Jj – 26. veebruar 2009, kell 15:49

2009-02-26T15:49:04Z

←Vanem redaktsioon		Redaktsioon: 26. veebruar 2009, kell 15:49
5. rida:		5. rida:
	IP maskeraadi eelisteks on:		IP maskeraadi eelisteks on:

	* saab teha Interneti teenused kättesaadavaks suuremale hulgale töökohtadele, kui teil on kasutada avalikke IP aadresse		* saab teha Interneti teenused kättesaadavaks suuremale hulgale töökohtadele, kui teil on kasutada avalikke IP aadresse
	* saab osa IP maskeraadiga kaasnevast turvalisusest - kuna sisevõrgu arvutile on omistatud privaat-aadressid, siis ei saa neid otseselt rünnata - paketid ei jõua lihtsalt kohale.		* saab osa IP maskeraadiga kaasnevast turvalisusest - kuna sisevõrgu arvutile on omistatud privaat-aadressid, siis ei saa neid otseselt rünnata - paketid ei jõua lihtsalt kohale.
	* maskeraadi kasutamiseks ei ole tarvis tööjaamadesse installeerida täiendavat tarkvara		* maskeraadi kasutamiseks ei ole tarvis tööjaamadesse installeerida täiendavat tarkvara

	IP maskeraadiga kaasneb turvalisus vaid seni, kuni maskeeriv masin ise on turvaline. Tavaliselt on maskeeriv masin ainus sisevõrgu ja Interneti kokkupuute-punkt ning seetõttu on oluline maskeeriv masin kindlustada st konfigureerida tulemüürina.		IP maskeraadiga kaasneb turvalisus vaid seni, kuni maskeeriv masin ise on turvaline. Tavaliselt on maskeeriv masin ainus sisevõrgu ja Interneti kokkupuute-punkt ning seetõttu on oluline maskeeriv masin kindlustada st konfigureerida tulemüürina.

Jj – 26. veebruar 2009, kell 15:48

2009-02-26T15:48:42Z

←Vanem redaktsioon		Redaktsioon: 26. veebruar 2009, kell 15:48
5. rida:		5. rida:
	IP maskeraadi eelisteks on:		IP maskeraadi eelisteks on:

	* saab teha Interneti teenused kättesaadavaks suuremale hulgale töökohtadele, kui teil on kasutada avalikke IP aadresse		* saab teha Interneti teenused kättesaadavaks suuremale hulgale töökohtadele, kui teil on kasutada avalikke IP aadresse
	* saab osa IP maskeraadiga kaasnevast turvalisusest - kuna sisevõrgu arvutile on omistatud privaat-aadressid, siis ei saa neid otseselt rünnata - paketid ei jõua lihtsalt kohale.		* saab osa IP maskeraadiga kaasnevast turvalisusest - kuna sisevõrgu arvutile on omistatud privaat-aadressid, siis ei saa neid otseselt rünnata - paketid ei jõua lihtsalt kohale.
	* maskeraadi kasutamiseks ei ole tarvis tööjaamadesse installeerida täiendavat tarkvara		* maskeraadi kasutamiseks ei ole tarvis tööjaamadesse installeerida täiendavat tarkvara

	IP maskeraadiga kaasneb turvalisus vaid seni, kuni maskeeriv masin ise on turvaline. Tavaliselt on maskeeriv masin ainus sisevõrgu ja Interneti kokkupuute-punkt ning seetõttu on oluline maskeeriv masin kindlustada st konfigureerida tulemüürina.		IP maskeraadiga kaasneb turvalisus vaid seni, kuni maskeeriv masin ise on turvaline. Tavaliselt on maskeeriv masin ainus sisevõrgu ja Interneti kokkupuute-punkt ning seetõttu on oluline maskeeriv masin kindlustada st konfigureerida tulemüürina.

Jj: New page: ===IP maskeraadi kuidas-teha=== IP maskeraad on eriline tehnika sisevõrgu arvutite ühendamiseks Internetiga Tüüpiliselt on see ühendus ühepoolne: sisevõrgu arvutitest saab kasutada...

