0.0.0.0 0.0.0.0 èá äïõëÝøïõí êáëÜ. Óçìåéþóôå üôé ôï ðñþôï "0.0.0.0" åßíáé ç ãñáììÞ áñíÞóåùò. Ìå Ýíáí Ýíá ôñïðïðïéçôÞ áðü 0.0.0.0, ôï ðåäßï ÉÑ äéåýèõíóçò äåí ðåéñÜæåé. ¼ëá ôá 0 åßíáé êáíüíáò åðåéäÞ åßíáé åýêïëá óôç ðëçêôñïëüãçóç. Ðåñéóóüôåñåò áðü ìßá êáôáãñáöÝò áðü ôï êáèÝíá åðéôñÝðïíôáé. ÓõãêåêñéìÝíïé ÷ñÞóôåò ìðïñïýí åðßóçò íá êåñäßóïõí Þ íá ôïõò áðáãïñåõôïýí ðñïóâÜóåéò. Áõôü ãßíåôáé ìÝóù äéáìüñöùóçò ôçò äéáäéêáóßáò åðéêýñùóçò. Äåí ôï õðïóôçñßæïõí üëá ôá óõóôÞìáôá ôç äéáìüñöùóç, ðåñéëáìâáíüìåíïõ ôïõ Trumpet Winsock, Ýôóé äåí èá áíáöåñèþ óå áõôü åäþ. Ç ôåêìçñßùóç ðïõ ðåñéÝ÷åé ôï socks åßíáé åíôåëþò åðáñêÞò ãé' áõôü ôï áíôéêåßìåíï. [1m8.2.2. Ôï áñ÷åßï Äñïìïëüãçóçò.[0m Ôï áñ÷åßï äñïìïëüãçóçò åßíáé öôù÷Ü ïíïìáóìÝíï óôï SOCKS "socks.conf". Åßðá "öôù÷Ü ïíïìáóìÝíï" åðåéäÞ åßíáé ôüóï êïíôÜ óôï üíïìá ôïõ áñ÷åßï ðñüóâáóçò ðïõ åßíáé åýêïëï íá ôá ìðåñäÝøåôå. Ôï áñ÷åßï äñïìïëüãçóçò åßíáé åêåß ãéá íá ëÝåé óôïõò SOCKS ðåëÜôåò ðüôå íá ÷ñçóéìïðïéïýí ôï socks êáé ðüôå ü÷é. ð.÷. Óôï äßêôõü ìáò, ôï 192.168.2.3 äåí èá ÷ñåéáóôåß ìá ÷ñçóéìïðïéÞóåé ôï socks ãéá íá åðéêïéíùíÞóåé ìå ôï 192.168.2.1, ôï firewall. ¸÷åé Üìåóç óýíäåóç ìÝóù ôïõ Ethernet. Áõôü êáèïñßæåé ôï 127.0.0.1, ôïí åðéóôñåöüìåíï âñüã÷ï (loopback), áõôüìáôá. Âåâáßùò äåí ÷ñåéÜæåóôå ôï SOCKS ãéá íá åðéêïéíùíÞóåôå ìå ôïí åáõôü óáò. ÕðÜñ÷ïõí ôñåéò åéóáãùãÝò: · deny · direct · sockd Ç Üñíçóç (deny) ëÝåé óôï SOCKS ðüôå íá áðïññßðôåé ìßá áßôçóç. ÁõôÞ ç åéóáãùãÞ Ý÷åé ôá ßäéá ôñßá ðåäßá üðùò ôï sockd.conf, ôïí åîáêñéâùôÞ (identifier), äéåýèõíóç êáé ôñïðïðïéçôÞ (modifier). ÃåíéêÜ, åðåéäÞ áõôü ÷åéñßæåôáé åðßóçò áðü ôï sockd.conf, ôï áñ÷åßï ðñüóâáóçò, ôï ðåäßï ôïõ ôñïðïðïéçôÞ åßíáé ïñéóìÝíï óôï 0.0.0.0. ÅÜí èÝëåôå íá ðñïëïãÞóåôå ôïí åáõôü óáò óôï íá êáëåßôå áðü ðáíôïý, ìðïñåßôå íá ôï êÜíåôå åäþ. Ç direct åéóáãùãÞ ëÝåé ãéá ðïéÝò äéåõèýíóåéò íá ìçí ÷ñçóéìïðïéÞôáé ôï socks. ÁõôÝò åßíáé üëåò ïé äéåõèýíóåéò ðïõ ìðïñïýí íá ðñïóåããéóèïýí ÷ùñßò ôï äéáêïìéóôÞ åîïõóéïäüôçóçò. ÎáíÜ Ý÷ïõìå ôñßá ðåäßá, åîáêñéâùôÞ, äéåýèõíóç êáé ôñïðïðïéçôÞ. Ôï ðáñÜäåéãìÜ ìáò èá Ý÷åé direct 192.168.2.0 255.255.255.0 ¸ôóé ìåôáâáßíåé Üìåóá ï êáèÝíáò ðÜíù óôï ðñïóôáôåõüìåíï äßêôõï. Ç sockd åéóáãùãÞ ëÝåé óôïí Ç/Õ ðïéïò host Ý÷åé ôïí socks äéáêïìéóôÞ äáßìïíá ðÜíù ôïõ. Ç óýíôáîç åßíáé: sockd @=<serverlist> <IP address> <modifier> Óçìåéþóôå ôç @= åéóáãùãÞ. ÁõôÞ åðéôñÝðåé íá óôÞóåôå ôéò ÉÑ äéåõèýíóåéò áðü ìéá ëßóôá áðü äéáêïìéóôÝò åîïõóéïäüôçóçò. Óôï ðáñÜäåéãìÜ ìáò, ÷ñçóéìïðïéïýìå ìüíï Ýíá äéáêïìéóôÞ åîïõóéïäüôçóçò. ÁëëÜ, ìðïñåßôå íá Ý÷åôå áñêåôïýò ãéá íá åðéôñÝðåôå ìåãáëýôåñá öïñôßá êáé ãéá ðëåüíáóìá óå ðåñßðôùóç Ýëëåéøçò. Ôá ðåäßá ÉÑ äéåýèõíóç êáé ôñïðïðïéçôÞò äïõëåýïõí óáí üëá ôá Üëëá ðáñáäåßãìáôá. Íá êáèïñßæåôå ðïéÝò äéåõèýíóåéò ðçãáßíïõí ðïõ ìÝóù áðü áõôÜ. The IP address and modifier fields work just like in the other examples. You specify which addresses go where through these. [1m8.2.3. ÓôÞíïíôáò ôçí ¼íïìá Ðåñéï÷Þò Õðçñåóßá (Domain Name Service)[0m [1mðßóù áðü firewall åßíáé ïìïëïãïõìÝíïò åýêïëï èÝìá. ×ñåéÜæåóôå áðëÜ êáé[0m [1mìüíï íá óôÞóåôå ôï DNS ðÜíù óôï ìç÷Üíçìá ðïõ åßíáé ï firewall. ÌåôÜ,[0m [1mïñßóôå óå êÜèå ìç÷Üíçìá ðßóù áðü ôï firewall íá ÷ñçóéìïðïéïýí áõôÞ ôo[0m [1mDNS. DNS ðßóù áðü ôï firewall.[0m [1m8.3. Äïõëåýïíôáò ìå ÄéáêïìéóôÞ Åîïõóéïäüôçóçò.[0m [1m8.3.1. Uni÷[0m Ãéá íá Ý÷åôå ôéò åöáñìïãÝò óáò íá äïõëåýïõí ìå ôï äéáêïìéóôÞ åîïõóéïäüôçóçò, ÷ñåéÜæïíôáé íá ãßíïõí "sockified". Èá ÷ñåéáóôÞôå äýï äéáöïñåôéêÜ telnet, Ýíá ãéá Üìåóç åðéêïéíùíßá êáé Ýíá ãéá åðéêïéíùíßá ìÝóù ôïõ äéáêïìéóôÞ åîïõóéïäüôçóçò. Ôï SOCS Ýñ÷åôáé ìå ïäçãßåò ðÜíù óôï ðþò íá êÜíåôå SOCKify Ýíá ðñüãñáììá, ôüóï üóï êáé ìåñéêÜ pre- SOCKified ðñïãñÜììáôá. ÅÜí ÷ñçóéìïðïéÞôå ìßá SOCKified Ýêäïóç ãéá íá ðÜôå êÜðïõ Üìåóá, ôï SOCS áõôüìáôá èá áëëÜîåé óôçí Üìåóç Ýêäïóç ãéá åóÜò. ÅðåéäÞ ãßíåôáé áõôü, èÝëïõìå íá ìåôïíïìÜóïõìå üëá ôá ðñïãñÜììáôá óôï ðñïóùðéêü ìáò äßêôõï êáé íá ôá áíôéêáôáóôÞóïõìå ìå SOCKified ðñïãñÜììáôá. ð.