LINUX-сервер пошаговые инструкции инсталляции и настройки - Бруй В. В. , Карлов С. В

Конфигурационный файл /etc/sysconfig/network

В файле /etc/sysconfig/network содержатся основные параметры настройки сети:

[root@dymatel /]# cat /etc/sysconfig/network

NETWORKING=yes

HOSTNAME=www.dymatel.und

GATEWAY=172.16.181.200

GATEWAYDEV=eth0

DNS1=212.111.78.3

DNS2=212.111.80.3

Вы можете изменять настройки сети, варьируя следующие параметры:

•NETWORKING=yes/no – включает/выключает поддержку сетевых функций системы;

•HOSTNAME=hostname – устанавливает сетевое имя системы, в данном примере

www.dymatel.und;

•GATEWAY=IP_gw – устанавливает IP-адрес шлюза;

•GATEWAYDEV=dev_gv - определяет физическое устройство, через которое осуществляется доступ

кшлюзу, в данном примере – eth0.

Проверка работоспособности сетевых настроек

Шаг 1 Проверьте в соответствии с рекомендациями этой и предыдущей главы правильность установки па-

раметров в следующих файлах:

•/etc/sysctl.conf;

•/etc/sysconfig/network-scripts/ifcfg-ethN;

•/etc/resolv.conf;

•/еtc/hosts и /etc/sysconfig/network.

Шаг 2 Проверьте состояние сетевых интерфейсов:

[root@dymatel /]# ifconfig

122 Часть 1. Инсталляция операционной системы Linux на сервере

TX packets:39809472 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0

RX bytes:3988297410 (3803.5 Mb) TX bytes:3988297410 (3803.5

Mb)

В рассматриваемом примере на системе установлены две сетевых карты eth0 и eth1, причем eth0 имеет два IP-адреса – 172.16.181.100 и 172.16.181.102, а eth1 один – 192.168.14.85. Все сетевые интерфейсы активны.

Шаг 3 Проверьте связь с другими системами.

C системой в сети 172.16.181.103:

[root@www root]# ping -c 3 172.16.181.103

PING 172.16.181.103 (172.16.181.103) from 172.16.181.100 : 56(84) bytes of data.

64 bytes from 172.16.181.103: icmp_seq=1 ttl=64 time=280 usec 64 bytes from 172.16.181.103: icmp_seq=2 ttl=64 time=287 usec 64 bytes from 172.16.181.103: icmp_seq=3 ttl=64 time=295 usec

--- 172.16.181.103 ping statistics ---

3 packets transmitted, 3 received, 0% loss, time 1998ms rtt min/avg/max/mdev = 0.280/0.287/0.295/0.015 ms

C системой в сети 192.168.10.5:

[root@www root]# ping -c 3 192.168.10.5

PING 192.168.10.5 (192.168.10.5) from 192.168.14.85 : 56(84) bytes of data.

64 bytes from 192.168.10.5: icmp_seq=1 ttl=64 time=1.625 msec 64 bytes from 192.168.10.5: icmp_seq=2 ttl=64 time=742 usec 64 bytes from 192.168.10.5: icmp_seq=3 ttl=64 time=671 usec

--- 192.168.10.5 ping statistics ---

3 packets transmitted, 3 received, 0% loss, time 2004ms rtt min/avg/max/mdev = 0.671/1.012/1.625/0.435 ms

C системой в Интернете:

[root@www root]# ping -c 3 213.180.194.129

PING 213.180.194.129 (213.180.194.129) from 172.16.181.100 : 56(84) bytes of data.

64 bytes from 213.180.194.129: icmp_seq=1 ttl=56 time=15.627 msec 64 bytes from 213.180.194.129: icmp_seq=2 ttl=56 time=12.886 msec 64 bytes from 213.180.194.129: icmp_seq=3 ttl=56 time=12.207 msec

--- 213.180.194.129 ping statistics ---

3 packets transmitted, 3 received, 0% loss, time 2023ms rtt min/avg/max/mdev = 12.207/13.573/15.627/1.481 ms

Если вы получили отклики от других систем, аналогичные приведенным выше, то связь работает. В противном случае, т. е. при появлении вывода аналогичного этому:

[root@www root]# ping -c 3 192.168.10.5

PING 192.168.10.5 (192.168.10.5) from 192.168.14.85 : 56(84) bytes of data.

