lab / Лабораторная работа №6 / Лабораторная работа №5 / Лабораторная работа 5. Приложение

пользоваться полной поддержкой NAT с помощью iptables

IP: equal cost multipath -НЕТ

Позволяет задать несколько маршрутов,

IP: use TOS value as routing key - НЕТ

Возможность задания разных маршрутов для пакетов с разными полями TOS (Type Of Service)

IP: verbose route monitoring - ДА (Желательно)

В логи будет выведены сообщения о "странных" пакетах, может помочь в выявлении атаки взломщика

IP: kernel level autoconfiguration - НЕТ

Для бездисковых терминалов. Позволяет настроить сеть во время загрузки ядра с помощью запросов к DHCP или RARP серверу.

IP: tunneling - НЕТ

Создание туннелей , т.е вложение одного протокола в другой. (для VPN например)

IP: GRE tunnels over IP - НЕТ

Полезно если на другом конце туннеля установлен Cisco

IP: broadcast GRE over IP - НЕТ

Для поддержки широковещательных пакетов

IP: multicast routing - НЕТ

Позволяет использовать компьютер как маршрутизатор для пакетов Multicast. Для сети MBONE с аудио и видеовещанием

IP: ARP daemon support (EXPERIMENTAL) - НЕТ

Поддержка ARP (Adress Resolution Protocol) демона. Если Вы - администратор сети и ваши пользователи мухлюют со своими IP адресами (а подменять MAC адрес не умеют), то c помощью этого протокола Вы их

можете вычислить.

IP: TCP Explicit Congestion Notification support - НЕТ

Уведомление клиентов о перегрузке сети.

IP: TCP syncookie support (disabled per default) -ДА

Защита от DOS атаки "SYN flooding". По умолчанию выключено. Можно включить добавив в файл /etc/sysctl.conf строчку net.ipv4.tcp_syncookies=1

IP: AH transformation - ДА IP: ESP transformation - ДА

IP: IPComp transformation - ДА

Эти опции нужны для IPSec

IP virtual server support (EXPERIMENTAL) - НЕТ

Технология, позволяющая из нескольких компьютеров сделать кластер и организовать из кластера виртуальный сервер

The IPv6 protocol (EXPERIMENTAL) - НЕТ

Когда интернет перейдет на эту версию протокола ip, тогда придется включить поддержку

Network packet filtering (replaces ipchains) - ДА (Обязательно)

Межсетевой экран iptables. Обязательно настройте экран, если Вы соединяетесь с другими компьютерами. Кроме того iptables обеспечивает NAT (что позволяет разделять соединение с интернетом с другими компьютерами), и позволяет расширить возможности шлюза.

Network packet filtering debugging - НЕТ

Для отлова сбоев.

Connection tracking (required for masq/NAT) - МОДУЛЬ или ДА

Отслеживание соединений. Необходимо для NAT.

FTP protocol support - МОДУЛЬ или ДА

IRC protocol support - МОДУЛЬ или ДА

ТFTP protocol support - НЕТ или МОДУЛЬ

Amanda backup protocol support - НЕТ или МОДУЛЬ

Отслеживание соответствующих протоколов. Чтобы можно было работать с данными протоколами через данный шлюз. Эти модули автоматически не загружаются. Либо включите их в ядро либо добавьте в загрузочные скрипты команду загрузки модулей.

/etc/rc.d/rc.local.local

...

modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp

...

Userspace queueing via NETLINK - НЕТ или МОДУЛЬ

IP tables support (required for filtering/masq/NAT) - МОДУЛЬ или ДА (Обязательно)

Фильтр по протоколу IP

limit match support - МОДУЛЬ или ДА (Обязательно)

Ограничения кол-ва пакетов - может использоваться для отсечения DOS атак

IP range match support - МОДУЛЬ или ДА (Обязательно)

Ограничение по диапазону IP адресов

MAC address match support - МОДУЛЬ или ДА (Желательно)

Ограничение по аппаратному адресу сетевой карты

Packet type match support - МОДУЛЬ или ДА (Желательно)

Тип пакета (например широковещательные пакеты)

netfilter MARK match support - МОДУЛЬ или ДА (Желательно)

Ограничение по поставленной метке.