2007-12-23T11:13:52Z

New page: ===IP maskeraadi kuidas-teha=== IP maskeraad on eriline tehnika sisevõrgu arvutite ühendamiseks Internetiga Tüüpiliselt on see ühendus ühepoolne: sisevõrgu arvutitest saab kasutada...

Uus lehekülg

===IP maskeraadi kuidas-teha===

IP maskeraad on eriline tehnika sisevõrgu arvutite ühendamiseks Internetiga Tüüpiliselt on see ühendus ühepoolne: sisevõrgu arvutitest saab kasutada Interneti teenuseid, kuid reeglina ei saa Internetist kasutada sisevõrgu teenuseid. Oluline on arvestada, et maskeraadiga ühendatud sisevõrgu arvutitele on tavaliselt omistatud IP aadressid privaataadresside ruumist (nt võrgust 192.168.1.0/24, 10.0.0.0/8 jne).

IP maskeraadi eelisteks on:

* saab teha Interneti teenused kättesaadavaks suuremale hulgale töökohtadele, kui teil on kasutada avalikke IP aadresse
* saab osa IP maskeraadiga kaasnevast turvalisusest - kuna sisevõrgu arvutile on omistatud privaat-aadressid, siis ei saa neid otseselt rünnata - paketid ei jõua lihtsalt kohale.
* maskeraadi kasutamiseks ei ole tarvis tööjaamadesse installeerida täiendavat tarkvara

IP maskeraadiga kaasneb turvalisus vaid seni, kuni maskeeriv masin ise on turvaline. Tavaliselt on maskeeriv masin ainus sisevõrgu ja Interneti kokkupuute-punkt ning seetõttu on oluline maskeeriv masin kindlustada st konfigureerida tulemüürina.

IP maskeraadi puudusteks on:

* mitte päris kõik teenused pole rahuldavalt maskeraaditavad, näiteks videokonverentsid. Siiski enamus töörahvale olulisi teenuseid on maskeeritud arvutitest täiesti kasutatavad
* maskeeritud võrgu arvutisse on keeruline tööle seada serverit, mis pakub avalikku so Internetist kasutatavat teenust

Kuigi järgnevas näites kõneleme ühest kohtvõrgust, saab sarnaselt Internetiga ühendada ka mitut kohtvõrku.
Võrgu skeem

Et maskeraad edukalt tööle saada, peaks teil olema suhteliselt selge ettekujutus, kuidas teie arvutid võrgus paiknevad ning millised IP aadresse te kasutate. Näiteks kirjeldab seda selline skeem

(( ..- )
( )
( )
( )))
INTERNET
( . -)
((. )
(---- )
|
|
__|__
| | ISPi võrguseade
|__ __| 193.40.222.63
|
|
|
|
__|__ 193.40.222.62
| | teenusepakkuja ruuter, näiteks NOKIA
| |
_ _|_ _ _|_ _ _ _ teie asutuse piir _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
| |
|__ __| ___ avalik
| 193.40.223.97 | | server
| |___| 193.40.223.99
| vahevõrk |
|---|--------|------ 193.40.223.96/28 ---------------|------------|
|
|
| eth0 193.40.223.98
---|---
| |
| | Linuxi masin
| |
---|---
| eth1 192.168.1.1
|
|-----|--- 192.168.1.0/24 ---|---- ... --|------|
sisevork __|__ __|__
| | | |
|_____| |_____|

192.168.1.2 192.168.1.254

Skeemil on kujutatud Internetiühenduse ja kohtvõrgu maskeraadimise seisukohtast kõik olulised sõlmed ja parameertid.