From 192.168.14.85: icmp_seq=3 Destination Host Unreachable From 192.168.14.85: icmp_seq=3 Destination Host Unreachable From 192.168.14.85: icmp_seq=2 Destination Host Unreachable From 192.168.14.85: icmp_seq=1 Destination Host Unreachable

--- 192.168.10.5 ping statistics ---

3 packets transmitted, 0 received, +4 errors, 100% loss, time 2018ms , pipe 3

убедитесь, что выбранные для тестирования системы включены и в них не установлен запрет на ответ на ping-запросы. Если системы, используемые для тестирования, включены и способны отвечать на ping-

запросы, проверьте еще раз сетевые настройки (шаг 1), правильность подключения концентраторов и маршрутизаторов, кабели т. д.

Шаг 4

Проверьте правильность настроек DNS. Работоспособность настроек в файле /etc/hosts:

[root@www root]# ping -c 3 drwalbr.und

PING drwalbr.und (172.16.181.103) from 172.16.181.100 : 56(84) bytes of data.

64 bytes from drwalbr.und (172.16.181.103): icmp_seq=1 ttl=64 time=395 usec

64 bytes from drwalbr.und (172.16.181.103): icmp_seq=2 ttl=64 time=344 usec

64 bytes from drwalbr.und (172.16.181.103): icmp_seq=3 ttl=64 time=296 usec

--- drwalbr.und ping statistics ---

3 packets transmitted, 3 received, 0% loss, time 1998ms rtt min/avg/max/mdev = 0.296/0.345/0.395/0.040 ms

[root@www root]# ping -c 3 walbr

PING drwalbr.und (172.16.181.103) from 172.16.181.100 : 56(84) bytes of data.

64 bytes from drwalbr.und (172.16.181.103): icmp_seq=1 ttl=64 time=392 usec

64 bytes from drwalbr.und (172.16.181.103): icmp_seq=2 ttl=64 time=293 usec

64 bytes from drwalbr.und (172.16.181.103): icmp_seq=3 ttl=64 time=292 usec

--- drwalbr.und ping statistics ---

3 packets transmitted, 3 received, 0% loss, time 1999ms rtt min/avg/max/mdev = 0.292/0.325/0.392/0.051 ms

Работоспособность настроек в файле /etc/resolv.conf:

[root@www root]# ping -c 3 www.yandex.ru

PING www.yandex.ru (213.180.194.129) from 172.16.181.100 : 56(84) bytes of data.

64 bytes from yandex.ru (213.180.194.129): icmp_seq=1 ttl=56 time=16.812 msec

64 bytes from yandex.ru (213.180.194.129): icmp_seq=2 ttl=56 time=91.939 msec

64 bytes from yandex.ru (213.180.194.129): icmp_seq=3 ttl=56 time=17.107 msec

--- www.yandex.ru ping statistics ---

3 packets transmitted, 3 received, 0% loss, time 2019ms rtt min/avg/max/mdev = 16.812/41.952/91.939/35.346 ms

Если вы получили отклики от удаленных систем в Интернет и локальных сетях, аналогичные приведенным выше, то настройки DNS – правильные. В противном случае, т. е. при появлении вывода аналогичного этому:

[root@www root]# ping –с 3 www.yandex.ru ping: unknown host www.yandex.ru

проверьте содержимое файлов /etc/hosts и /etc/resolv.conf.

Шаг 5 Проверьте таблицу маршрутизации:

[root@www root]# route -n

Шаг 7 Проверьте правильность установки сетевого имени системы:

[root@dymatel /]# hostname www.dymatel.und

Часть 2

Система сетевой защиты

Глава 9

Основные положения системы сетевой защиты (Firewall)

В этой главе:

1. Концепция безопасности системы сетевой защиты

2.Порты

3.Ограничения и допущения

4.Пакеты

5.Компиляция оптимизация и инсталляция IPTables из rpm -пакетов

6.Компиляция оптимизация и инсталляция IPTables из исходных кодов

7.Настройка системы сетевой защиты IPTables

8.Проверка настроек сетевой защиты

В этой главе рассматриваются основные принципы и понятия, связанные с системой сетевой защиты (Firewall). К настоящему времени разработаны и активно развиваются системы сетевой защиты, основанные на следующих технологиях.