÷ ôï "Finger" ãßíåôáé "finger.orig", ôï "telnet" ãßíåôáé "telnet.orig", ê.ï. ÐñÝðåé íá ðåßôå óôï SOCKS ó÷åôéêÜ ìå áõôÜ ìÝóù ôïõ include/socks.h áñ÷åßïõ. ÓõãêåêñéìÝíá ðñïãñÜììáôá èá ÷åéñßæïíôáé ñïõôßíåò êáé èá êÜíïõí sockify ôïí åáõôü ôïõò. Ôï Netscape åßíáé Ýíá áðü áõôÜ. Ìðïñåßôå íá ÷ñçóéìïðïéÞôå äéáêïìéóôÞ åîïõóéïäüôçóçò êÜôù áðü ôï Netscape åéóÜãïíôáò ôç äéåýèõíóç ôïõ äéáêïìéóôÞ (192.168.2.1 óôç ðåñßðôùóÞ ìáò) ìÝóá óôï ðåäßï SOKCs êÜôù áðü ôá Proxies. Ç êÜèå åöáñìïãÞ èá ÷ñåéáóôåß ëßãç ôñïöïäüôçóç, Üó÷åôá áðü ôï ðþò ôçò ÷åéñßæåôáé ï äéáêïìéóôÞ åîïõóéïäüôçóçò. [1m8.3.2. MS Windows ìå Trumpet Winsock[0m Ôï Trumpet Winsock Ýñ÷åôáé ìå åíóùìáôùìÝíåò äéáêïìéóôÞ åîïõóéïäüôçóçò äõíáôüôçôåò. ÌÝóá óôï ìåíïý "åãêáôÜóôáóçò (setup)", åéóÜãåôå ôçí ÉÑ äéåýèõíóç áðü ôï äéáêïìéóôÞ, êáé ôéò äéåõèýíóåéò áðü üëïõò ôïõ Ç/Õ ðïõ åßíáé óõíäåäåìÝíïé Üìåóá. Ôï Trumpet ôüôå èá ÷åéñéóôåß üëá ôá åîåñ÷üìåíá ðáêÝôá. [1m8.3.3. ÊÜíïíôáò ôï ÄéáêïìéóôÞ Åîïõóéïäüôçóçò íá äïõëåýåé ìå UDP[0m [1mÐáêÝôá[0m Ôï ðáêÝôï SOCKS äïõëåýåé ìüíï ìå ðáêÝôá TCP, êáé ü÷é UDP. Áõôü ôï êÜíåé ëéãüôåñï ÷ñÞóéìï. ÐïëëÜ ÷ñÞóéìá ðñïãñÜììáôá, üðùò ôï talk êáé ôï Archie, ÷ñçóéìïðïéïýí UDP. ÕðÜñ÷åé Ýíá ðáêÝôï ó÷åäéáóìÝíï ãéá íá ÷ñçóéìïðïéçèåß óáí äéáêïìéóôÞò åîïõóéïäüôçóçò ãéá ðáêÝôá UDP êáé êáëåßôáé UDPrelay, áðü ôïí Tom Fitzgerald <fitz@wang.com>. Äõóôõ÷þò, ôç óôéãìÞ ðïõ ãñÜöåôå áõôü ôï HOWTO, äåí åßíáé óõìâáôü ìå ôï Linux. [1m8.4. ÌåéïíåêôÞìáôá ìå ôïõò ÄéáêïìéóôÝò Åîïõóéïäüôçóçò[0m Ï äéáêïìéóôÞò åîïõóéïäüôçóçò åßíáé, ðÜíù áð' üëá, ìßá áóöáëÞò óõóêåõÞ. ×ñçóéìïðïéþíôáò ôïí ãéá íá áõîÞóåôå ôçí ðñüóâáóç óôï Internet ìå ðåñéïñéóìÝíåò ÉÑ äéåõèýíóåéò èá Ý÷åôå ðïëëÜ ìåéïíåêôÞìáôá. ¸íáò äéáêïìéóôÞò åîïõóéïäüôçóçò èá åðéôñÝðåé êáëëßôåñç ðñüóâáóç áðü ôï åóùôåñéêü ôïõ ðñïóôáôåõüìåíïõ äéêôýïõ ðñïò