Multiple port match support - МОДУЛЬ или ДА (Желательно)

Возможность указания в одной цепочке нескольких портов

TOS match support - МОДУЛЬ или ДА (Обязательно)

Тип службы

recent match support - МОДУЛЬ или ДА (Желательно)

по списку последних адресов

ECN match support - МОДУЛЬ или ДА

по полю ECN в пакете IP

DSCP match support - МОДУЛЬ или ДА

по полю DSCP в пакете IP

AH/ESP match support - НЕТ или МОДУЛЬ

по SPI в заголовках ah esp для пакетов IPSec

LENGTH match support - МОДУЛЬ или ДА (Желательно)

по длине пакета

TTL match support - НЕТ или МОДУЛЬ

По значению TTL (Time to Life) - времени жизни для пакета

tcpmss match support - МОДУЛЬ или ДА (Желательно)

По значению mss (размера сегмента данных) в SYN пакетах.

Helper match support - МОДУЛЬ или ДА (Желательно)

Если слежение за пакетом (например ip_conntrack_ftp) сработало

Connection state match support - МОДУЛЬ или ДА (Обязательно)

Очень полезная особенность - позволяет фильтровать пакеты, по состоянию соединению (новое соединение, ранее установленное или новое соединение, но

связанное с уже установленным)

Connection tracking match support - МОДУЛЬ или ДА (Обязательно)

тоже по состоянию соединения, но в случае шлюза - определят состояние прошедших через слежение за соединением (например ip_conntrack_ftp)

Owner match suppor - МОДУЛЬ или ДА (Желательно)

По владельцу пакета (пользователь, группа, процесс)

Packet filtering - МОДУЛЬ или ДА (Обязательно)

позволяет фильтровать пакеты

REJECT target support МОДУЛЬ или НЕТ

Позволяет не просто сбрасывать запрещенные пакеты, а направлять специальный пакет с уведомлением об ошибке по протоколу ICMP

Full NAT - МОДУЛЬ или ДА

Таблицы замены адресов - для шлюза обязательно

MASQUERADE target support - МОДУЛЬ или ДА

Полезно для модемного соединения - У исходящих пакетов обратный адрес заменяется на текущий адрес шлюза

REDIRECT target support - МОДУЛЬ или ДА

Очень полезная вещь - позволяет перенаправлять пакеты по другому адресу или порту. Этот механизм используется в прозрачных прокси.

NETMAP target support - МОДУЛЬ или НЕТ

Эта реализация более простого механизма NAT. Подменяется только адрес сети, а адрес машины не подменяется.

SAME target support - МОДУЛЬ или НЕТ

Работает как и обычная цепочка подмены адреса источника, но ставит клиентам один адрес для всех соединений.

NAT of local connections (READ HELP) - НЕТ

Если Вы хотите чтобы пакеты с самого шлюза тоже проходили цепочки подмены адреса, то включите эту опцию

Basic SNMP-ALG support (EXPERIMENTAL) - НЕТ

Поддержка протокола SNMP для NAT

Packet mangling - МОДУЛЬ или ДА

Таблица mangle в iptables (перенаправление пакетов ) для шлюза

TOS target support - МОДУЛЬ или ДА ECN target support - МОДУЛЬ или ДА DSCP target support - МОДУЛЬ или ДА

Цепочки по соответствующим полям в IP пакете

MARK target support - МОДУЛЬ или ДА

Для маркировки пакета

CLASSIFY target support - МОДУЛЬ или ДА

Для установки приоритета пакета

LOG target suppor - МОДУЛЬ или ДА

Позволяет записать в логи заголовки нужных пакетов

ULOG target support - МОДУЛЬ или ДА

Тоже что и LOG, только для Multicast

TCPMSS target support - МОДУЛЬ или ДА

Очень полезная опция, если у Вас на шлюзе на сетевых интерфейсах разные MTU (например в случае соединения локальной сети и модемного соединения) . В случае если у Вас происходит зависание приложений при передаче больших пакетов (Почта, FTP), поставьте цепочку

iptables -A FORWARD -p tcp --tcp- flags SYN,RST SYN -j TCPMSS -clamp-mss-to-pmtu

ARP tables support - НЕТ или МОДУЛЬ

Поддержка протокола ARP в iptables

NOTRACK target support - МОДУЛЬ или НЕТ

Если Вы используете механизм слежения за пакетами, то цель NOTRACK позволит указать пакеты которые НЕ будут проходить этот механизм.