Первый тип – фильтрация пакетов(packet filtering) – тип встроенной в ядро сетевой защиты, работающей на сетевом уровне. Пакеты фильтруются в соответствии с их типом, исходным адресом, адресом назначения и информацией о порте, содержащейся в заголовке пакета. Такой тип сетевой защиты основан на анализе небольшого объема информации, поэтому мало влияет на загрузку центрального процессора и не создает заметных задержек в работе сети.

Первое поколение данного типа фильтрации, известное в Linux как IPCHAINS, реализовывало статическую схему сетевой защиты, при которой соединения между внутренними и внешними сетями всегда оставались открытыми для портов, используемых работающими на системе службами. Такая система сетевой защиты реализована в ядрах версий 2.2.х. Основной недостаток этого типа защиты состоит в том, что для нормального функционирования системы необходимо все время держать открытыми ряд портов.

Второе поколение – так называемые динамические пакетные фильтры (Dynamic Packet Filters), известные в Linux, как программа сетевой защиты IPTables, используемая в версиях ядра 2.4.x. При такой системе фильтрации соответствующий порт открывается только на время прохождения легитимного исходящего пакета, либо для приема ожидаемого системой пакета. Ядра Linux версии 2.4.х поддерживают новый механизм для формирования системы сетевой защиты, называемый сетевой пакетной фильтрацией (netfilter). Он более сложен, чем предыдущий механизм (IPCHAINS), но более безопасен. Блокирует большинство DoS-атак. В случае, если инородный пакет пытается проникнуть в защищаемую систему или сеть под видом пакета, принадлежащего существующему соединению, IPTables может свериться со своим хранящимся в памяти списком открытых соединений, обнаружить, что пакет не соответствует ни одному из них, и запретить его пропуск.

Общими недостатками систем сетевой защиты, основанных на фильтрации пакетов, являются:

• возможность подключения систем, находящихся за пределами локальной сети, к системам внутри

неё;

• отсутствие возможности селекции пакетов по пользователям с реализацией соответствующей идентификации.

Второй тип систем сетевой защиты, так называемые прокси-программы (application gateway), известные в Linux как Squid. Это программное обеспечения детально анализирует информацию, заключенную в теле пакетов, перед тем, как разрешить доступ в сеть пользователю из внешней сети. Запрещает прямые соединения между внутренними и внешними системами, поддерживает идентификацию пользователей.

Концепция безопасности системы сетевой защиты

Существует два подхода к концепции безопасности.

«Все, что не разрешено – то запрещено». При таком подходе блокируется весь трафик между внешней и внутренней сетями, за исключением трафика, генерируемого разрешенными службами и приложениями. Такая концепция безопасности наиболее эффективна, однако создает определенные неудобства для пользователей и требует больших трудозатрат на администрирование сети для реализации конкретных требований пользователей (у меня не работает «мирка», «аська», не могу скачать последнюю версию программы с неправильно настроенного FTP-сервера, не слышу Web-радио и т. п. ).

«Все, что не запрещено – то разрешено». При таком подходе разрешается весь трафик между двумя сетями, за исключением некоторого перечня служб и приложений. Это очень удобно для пользователей, но с точки зрения авторов, не обеспечивает приемлемый уровень безопасности.

Поэтому авторы настоятельно рекомендуют использовать именно первый вариант концепции системы сетевой защиты.

Порты

IANA (Internet Assigned Numbers Authority) образован международными организациями ISOC (Internet Society) и FNC (Federal Network Council) как центр обмена информацией для определения и координирования использования параметров протоколов Интернет. Одним из таких параметров являются номера портов, закрепленные за определенной службой. Например, если вы разработали новый (ранее не существующий) тип службы, например, службу управления специфичными бытовыми устройствами в вашем доме, IANA должна будет зарегистрировать и обслуживать уникальный номер порта, выделенный для этой программы.