ôá Ýîù, áëëÜ èá êñáôÜ ôï åóùôåñéêü áðïëýôùò áðñüóâáóôï áð' Ýîù. Áõôü óçìáßíåé ü÷é äéáêïìéóôÝò, talk Þ archie óõíäÝóåéò, Þ Üìåóï ôá÷õäñïìåßï óôïõò åóùôåñéêïýò õðïëïãéóôÝò. ÁõôÜ ôá ìåéïíåêôÞìáôá ìðïñåß íá öáßíïíôáé áóÞìáíôá, áëëÜ óêåöôÞôå ìå áõôü ôï ôñüðï: · ¸÷åôå áöÞóåé ìßá áíáöïñÜ ðïõ öôéÜ÷íåôå óôï õðïëïãéóôÞ óáò ìÝóá óå Ýíá äßêôõï ðñïóôáôåõìÝíï ìå firewall. Åßóôå óôï óðßôé, êáé áðïöáóßæåôå üôé èÝëåôå íá ìåôáâÞôå óå áõôüí. Äåí ìðïñåßôå. Äåí ìðïñåßôå íá ðñïóåããßóåôå ôïí õðïëïãéóôÞ óáò åðåéäÞ åßíáé ðßóù áðü ôï firewall. ÐñïóðáèÞôå íá êÜíåôå log óôï firewall ðñþôá, áëëÜ áðü ôüôå ðïõ ï êáèÝíáò Ý÷åé äéáêïìéóôÞ åîïõóéïäüôçóçò ðñüóâáóç, êáíÝíáò äåí Ý÷åé åãêáôáóôÞóåé Ýíá ëïãáñéáóìü ðÜíù óå áõôüí ãéá åóÜò. · Ç êüñç óáò ðçãáßíåé óôï êïëÝãéï. ÈÝëåôå íá ôéò óôÝëíåôå email. ¸÷åôå êÜðïéá ðñïóùðéêÜ ðñÜãìáôá íá óõæçôÞóåôå, êáé áíáìöéâüëùò Ý÷åôå ôï ôá÷õäñïìåßï óáò íá áðïóôÝëåôáé êáôåõèåßáí óôï ìç÷ÜíçìÜ óáò. Åìðéóôåýåóôå ôï äéá÷åéñéóôÞ ôïõ óõóôÞìáôïò áðüëõôá, áëëÜ áêüìá, áõôü åßíáé ðñïóùðéêü mail. · Ç áíéêáíüôçôá íá ÷ñçóéìïðïéåß UDP ðáêÝôá áíôéðñïóùðåýåé Ýíá ìåãÜëï ìåéïíÝêôçìá ìå ôïõò äéáêïìéóôÝò åîïõóéïäüôçóçò. Ïñáìáôßæïìáé ôéò äõíáôüôçôåò ôïõ UDP ðïõ Ýñ÷ïíôáé óýíôïìá. Ôï FTP äçìéïõñãåß Üëëï Ýíá ðñüâëçìá ìå ôï äéáêïìéóôÞ åîïõóéïäüôçóçò. ¼ôáí êáôåâÜæåôå Þ êÜíåôå ls, ï äéáêïìéóôÞò FTP áíïßãåé ìßá õðïäï÷Þ óôç ìç÷áíÞ ðåëÜôç êáé óôÝëíåé ôéò ðëçñïöïñßåò ìÝóù áõôÞò. Ï äéáêïìéóôÞò åîïõóéïäüôçóçò äåí èá ôï åðéôñÝøåé áõôü, Ýôóé ôï FTP óõãêåêñéìÝíá äåí èá äïõëÝøåé. Êáé, ïé äéáêïìéóôÝò åîïõóéïäüôçóçò åßíáé áñãïß. Ëüãù ôçò êáëëßôåñçò ìåãÜëçò êÜëõøçò-åëÝã÷ïõ (overhead), ó÷åäüí êÜèå Üëëï ìÝóï áðü ôï ïðïßï ðáßñíïõìå áõôÞ ôç ðñüóâáóç èá åßíáé ôá÷ýôåñï. ÂáóéêÜ, åÜí Ý÷åôå ôéò ÉÑ äéåõèýíóåéò, êáé äåí áíçóõ÷Þôå ó÷åôéêÜ ìå ôçí áóöÜëåéá, ìçí ÷ñçóéìïðïéåßôå firewall êáé/Þ äéáêïìéóôÝò åîïõóéïäüôçóçò. ÅÜí äåí Ý÷åôå ôéò ÉÑ äéåõèýíóåéò, êáé åðßóçò äåí Ý÷åôå íá áíçóõ÷Þôå ãéá ôçí