- •Учебная группа 693
- •Инструкция по подготовке и выполнению лабораторных работ
- •А.С. Швецов
- •Сети и телекоммуникации
- •Руководство к лабораторным работам
- •Часть 2
- •Работа с ресурсами глобальной сети в ос мсвс
- •Санкт-Петербург
- •Содержание
- •Список сокращений
- •Введение
- •1. Ip адресация и ip маршрутизация
- •1.1. Теоретическая часть
- •1.1.1. Схема распределения адресного пространства
- •1.1.2. Ip маршрутизация
- •1.1.3. Управление маршрутизацией в ос мсвс
- •1.1.4. Управление маршрутизацией в ос Windows
- •1.1.5. Используемые в работе команды
- •1.2. Практическая часть
- •1.2.1. Алгоритм выполнения работы
- •1.2.2. Варианты индивидуальных заданий
- •1.2.3. Содержание отчёта
- •1.3. Примерный перечень вопросов для самостоятельного контроля
- •Литература
- •2. Сбор информации о сетевом трафике
- •2.1. Теоретическая часть
- •2.1.1. Модель osi
- •2.1.2. Протокол Ethernet
- •2.1.3. Протокол arp
- •2.1.4. Протокол ip
- •2.1.5. Протокол icmp
- •2.1.6. Проверка доступности удалённого хоста. Программа ping
- •2.1.7. Используемые в работе команды
- •2.2. Практическая часть
- •2.2.1. Алгоритм выполнения работы
- •2.2.2. Варианты индивидуальных заданий
- •2.2.3. Содержание отчёта
- •2.3. Примерный перечень вопросов для самостоятельного контроля
- •Литература
- •3. Технология nat
- •3.1. Теоретическая часть
- •3.1.1. Основы технологии nat
- •3.1.2. Общие принципы работы nat
- •3.1.4. Работа nat в мсвс
- •Icmp критерии
- •3.1.5. Проверка наличия установленного пакета iptables
- •3.1.6. Используемые в работе команды
- •3.2. Практическая часть
- •3.2.1. Алгоритм выполнения работы
- •3.2.2. Варианты индивидуальных заданий
- •3.2.3. Содержание отчёта
- •3.3. Примерный перечень вопросов для самостоятельного контроля
- •Литература
- •4. Фильтрация пакетов
- •4.1. Теоретическая часть
- •4.1.1. Принципы работы межсетевых экранов
- •4.1.2. Работа межсетевого экрана в мсвс
- •4.1.3. Проверка наличия установленного пакета iptables
- •4.1.4. Используемые в работе команды
- •4.2. Практическая часть
- •4.2.1. Алгоритм выполнения работы
- •4.2.2. Варианты индивидуальных заданий
- •4.2.3. Содержание отчёта
- •4.3. Примерный перечень вопросов для самостоятельного контроля
- •Литература
- •5. Настройка dns
- •Теоретическая часть
- •Принципы работы dns
- •Понятие зоны.
- •Типы серверов доменных имен (типы запросов: рекурсивные, не рекурсивные), прямые обратные зоны.
- •Кэширующие (cache) серверы
- •Серверы, обслуживающие корневую зону (Root servers)
- •Протокол dns
- •Сокращение имен
- •Общие сведения о вариантах настройки bind версий 8 и 9
- •Кеширующий сервер (Cache server)
- •Официальный (Authoritative) сервер зоны
- •Вспомогательный сервер (secondary, slave)
- •Файлы описания зон
- •Массовое создание зон
- •Утилита nslookup
- •Последовательность действий настройки dns-сервера
- •Практическая часть
- •Алгоритм выполнения работы
- •Варианты индивидуальных заданий
- •Содержание отчёта
- •Примерный перечень вопросов для самостоятельного контроля
- •Литература
- •6. Настройка службы ftp
- •6.1. Теоретическая часть
- •Проблема безопасности
- •Основные команды
- •Создание ftp-сервера в ос мсвс
- •Проверка наличия установленного пакета ftp-сервера, при отсутствии установленного пакета его необходимо установить из дистрибутива ос мсвс.
- •Конфигурирование ftp-сервера (vsftpd).
- •Запуск (перезапуск) демона vsftpd в ос мсвс.