Понятие «порт» было введено для организации одновременного соединения с многочисленными службами Интернет. Каждый компьютер имеет 65535 доступных портов. Так называемые «хорошо известные» (well known) порты имеют номера в диапазоне от 0 до 1023. Эти порты, в большинстве случаев, используются системными процессами или программами, выполняемыми привилегированными пользователями в фоновом режиме (службами). Зарегистрированные (registered) порты имеют номера в диапазоне от

1024 до 49151, но на большинстве систем могут использоваться любыми приложениями. Динамические порты (dynamic или private) имеют номера в диапазоне 49152…65535.

Все открытые порты должны иметь службу (демон), которая на нем выполняется, т. е. обслуживает обращающихся к этому порту пользователей. Если служба на некотором порту не выполняется, то он должен быть закрыт.

Ограничения и допущения

Все операции выполняются пользователем с учетной записью root. Используется ядро версии 2.4.х.

Используется дистрибутив ASPLinux 7.3 (Vostok). На других дистрибутивах возможно успешное выполнение подобной процедуры, но авторы этого не проверяли.

Пакеты

В дистрибутив ASPLinux 7.3 (Vostok) входит пакет iptables-1.2.6a-1.asp, используемый для установки системы сетевой защиты. Ее поддержка также включена в ядро, устанавливаемое по умолчанию. Если вы следовали рекомендациям по инсталляции нового ядра, то пакет, поставляемый с дистрибутивом, сохраняет свою работоспособность и не требует перекомпиляции ядра. Однако, используя новое ядро с персональной конфигурацией, из-за наличия неудовлетворенных зависимостей, вы не сможете установить пакет iptables-1.2.6a-1.asp, входящий в состав дистрибутива, или обновленный пакет, который может быть выпущен поставщиком дистрибутива. В этом случае придется устанавливать IPTables из исходных кодов.

Последующие рекомендации основаны на информации с домашней страницы проекта NetFilter/IPTables, полученной 01.02.2003. Пожалуйста, регулярно посещайте домашнюю страницу проекта http://www.iptables.org/ или http://www.iptables.org/ для отслеживания обновлений. Ос-

новная часть кода, используемая для системы сетевой защиты, включается в состав ядра. Разработчики IPTables не могут гарантировать, что последние изменения внесены в официальный релиз ядра, размещаемый на http://www.kernel.org. Поэтому все необходимые для нормальной работы системы сетевой защиты изменения в код ядра содержатся в пакете patch-o-matic-YYYYMMDD.tar.bz2 (последний, доступный на момент написания книги, - patch-o-matic-20030107.tar.bz2). Часть кода, не входящяя в ядро, содержится в пакете iptables-version.tar.bz2 (последний, доступный на момент написания кни-

ги, - iptables-1.2.7a.tar.bz2).

Необходимые пакеты доступны с домашней страницы разработчиков http://www.iptables.org

или http://www.iptables.org, а также FTP-сервера ftp://ftp.netfilter.org.

Компиляция оптимизация и инсталляция IPTables из rpm-пакетов

Если вы используете пакет iptables-1.2.6a-1.asp, входящий в состав дистрибутива ASPLInux 7.3 (Vostok), то вам необходимо сделать следующее.

Шаг 1 Если вы предпочитаете использование системы со стандартным ядром и программным обеспечением,

установленным из rpm-пакетов, для установки или обновления пакета необходимо выполнить следующие операции.

ЗАМЕЧАНИЕ Авторы настоятельно рекомендуют устанавливать программное обеспечение из исходных кодов.

Шаг 1

Проверьте, установлен ли пакет iptables с помощью следующей команды:

[root@bastion /]# rpm –iq iptables

Если вы следовали нашим рекомендациям, то он должен быть уже установлен.