áóöÜëåéá, ìðïñåßôå åðßóçò íá ñßîåôå ìßá ìáôéÜ ãéá íá ÷ñçóéìïðïéÞóåôå Ýíá åîïìïéùôÞ ÉÑ, óáí ôá Term, Slirp Þ TIA. Ôï Term åßíáé äéáèÝóéìï áðü ôï [1mftp://sunsite.unc.edu[22m, ôï Slirp åßíáé äéáèÝóéìï áðü ôï [1mftp://blitzen.canberra.edu.au/pub/slirp[22m, êáé ôï TIA åßíáé äéáèÝóéìï áðü ôï marketplace.com. ÁõôÜ ôá ðáêÝôá èá ôñÝ÷ïõí ôá÷ýôåñá, åðéôñÝðïõí êáëëßôåñåò óõíäÝóåéò, êáé ðáñÝ÷ïõí ìåãÜëïõ åðéðÝäïõ áðü ðñüóâáóç ãéá ôï åóùôåñéêü ôïõ äéêôýïõ áðü ôï Internet. Ïé äéáêïìéóôÝò åîïõóéïäüôçóçò åßíáé êáëïß ãéá ôá äßêôõá áõôÜ ðïõ Ý÷ïõí ðïëëïýò host ðïõ èá èÝëïõí íá óõíäÝïíôáé óôï Internet "on the fly", ìå ìßá åãêáôÜóôáóç êáé ëßãç äïõëåéÜ ìåôÜ. [1m9. ÐñïçãìÝíåò ÌïñöÝò[0m ÕðÜñ÷åé ìßá ìïñöÞ ðïõ èá Þèåëá íá áó÷ïëçèþ ðñéí êëåßóù áõôÞ ôç ôåêìçñßùóç. ÁõôÞ ìüëéò ôç óêéáãñÜöçóá êáé ðéèáíþò èá éêáíïðïéÞóåé áñêåôïýò. ÐÜíôùò, óêÝöôïìáé üôé ôï åðüìåíï óêéáãñÜöçìá èá äåßîåé ðåñéóóüôåñï ðñïçãìÝíçò ìïñöÞò áðü ôï íá îåêáèáñßóåé êÜðïéåò åñùôÞóåéò. ÅÜí Ý÷åôå åñùôÞóåéò ðÝñá áðü áõôÝò ðïõ ìüëéò êÜëõøá, Þ áðëÜ åíäéáöÝñåóôå ãéá ôçí åõêáìøßá ôùí äéáêïìéóôþí åîïõóéïäüôçóçò êáé ôùí firewalls, óõíå÷ßóôå ôï äéÜâáóìá. [1m9.1. ¸íá ìåãÜëï äßêôõï ìå Ýìöáóç óôçí áóöÜëåéá[0m Ðåßôå, ãéá ðáñÜäåéãìá, üôé åßóôå ï åðéêåöáëÞò ðáñáóôñáôéùôéêÞò ïñãÜíùóçò êáé èÝëåôå íá äéêôõþóåôå ôç èÝóç óáò. ¸÷åôå 50 Ç/Õ êáé Ýíá õðïäßêôõï áðü 32 ÉÑ áñéèìïýò ôùí 5 óôïé÷åßùí (bits). ×ñåéÜæåóôå äéáöïñåôéêÜ åðßðåäá ðñüóâáóçò ìÝóá óôï äßêôõü óáò åðåéäÞ ëÝôå óôïõò áêïëïýèïõò óáò äéáöïñåôéêÜ ðñÜãìáôá. ¸ôóé, èá ÷ñåéáóôÞôå íá ðñïóôáôåýóåôå óõãêåêñéìÝíá ôìÞìáôá ôïõ äéêôýïõ áðü ôï õðüëïéðï. Ôá åðßðåäá åßíáé: 1. Ôï åîùôåñéêü åðßðåäï. Áõôü ôï åðßðåäï ðïõ äåß÷íåôå óôïõò ðÜíôåò. Åäþ åßíáé ðïõ öùíÜæåôå êáé ðáñáëëçëÞôå ãéá íá ðÜñåôå íÝïõò åèåëïíôÝò. 2. [1mÓôñáôéùôéêü [22mÅäþ åßíáé ôï åðßðåäï áðü Üôïìá ðïõ Ý÷ïõí ðåñÜóåé ðÝñá áðü ôï åîùôåñéêü åðßðåäï. Åäþ åßíáé ðïõ ôïõò äéäÜóêåôå ó÷åôéêÜ ìå ôçí evail êõâÝñíçóç êáé óôï ðþò íá öôéÜ÷íïõí âüìâåò. 