- •6.1.6.1. Проверка наличия установленного пакета ftp-сервера
- •6.1.6.2. Конфигурирование ftp-сервера
- •Управление доступом
- •Сетевые параметры
- •6.1.6.3. Файл «/etc/vsftpd/ftpusers»
- •6.1.6.4. Файл «/etc/vsftpd/user_list»
- •6.1.6.5. Запуск демона ftp (vsftpd) в ос мсвс
- •Настройка ftp-клиента в «Total Commander»
- •Используемые в работе команды
- •6.2. Практическая часть
- •6.2.1. Алгоритм выполнения работы
- •6.2.2. Варианты индивидуальных заданий
- •6.2.3. Содержание отчёта
- •6.3. Примерный перечень вопросов для самостоятельного контроля
- •Литература
- •7. Настройка почтового сервера
- •7.1. Теоретическая часть
- •Названия
- •История
- •Современная архитектура (smtp)
- •Маршрутизация почты
- •Протокол передачи почты smtp
- •Установление соединения.
- •Аутентификация.
- •Передача данных.
- •Безопасность smtp и спам
- •Протоколы получения почты
- •Различия
- •Структура письма
- •7.1.8.1. Заголовок smtp
- •7.1.8.2. Заголовок письма
- •7.1.8.3. Часто используемые поля
- •7.1.8.4. Тело письма
- •Цепочки писем
- •Почтовые рассылки
- •Коммерческое использование
- •7.1.11.1. Спам
- •Шифрование почты
- •Создание почтового сервера в ос мсвс
- •7.1.13.1. Настройка smtp-сервера
- •7.1.13.2. Настройка pop3-сервера
- •Настройка и работа в «Outlook Express 6»
- •Используемые в работе команды
- •7.2. Практическая часть
- •7.2.1. Алгоритм выполнения работы
- •7.2.2. Варианты индивидуальных заданий
- •7.2.3. Содержание отчёта
- •7.3. Примерный перечень вопросов для самостоятельного контроля
- •Литература
- •8. Настройка веб-сервера
- •8.1. Теоретическая часть
- •8.1.1.1. Дополнительные функции Веб-сервера
- •8.1.1.2. Программное обеспечение Веб-сервера
- •8.1.1.3. Клиенты
- •8.1.2.1. История url
- •8.1.2.2. Структура url
- •8.1.2.3. Схемы (протоколы) url
- •8.1.3.1. Динамическая Веб-страница
- •8.1.3.2. Персональная интернет-страница
- •8.1.4.1. История Веб-сайтов
- •8.1.4.2. Устройство Веб-сайтов
- •8.1.4.3. Классификация сайтов
- •Apache http-сервер
- •8.1.7.1. Архитектура Ядро
- •Система конфигурации
- •Система модулей
- •Механизм виртуальных хостов
- •8.1.7.2. Функциональные возможности Интеграция с другим по и языками программирования
- •Безопасность
- •Интернационализация
- •Обработка событий
- •Создание Веб-сервера в ос мсвс
- •8.1.13.1. Установка и настройка «Apache http-сервера»
- •Конфигурирование Apache http-сервера.
- •8.1.13.2. Установка и настройка «MySql-сервера»
- •Конфигурирование MySql-серверf.
- •8.1.13.3. Установка и настройка php
- •Проверка наличия установленного пакета php, при отсутствии установленного пакета его необходимо установить из дистрибутива ос мсвс.
- •Конфигурирование php.
- •Используемые в работе команды
- •8.2. Практическая часть
- •8.2.1. Алгоритм выполнения работы
- •8.2.2. Варианты индивидуальных заданий
- •8.2.3. Содержание отчёта
- •8.3. Примерный перечень вопросов для самостоятельного контроля
- •Литература
Массовое создание зон
Традиционно добавление новой зоны происходит по описанной выше схеме: создаётся файл, например, «2.txt», и в нём прописываются данные второй зоны, также обновляется и «named.conf». Однако, если администрируется 100 различных зон, например, для переезда на другой выделенный канал, поменяв при этом IP-адрес. Теоретически придется править 100 файлов зон.
Однако практически следует сделать следующее. Для примера необходимо создать вторую зону — файл «2.txt» для зоны «otherhost.ru». Прописать этот файл в «named.conf», который будет выглядеть следующим образом:
options { directory «/var/named»; notify yes; };
zone «.» { type hint; file «root.hint»; };
zone «example.com.» { type master; file «example.com»; };
zone «otherhost.ru.» { type master; file «2.txt»; };
Следует обратить внимание, что файлы «example.com» и «2.txt» идентичны. Следовательно, можно изменить «named.conf» следующим образом:
options { directory «/var/named»; notify yes; };
zone «.» { type hint; file «root.hint»; };
zone «example.com.» { type master; file «example.com»; };
zone «otherhost.ru.» { type master; file «example.com»; };
zone «microsoft.com.» { type master; file «example.com»; };
zone «dklab.ru.» { type master; file «example.com»; };
То есть, здесь используется один и тот же файл зоны для всех доменов, которые будут когда-либо размещены на текущем DNS-сервере. И для изменения IP-адреса необходимо только исправлять всего один файл. Если DNS-сервер одновременно поддерживает несколько IP-адресов, то необходимо создать по одному файлу зоны для каждого из них. Теперь при перебросе клиента на другой IP-адрес, будет достаточно лишь поменять запись в «example.com».