raw table support (required for NOTRACK/TRACE) - МОДУЛЬ или НЕТ

Таблица raw. Нужна для целей NOTRACK TRACE. Имеет

IPsec user configuration interface МОДУЛЬ или НЕТ

Нужно для поддержки Ipsec

SCTP Configuration (EXPERIMENTAL) - НЕТ

поддержка протокола SCTP

Asynchronous Transfer Mode (ATM)

(EXPERIMENTAL) - НЕТ

Для сетевого оборудования с поддержкой скоростной сети ATM

802.1d Ethernet Bridging - НЕТ

Для создания моста. Мост объединяет сети. Отличие от шлюза состоит в том, что сети являются как бы продолжением друг друга и используют одну сетевую маску.

802.1Q VLAN Support - НЕТ

DECnet Support - НЕТ

Поддержка сети DECNET.

ANSI/IEEE 802.2 LLC type 2 Support - НЕТ

The IPX protocol - НЕТ

Если у Вас есть старые серверы Netware (ниже 5.0) на этом протоколе, то включите

Appletalk protocol support - НЕТ

CCITT X.25 Packet Layer (EXPERIMENTAL) - НЕТ

LAPB Data Link Driver (EXPERIMENTAL) - НЕТ

Это все экзотика

Frame Diverter (EXPERIMENTAL) - НЕТ или МОДУЛЬ

Интересная опция, позволяет обрабатывать чужие пакеты, которые не предназначались этому компьютеру (как делают мосты и снифферы)

Acorn Econet/AUN protocols (EXPERIMENTAL) - НЕТ WAN router - НЕТ

Это нужно если у Вас есть соответствующее оборудование для работы в качестве шлюза в глобальной сети.

Fast switching (read help!) -НЕТ (Обязательно)

Для быстрой передачи в случае непосредственного соединения двух сетевых карт. Очень мало драйверов поддерживает эту особенность. Эта опция несовместима с Network packet filtering!

Forwarding between high speed interfaces - НЕТ

Очень мало драйверов поддерживает эту особенность. Сделано для выхода из состояния сильной перегрузки

QoS and/or fair queueing - НЕТ или МОДУЛЬ

На самом деле интересная возможность. Позволяет расставить приоритеты протоколов, чтобы определенны пакеты шли в первую очередь, а менее приоритетные - в последнюю

Network testing - НЕТ (Обязательно)

Это нужно для проведения испытаний сети.

Amateur Radio support - НЕТ

Еще одно экзотическое устройство

IrDA (infrared) support - МОДУЛЬ

Устройства с инфра-красной связью (пульты к тюнерам сюда не относятся)

IrLAN protocol - МОДУЛЬ

Протокол эмуляции сетевой карты

IrNET protocol - МОДУЛЬ

Протокол эмуляции PPP устройства. Хорош для быстрого создания соединения между двумя компьютерами.

IrCOMM protocol - МОДУЛЬ

Эмуляция последовательного порта. Хорошо для создания PPP соединения. Можно использовать для подключение к GPRS интернету через мобильный телефон. С устройством можно работать как с обычным модемом посредством программы minicom

Ultra (connectionless) protocol - НЕТ

простой протокол для работы с простыми устройствами (например часы)

Cache last LSAP - ДА

Кэшировать последний LSAP. Рекомендуется включать.

Fast RRs (low latency) - ДА

Использовать быстрый сигнал Receive Ready (готовность приема). Ускоряет обмен данными.

Debug information - НЕТ

Вывод ошибок в логи.

Infrared-port device drivers

Собственно драйверы

SIR device drivers

Драйверы для устройств, подключаемых к последовательному порту

IrTTY (uses Linux serial driver) - МОДУЛЬ

протокол для работы через последовательный порт

Dongle support

Поддержка приемника

Serial dongle support - ДА

Поддержка приемника в последовательном порту

ESI JetEye PC dongle - МОДУЛЬ ACTiSYS IR-220L and IR220L+ dongle - МОДУЛЬ Tekram IrMate 210B dongle - МОДУЛЬ Parallax LiteLink dongle - МОДУЛЬ Mobile Action MA600 dongle

-МОДУЛЬ Greenwich GIrBIL dongle

-МОДУЛЬ Microchip MCP2120 - МОДУЛЬ Old Belkin dongle -