3. [1mÌéóèïöüñïé [22mÅäþ åßíáé ðïõ ôá [4mðñáãìáôéêÜ[24m ðëÜíá êñáôïýíôáé. Óå áõôü ôï åðßðåäï åßíáé áðïèçêåõìÝíåò üëåò ïé ðëçñïöïñéÝò ðÜíù óôï ðþò ç ôñéôïêïóìéêÞ êõâÝñíçóç ðçãáßíåé íá êáôáêôÞóåé ôï êüóìï, ôá ðëÜíá óáò åìðëÝêïõí ôéò Newt Gingrish, Oklahoma City, lown åíäéáöÝñïíôïò ðñïúüíôá êáé ôß ðñáãìáôéêÜ åßíáé áðïèçêåõìÝíï ìÝóá óôá õðüóôåãá ôéò ðåñéï÷Þò 51. [1m9.1.1. Ç åãêáôÜóôáóç ôïõ äéêôýïõ[0m Ïé ÉÑ áñéèìïß åßíáé êáôáíåìçìÝíïé ùò åîÞò: · 1 áñéèìüò åßíáé 192.168.2.2555, ðïõ åßíáé ç äéåýèõíóç åêðïìðÞò êáé äåí ÷ñçóéìïðïéåßôáé · 23 áðü ôéò 32 ÉÑ äéåõèýíóåéò åßíáé ôïðïèåôçìÝíåò óôá 23 ìç÷áíÞìáôá ðïõ èá åßíáé ðñïóâÜóçìá óôï Internet. · 1 åðéðëÝïí ÉÑ ðçãáßíåé óå Ýíá êïõôß linux óå áõôü ôï äßêôõï · 1 åðéðëÝïí ðçãáßíåé óå Ýíá äéáöïñåôéêü êïõôß linux óå áõôü ôï äßêôõï. · 2 ÉÑ áñéèìïß ðÜíå óôï äñïìïëïãçôÞ · 4 áöÝèçêáí óôç ðÜíôá, áëëÜ ôïõò äüèçêáí ôá ôïðéêÜ ïíüìáôá paul, ringo, john, êáé george, áðëÜ ãéá íá ìðåñäåýïõí ôá ðñÜãìáôá ëéãÜêé. · Ôá ðñïóôáôåõüìåíá äßêôõá áìöüôåñá Ý÷ïõí äéåõèýíóåéò 192.168.2.÷÷÷ ÌåôÜ, äýï ÷ùñéóôÜ äßêôõá äçìéïõñãÞèçêáí, ôï êáèÝíá óå äéáöïñåôéêÜ äùìÜôéá. ÁõôÜ äñïìïëïãÞèçêáí ìÝóù õðÝñõèñïõ Ethernet Ýôóé åßíáé áðïëýôùò áüñáôá óôá åîùôåñéêÜ äùìÜôéá. Åõôõ÷þò, ôá õðÝñõèñá ethernet äïõëåýïõí óáí ôá êáíïíéêÜ ethernet. ÁõôÜ ôá äßêôõá åßíáé ôï êáèÝíá óõíäåäåìÝíï ìå áðü Ýíá êïõôß linux ìå ìßá åðéðëÝïí ÉÑ äéåýèõíóç. ÕðÜñ÷åé Ýíáò äéáêïìéóôÞò áñ÷åßùí (file server) ðïõ óõíäÝåé ôá äýï ðñïóôáôåõüìåíá äßêôõá. Áõôü ãßíåôáé åðåéäÞ ãéá ôçí êáôÜêôçóç ôïõ êüóìïõ åìðëÝêïíôáé êáé õøçëüôåñïé óôñáôéþôåò. Ï äéáêïìéóôÞò áñ÷åßùí êñáôÜ ôçí äéåýèõíóç 192.168.2.17 ãéá ôï Óôñáôéùôéêü äßêôõï êáé ôçí 192.168.2.23 ãéá ôï Ìéóèïöïñéêü äßêôõï. Áõôüò Ý÷åé äéáöïñåôéêÝò ÉÑ äéåõèýíóåéò åðåéäÞ Ý÷åé äéáöïñåôéêÝò êÜñôåò Ethernet. Ôï ÉÑ Forwarding ðÜíù óå áõôüí åßíáé êëåéóôü. Ôï ÉÑ Forwarding åßíáé êáé óôá äýï êïõôéÜ linux åðßóçò êëåéóôü. Ï äñïìïëïãçôÞò äåí èá ðñïùèåß ðáêÝôá ðñïïñéóìÝíá ãéá 192.168.2.