В «named.conf» можно сочетать записи о первичных и вторичных зонах, и в этом смысле сервер может выступать в «смешанном варианте» — и первичным, и вторичным.
При изменении зоны все вторичные сервера должны об этом информироваться.
Под «изменением зоны» здесь понимается изменение «serial»-номера в файле зоны и перезапуск службы «named». Служба «named» не умеет обнаруживать модификации в файлах зон по их дате изменения, поэтому необходимо изменять серийный номер зоны после её правки.
Утилита nslookup
Среди средств тестирования системы доменных имен «nslookup» подвергается наибольшей критике. Во всяком случае, авторы «BIND» рекомендуют использовать «dig» вместо «nslookup», как написано в руководстве по BIND 9 – «из-за загадочности пользовательского интерфейса и часто противоречивого поведения» последней. Тем не менее, «nslookup» – это одно из самых популярных средств тестирования DNS. Эта программа есть в большинстве версий Unix-систем.
Программа позволяет работать пользователю в двух режимах: интерактивном и не интерактивном режимах. В первом случае пользователь, попав в командную строку «nslookup», имеет возможность исполнять команды «nslookup», во втором случае отчеты получают, задавая аргументы командной строки интерпретатора («shell» или любого другого командного интерпретатора) «nslookup».
Сначала будет рассмотрен не интерактивный режим работы. Как уже было сказано, он используется для получения информации из системы DNS непосредственно из командной строки интерпретатора. В аргументах командной строки «nslookup» можно указывать значения опций, имя или адрес хоста для которого производится поиск, и сервер доменных имен.
> nslookup www.ru
Server: polyn.net.kiae.su
Address: 144.206.160.32
Non-authoritative answer:
Name: www.ru
Address: 194.87.0.50
В данном случае используется сервер доменных имен из «resolv.conf» для поиска IP-адреса с именем «www.ru». Из отчёта видно, что этот сервер не является авторитативным для искомого имени.
Для получения более полного отчёта необходимо включить режим отладки:
> nslookup -debug www.ru
Ещё один пример применения опционного аргумента:
> nslookup -type=SOA ru.
В данном случае запрашивается информация о записи «SOA» зоны «ru.». Точка в конце имени зоны указана для определенности.
Опции всегда указываются перед именем или IP-адресом хоста, для которого ищется информация. На самом деле опции – это аргументы команды «set» интерактивного режима работы, о котором речь пойдет несколько позже.
До сих пор рассматривалась работа «nslookup» с сервером доменных имён, который определён в «resolv.conf». Имя сервера доменных имён, который будет выполнять рекурсивные запросы, можно задать в качестве последнего аргумента командной строки «nslookup»:
> nslookup -type=A www.ru. ns.relarn.ru.
В данном случае посылается рекурсивный запрос не серверу из «resolv.conf», а «ns.relarn.ru», который присылает неавторитативный ответ.
Далее будет рассмотрен интерактивный режим работы «nslookup». В него попадают двумя способами. Во-первых, просто введя «nslookup» в командной строке интерпретатора:
> nslookup
Default Server: polyn.net.kiae.su
Address: 144.206.160.32
В данном случае, в качестве сервера доменных имён программа использует сервер доменных имен умолчания, который указывается в файле настройки «resolver» («resolv.conf»).
Во-вторых, в интерактивный режим можно попасть, задав «nslookup» c двумя аргументами: символом «-» и именем или IP-адресом сервера доменных имен, который будет использоваться для выполнения рекурсивных запросов:
> nslookup - 144.206.192.10
Default Server: IRIS.polyn.kiae.su
Address: 144.206.192.10
Для того, чтобы покинуть интерактивный режим «nslookup» и вернуться в командную строку интерпретатора следует выполнить команду «exit»:
Остальные команды «nslookup» можно посмотреть в руководстве и системе «man». Далее будут рассмотрены только наиболее часто используемые случаи.
Самый простой из них – это поиск IP-адреса по доменному имени:
> quest.polyn.kiae.su.
Server: polyn.net.kiae.su
Address: 144.206.160.32
Name: quest.polyn.kiae.su
Address: 144.206.192.2
Лучше всего задавать на конце доменного имени символ «.». По-умолчанию «nslookup» включает перебор доменных имен, а работает он не совсем корректно.