Если пакет не установлен, перейдите в каталог, где находится пакет iptables-1.2.6a- 1.asp.i386.rpm. Если вы в соответствии с рекомендациями главы 2 скопировали все пакеты, входящие в дистрибутив, в каталог /home/distrib, то выполните команду:

[root@bastion /]# cd /home/distrib

и установите:

[root@bastion distrib]# rpm –ihv iptables-1.2.6a-1.asp.i386.rpm

или обновите пакет:

[root@bastion distrib]# rpm –Uhv iptables-1.2.6a-1.asp.i386.rpm

Шаг 2 Как уже отмечалось, поддержка системы сетевой защиты осуществляется на уровне ядра. Для того,

чтобы она могла функционировать на вашей системе, необходимо при настройке ядра установить или проверить правильность установки опций, связанных с функционированием системы сетевой защиты, в соответствии с рекомендациями, приведенными ниже в главе 6.

Для всех серверов, кроме шлюзов и прокси-серверов:

* Packet socket (CONFIG__PACKET) [Y/n/?] <Enter>

Эта опция включает/отключает поддержку приложений, которые связываются непосредственно с сетевыми устройствами без использования промежуточного сетевого протокола, осуществленного в ядре, подобно программе tcpdump.

Packet socket: mmapped IO (CONFIG_PACKET_MMAP) [N/y/?] <y>

Эта опция включает/отключает ускорение работы драйвера пакетов.

Netlink device emulation (CONFIG_NETLINK_DEV) [N/y/?] (NEW) <y>

Эта опция обеспечивает обратную совместимость.

Network packet filtering (replaces ipchains) (CONFIG_NETFILTER) [N/y/?]

<y>

Эта опция включает/отключает поддержку Firewall.

Network packet filtering debugging (CONFIG_NETFILTER_DEBUG) [N/y/?] (NEW)

<y>

Эта опция включает/отключает поддержку отладки кода netfilter.

Socket Filtering (CONFIG_FILTER) [N/y/?] <Enter>

Эта опция включает/отключает поддержку фильтра Linux Socket Filter, необходимого для реализации фильтрации пакетов PPP соединений.

Unix domain sockets (CONFIG_UNIX) [Y/n/?] <Enter>

Опция включает/отключает поддержку работы с сетями TCP/IP.

TCP/IP networking (CONFIG_INET) [Y/n/?] <Enter>

Опция включает/отключает поддержку работы с сетями TCP/IP.

IP: multicasting (CONFIG_IP_MULTICAST) [Y/n/?] <n>

Эта опция необходима для реализации сетевых мультимедийных технологий.

IP: advanced router (CONFIG_IP_ADVANCED_ROUTER) [N/y/?] <n>

Эта опция позволяет конфигурировать систему как шлюз. В случае включения этой опции необходимо ответить на ряд дополнительных вопросов.

IP: kernel level autoconfiguration (CONFIG IP_PNP) [N/y/?] <Enter>

Включение этой опции необходимо только для бездисковых рабочих станций, требующих доступа к сети для загрузки.

IP: tunneling (CONFIG_NET_IPIP) [N/y/?] <Enter>

Эта опция включает поддержку туннелирования. Её использование необходимо, например, при подключении сервера к сети через VPN-подключение.

IP: GRE tunnels over IP (CONFIG_NET_IPGRE) [N/y/?] <Enter>

Другой вид настройки туннелирования. Её использование необходимо, например, при подключении сервера к сети через VPN-подключение.

IP: TCP Explicit Congestion Notification support (CONFIG_INET_ECN) [N/y/?] <Enter>

Опция включает/отключает поддержку уведомления клиентов о перегрузке системы. К сожалению, многие сервера отказывают в доступе тем системам, на которых включена эта опция, из соображений безопасности.

IP: TCP syncookie support (disabled per default) (CONFIG_SYN_COOKIES) [N/y/?] Y

130 Часть 2. Система сетевой защиты

Эта опция включает/отключает поддержку защиты от SYN-атак.