÷÷÷ åêôüò åÜí äåí ôïõ äçëùèåß êáôçãïñçìáôéêÜ íá ôï êÜíåé, Ýôóé ôï Internet äåí èá åßíáé éêáíü íá ìðåß ìÝóá. Ï ëüãïò ðïõ áðåíåñãïðïéÞèçêå ôï IP Forwarding åäþ Ýãéíå ãéáôß Ýôóé ôá ðáêÝôá áðü ôï äßêôõï ôùí Óôñáôéùôþí äåí èá åßíáé éêáíÜ íá ðñïóåããßóïõí ôï Ìéóèïöïñéêü äßêôõï, êáé ôï áíÜðïäï. Ï äéáêïìéóôÞò NFS ìðïñåß åðßóçò íá ïñéóôåß ãéá íá ðñïóöÝñåé äéáöïñåôéêÜ áñ÷åßá óå äéáöïñåôéêÜ äßêôõá. Áõôü ãßíåôáé ÷åéñïêßíçôá, êáé ìå ëßãá ôñõê ìå ôéò óõìâïëéêÝò óõíäÝóåéò (symbolic links) ìðïñåß íá ãßíåé Ýôóé þóôå ôá êïéíÜ áñ÷åßá íá ìïéñÜæïíôáé óå üëïõò. ×ñçóéìïðïéþíôáò áõôü ôï óôÞóéìï êáé Üëëç ìßá ethernet êÜñôá ìðïñïýìå íá ðñïóöÝñïõìå áõôü ôïí Ýíá äéáêïìéóôÞ áñ÷åßùí êáé ãéá ôá ôñßá äßêôõá. [1m9.1.2. Ç åãêáôÜóôáóç ôùí åîïõóéïäüôçóåùí[0m Ôþñá, áöïý êáé ôá ôñßá åðßðåäá èÝëïõí íá åßíáé éêáíÜ íá óõìâïõëåýïíôáé ôï äßêôõï ãéá ôïõò äéêïýò ôïõò óêïôåéíïýò óêïðïýò, êáé ïé ôñåéò ÷ñåéÜæïíôáé íá Ý÷ïõí ðñüóâáóç óôï Internet, Ýôóé äåí Ý÷ïõìå íá ôá ôñïöïäïôÞóïõìå åäþ ìå äéáêïìéóôÝò åîïõóéïäüôçóçò. Ôá Ìéóèïöïñéêü êáé Óôñáôéùôéêü äßêôõá åßíáé ðßóù áðü firewalls, Ýôóé åßíáé áíáãêáßï íá óôÞóïõìå äéáêïìéóôÝò åîïõóéïäüôçóçò åêåß. Áìöüôåñá ôá äßêôõá èá Ý÷ïõí åãêáôáóôáèåß ðáñüìïéá. Êáé ôá äýï Ý÷ïõí ôéò ßäéåò ÉÑ äéåõèýíóåéò ôïðïèåôçìÝíåò åðÜíù ôïõò. Èá ðåôÜîù ìåñéêÝò ðáñáìÝôñïõò, áðëÜ ãéá íá êÜíù ôá ðñÜãìáôá ðéï åíäéáöÝñïíôá. 1. ÊáíÝíáò äåí ìðïñåß íá ÷ñçóéìïðïéåß ôï äéáêïìéóôÞ áñ÷åßùí ãéá ðñüóâáóç óôï Internet. ÁõôÞ åêèÝôåé ôï äéáêïìéóôÞ áñ÷åßùí óå éïýò êáé Üëëá äõóÜñåóôá ðñÜãìáôá, êáé áõôü åßíáé êÜðùò óïâáñü, Ýôóé åßíáé åêôüò ôùí ïñßùí. 2. Äåí èá åðéôñÝðïõìå ðñüóâáóç ôùí óôñáôéùôþí óôï World Wide Web. Áõôïß åßíáé óå åêðáßäåõóç, êáé áõôÞò ôçò öýóçò ïé ðëçñïöïñßåò, áíÜêôçóçò äýíáìçò, ìðïñåß íá áðïäåé÷èïýí êáôáóôñïöéêÝò. ¸ôóé, ôï áñ÷åßï sockd.conf óôï êïõôß linux ôùí Óôñáôéùôþí èá Ý÷åé áõôÞ ôç ãñáììÞ: deny 192.168.2.17 255.255.255.255 