Для нахождения обратного соответствия необходимо ввести:
> 144.206.192.11
Server: polyn.net.kiae.su
Address: 144.206.160.32
Name: www.kiae.ru
Address: 144.206.192.11
Как видно из полученного отчета, этому адресу соответствует имя «www.kiae.ru». Для увеличения подробности отчета необходимо ввести:
> set debug
> 144.206.192.11
Server: polyn.net.kiae.su
Address: 144.206.160.32
;; res_mkquery(0, 11.192.206.144.in-addr.arpa, 1, 12)
------------
Got answer:
HEADER:
opcode = QUERY, id = 31436, rcode = NOERROR
header flags: response, auth. answer, want recursion, recursion avail.
questions = 1, answers = 2, authority records = 3, additional = 2
QUESTIONS:
11.192.206.144.in-addr.arpa, type = PTR, class = IN
ANSWERS:
-> 11.192.206.144.in-addr.arpa
name = www.kiae.ru
ttl = 3600 (1 hour)
-> 11.192.206.144.in-addr.arpa
name = kiae.polyn.kiae.su
ttl = 3600 (1 hour)
AUTHORITY RECORDS:
-> 192.206.144.in-addr.arpa
nameserver = polyn.net.kiae.su
ttl = 3600 (1 hour)
-> 192.206.144.in-addr.arpa
nameserver = ns.spb.su
ttl = 3600 (1 hour)
-> 192.206.144.in-addr.arpa
nameserver = ns.ussr.eu.net
ttl = 3600 (1 hour)
ADDITIONAL RECORDS:
-> polyn.net.kiae.su
internet address = 144.206.160.32
ttl = 46562 (12 hours 56 mins 2 secs)
-> ns.spb.su
internet address = 193.124.83.69
ttl = 46420 (12 hours 53 mins 40 secs)
------------
Name: www.kiae.ru
Address: 144.206.192.11
Подробность отчёта увеличивается командой «set debug». Из полученного отчёта видно, что «nslookup» производит поиск в обратной зоне, предварительно преобразовав соответствующим образом введённую строку IP-адреса.
Следует обратить внимание ещё на один момент. Если при поиске IP-адреса тип запроса был «A», то, как видно из выше приведённого примера, в случае поиска доменного имени по IP-адресу посылается запрос на указатель («PTR»).
Среди ответов можно найти два имени, которые соответствуют IP-адресу: «www.kiae.ru» и «kiae.polyn.kiae.ru». Это отражает тот факт, что в описании обратной зоны «192.206.144.in-addr.arpa» есть что-то похожее на:
11 IN PTR www.kiae.ru.
IN PTR kiae.polyn.kiae.su.
Если теперь необходимо получить параметры «SOA» записи для этой обратной зоны, то следует заказать именно эту запись описания зоны:
> set type=soa
> 192.206.144.in-addr.arpa.
Server: polyn.net.kiae.su
Address: 144.206.160.32
192.206.144.in-addr.arpa
origin = polyn.net.kiae.su
mail addr = paul.kiae.su
serial = 80
refresh = 3600 (1 hour)
retry = 300 (5 mins)
expire = 9999999 (115 days 17 hours 46 mins 39 secs)
minimum ttl = 3600 (1 hour)
192.206.144.in-addr.arpa nameserver = polyn.net.kiae.su
192.206.144.in-addr.arpa nameserver = ns.spb.su
192.206.144.in-addr.arpa nameserver = ns.ussr.eu.net
polyn.net.kiae.su internet address = 144.206.160.32
ns.spb.su internet address = 193.124.83.69
ns.ussr.eu.net internet address = 193.125.152.3
На самом деле здесь получены не только параметры записи «SOA», но и информацию о серверах доменных имён, которые эту зону поддерживают.
Приведённый выше отчёт ни чем не отличается от того, который был бы получен, если вместо обратной зоны использовали имя прямой зоны, например, «polyn.kiae.su»:
В случае присутствия «PTR» записи, она выдаётся, при её отсутствии – «хост не найден».
Далее будет рассмотрен ещё один важный момент тестирования – передачу зоны. В этом случаи «nslookup» выступает как «slave» сервер, которые копируют зону с «master» сервера. Делается это при помощи команды интерактивного режима «ls»:
> ls bard.kiae.ru
[IRIS.polyn.kiae.su]
$ORIGIN bard.kiae.ru.
@ 1H IN A 144.206.192.32
mail 1H IN A 144.206.192.32
www 1H IN A 144.206.192.32
На самом деле по команде «ls» в данном случае получены в отчёте только адресные записи. Для того, чтобы получить все записи нужно указать либо флаг «-d», либо «-t any»:
Для того, чтобы скопировать зону, необходимо разрешение. Это значит, что администратор зоны должен разрешить копирование зоны с той машины, на которой выполняется «nslookup».