*

*IP: Netfilter Configuration

*

Connection tracking (required for masq/NAT) (CONFIG_IP_NF_CONNTRACK) [N/y/?] (NEW) <y>

FTP protocol support (CONFIG_IP_NF_FTP) [N/y/?] (NEW) <y>

IRC protocol support (CONFIG_IP_NF_IRC) [N/y/?] (NEW) <Enter> IP tables support (required for filtering/masq/NAT) (CONFIG_IP_NF_IPTABLES) [N/y/?] (NEW) <y>

limit match support (CONFIG_IP_NF_MATCH_LIMIT) [N/y/?] (NEW) <y>

MAC address match support (CONFIG_IP_NF_MATCH_MAC) [N/y/?] (NEW) <y> netfilter MARK match support (CONFIG_IP_NF_MATCH_MARK) [N/y/?] (NEW) <y> Multiple port match support (CONFIG_IP_NF_MATCH_MULTIPORT) [N/y/?] (NEW)

<y>

TOS match support (CONFIG_IP_NF_MATCH_TOS) [N/y/?] (NEW) <y> LENGTH match support (CONFIG_IP_NF_MATCH_LENGTH) [N/y/?] (NEW) <y> TTL match support (CONFIG_IP_NF_MATCH_TTL) [N/y/?] (NEW) <y> tcpmss match support (CONFIG_IP_NF_MATCH_TCPMSS) [N/y/?] (NEW) <y>

Connection state match support (CONFIG_IP_NF_MATCH_STATE) [N/y/?] (NEW)

<y>

Packet filtering (CONFIG_IP_NF_FILTER) [N/y/?] (NEW) <y>

REJECT target support (CONFIG_IP_NF_TARGET_REJECT) [N/y/?] (NEW) <y> Full NAT (CONFIG_IP_NF_NAT) [N/y/?] (NEW) <Enter>

Packet mangling (CONFIG_IP_NF_MANGLE) [N/y/?] (NEW) <y>

TOS target support (CONFIG_IP_NF_TARGET_TOS) [N/y/?] (NEW) <y> MARK target support (CONFIG_IP_NF_TARGET_MARK) [N/y/?] (NEW) <y> LOG target support (CONFIG_IP_NF_TARGET_LOG) [N/y/?] (NEW) <y>

TCPMSS target support (CONFIG IP NF_TARGET_TCPMSS) [N/y/?] (NEW) <y>

Для шлюзов и прокси-серверов.

* Packet socket (CONFIG__PACKET) [Y/n/?] <Enter>

Эта опция включает/отключает поддержку приложений, которые связываются непосредственно с сетевыми устройствами без использования промежуточного сетевого протокола, осуществленного в ядре, подобно программе tcpdump.

Packet socket: mmapped IO (CONFIG_PACKET_MMAP) [N/y/?] <y>

Эта опция включает/отключает ускорение работы драйвера пакетов.

Netlink device emulation (CONFIG_NETLINK_DEV) [N/y/?] (NEW) <y>

Эта опция обеспечивает обратную совместимость.

Network packet filtering (replaces ipchains) (CONFIG_NETFILTER) [N/y/?]

<y>

Эта опция включает/отключает поддержку Firewall.

Network packet filtering debugging (CONFIG_NETFILTER_DEBUG) [N/y/?] (NEW)

<y>

Эта опция включает/отключает поддержку отладки кода netfilter.

Socket Filtering (CONFIG_FILTER) [N/y/?] <y>

Эта опция включает/отключает поддержку фильтра Linux Socket Filter, необходимого для реализации фильтрации пакетов PPP-соединений.

Unix domain sockets (CONFIG_UNIX) [Y/n/?] <y>

Опция включает/отключает поддержку работы с сетями TCP/IP.

TCP/IP networking (CONFIG_INET) [Y/n/?] <Enter>

Опция включает/отключает поддержку работы с сетями TCP/IP.

IP: multicasting (CONFIG_IP_MULTICAST) [Y/n/?] <Y>

Эта опция необходима для реализации сетевых мультимедийных технологий.

IP: advanced router (CONFIG_IP_ADVANCED_ROUTER) [N/y/?] <y>

Эта опция позволяет конфигурировать систему как шлюз. В случае включения этой опции необходимо ответить на ряд дополнительных вопросов.