êáé óôïí Ìéóèïöüñùí ôï ìç÷Üíçìá: deny 192.168.2.23 255.255.255.255 Êáé, ôï êïõôß linux ôùí Óôñáôéùôþí èá Ý÷åé ôçí åîÞò ãñáììÞ: deny 0.0.0.0 0.0.0.0 eq 80 ÁõôÞ ëÝåé íá áñíçèåß ðñüóâáóç óå üëåò ôéò ìç÷áíÝò ðïõ ðñïóðáèïýí íá áðïêôÞóïõí ðñüóâáóç óå ðüñôá ßóç (equal) ìå 80, ôçí http ðüñôá. Áõôü áêüìá åðéôñÝðåé üëåò ôéò Üëëåò õðçñåóßåò, áðëÜ áðáãïñåýåé Web ðñüóâáóç. ÌåôÜ, áìöüôåñá ôá áñ÷åßá èá Ý÷ïõí: permit 192.168.2.0 255.255.255.0 ãéá íá åðéôñÝøåôå óå üëïõò ôïõò õðïëïãéóôÝò ðÜíù óôï 192.168.2.÷÷÷ äßêôõï íá ÷ñçóéìïðïéïýí áõôü ôï äéáêïìéóôÞ åîïõóéïäüôçóçò åêôüò ãéá áõôïýò ðïõ ôïõò Ý÷åé Þäç áðáãïñåõôÞ. (ð.÷ ï äéáêïìéóôÞò áñ÷åßùí êáé ç Web ðñüóâáóç áðü ôï äßêôõï ôùí óôñáôéùôþí.) Ôï áñ÷åßï sockd.conf ôùí Óôñáôéùôþí èá åßíáé êÜðùò Ýôóé: deny 192.168.2.17 255.255.255.255 deny 0.0.0.0 0.0.0.0 eq 80 permit 192.168.2.0 255.255.255.0 êáé ôùí Ìéóèïöüñùí êÜðùò Ýôóé: deny 192.168.2.23 255.255.255.255 permit 192.168.2.0 255.255.255.0 Áõôü ïöåßëåé íá Ý÷åé ôá ðÜíôá ñõèìéóìÝíá óùóôÜ. ÊÜèå äßêôõï åßíáé áðïìïíùìÝíï áíÜëïãá, ìå ôç óùóôÞ ðïóüôçôá áëëçëåðßäñáóçò. ¼ëïé ïöåßëïõí íá åßíáé ÷áñïýìåíïé. Ôþñá, êáôáêôÞóôå ôï êüóìï! Óçìåßùóç ôïõ ÌåôáöñáóôÞ Ãéá ïðïéïäÞðïôå ëÜèïò óôç ìåôÜöñáóç æçôþ íá ìå óõã÷ùñÞóåôå ìéÜò êáé ðáñüëï ðïõ Ýäùóá ôï êáëëßôåñï åáõôü ìïõ óå ìåñéêÜ óçìåßá äåí ìðüñåóá íá êÜíù áêñéâÞ ìåôÜöñáóç. Óå ìåñéêÜ óçìåßá õðÜñ÷ïõí áããëéêÝò ëÝîåéò ðïõ Þôáí áäýíáôï íá ôéò ìåôáöñÜóù ïýôå ìå ôç âïÞèåéá ëåîéêþí. Åëðßæù íá äåßîåôå ôç êáôáíüçóç óáò üðùò åðßóçò êáé óôá ïñèïãñáöéêÜ ëÜèç :-> Ðáñáêáëþ üóïõò Ý÷ïõí åðéóçìÜíåé ëÜèç Þ áíáêñßâåéåò íá ôéò óçìåéþóïõí êáé íá ôéò óôåßëïõí åßôå óôç óõíôçñÞôñéá ôùí åëëçíéêþí HOWTO, Âïýëá ÓáíéäÜ voulariba@hellug.gr, åßôå óå åìÝíá ðñïóùðéêÜ. ÏðïéáäÞðïôå åðéðëÝïí ðëçñïöïñßá ãéá ôïõò firewalls ðïõ ðéèáíþò èá âïçèÞóåé óôçí åãêáôÜóôáóÞ ôïõò, åðéêïéíùíÞóôå ìå ôç óõíôçñÞôñéá. Ðáíáãéþôçò Ôóáêßñçò mazestix@ath.forthnet.gr 26 Éïõíßïõ 1999