Teie asutuse piiri kujutavast joonest allapoole jääb asutusesisene võrk, miskoosneb kahest alamvõrgust:

* vahevõrk - selles võrgus kasutatakse avalikke IP aadresse ning sinna ühendatud masinad on otse nähtavad Internetist
* sisevõrk - selles võrgus kasutatakse privaat IP aadresse ning seal asuvad masinad on maskeraaditud Linuxi serveri poolt

Praktiliselt saab kõike avalikke teenuseid pakkuda ka Linuxi masinast, kuid põhimõtteliselt on korrektsem kasutada selleks eraldi masinat, avalikku serverit (193.40.223.99). Järgnevas ei kirjeldada kuidas kasutada või konfigureerida avalikku serverit, sisevõrgu jaoks on ta lihtsalt üks väljas Internetis asuv masin.

Välisvõrgu võrguseadmete aadressid teatab teile teenusepakkuja, näites kasutame järgmisi:

* 193.40.223.96 - vahevõrgu aadress
* 193.40.223.111 - vahevõrgu leviaadress
* 193.40.223.97 - teenusepakkuja ruuteri vahevõrgupoolne IP aadress
* 193.40.223.98 - Linuxi masina vahevõrgupoolse seadme IP aadress
* eth0 - Linuxi masina välisvõrgu poolse seadme nimi

Maskeeritud sisevõrgu arvutid paigutatakse tavaliselt privaat aardessruumi, näiteks võrku 192.168.1.0 kus on 255 IP aadressi:

* 192.168.1.0 - sisevõrgu aadress
* 192.168.1.255 - sisevõrgu leviaadress
* 192.168.1.1 - Linuxi masina sisevõrgu poolse seadme IP aadress
* 192.168.1.2 ... 192.168.1.254 - sisevõrgu tööjaamade IP aadressid
* eth1 - Linuxi masina sisevõrgu poolse seadme nimi

Skeemil on suhteliselt meelevaldselt valitud väliseks võrguseadmeks eth0 ja sisemiseks eth1, võib olla ka vastupidi, see pole oluline; alltoodud näidete kasutamisel tuleb nad selles suhtes kohandada oma olukorrale.
Maskeraad

Ilma maskeraadi kasutamata saab interneti teenuseid tarvitada vaid Linuxi arvutist; tööjaamadest saab tarvitada ainult Linuxi masina enda poolt pakutvaid teenuseid. Selleks tuleb Linuxi masina võrguseadmed konfigureerida ning seada ruutingud kumbagi võrku ning ka Internetti. Näiteks selliselt

bash# ifconfig eth0 193.40.223.98
bash# ifconfig eth1 192.168.1.1
bash# route add -net 192.40.223.96 netmask 255.255.255.240 eth0
bash# route add -net 192.168.1.0 netmask 255.255.255.0 eth1

Viimasel ajal pole kahte viimast käsku vaja andagi, esimesed kaks seadistavad automaatselt enda võrkudesse ruutingu ära. Veenduge selles andes käsu route

bash# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
193.40.223.96 0.0.0.0 255.255.255.240 U 0 0 0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
...

Paraku ei saa Linuxi masinat kasutada tavalises mõttes ruuterina kuna teil pole sisevõrgu klientide jaoks IP aadresse. Põhimõtteliselt saavad nad pakette Internetti saada, kuid see, kellele nad läksid ei saa neile vastuseid saata, kuna lähteaadress pole avalikult kasutatav IP aadress.

Eeldusel, et kumbagi võrku on ruuting tehtud, saab teha sisevõrgu masinatele siiski Interneti teenused kättesaadavaks. Selleks tuleb sisevõrgust Internetti suunduva IP paketi lähteaadressiks kirjutada Linuxi masina Interneti poolse võrguseadme aadress ning jätta meelde milliselt sisevõrgu masinast pakett tuli ja kuhu see läks. Paketid vastuvõtnud Interneti server saadab vastuse tagasi Linuxi masinale ning see peab toimeta selle edasi andmevahetuse algatanud sisevõrgu masinale.

Sellise skeemi kohaselt tegutsedes jääb sisevõrgus oleval kliendil mulje, et ta suhtleb otse Interneti serveriga. Interneti server aga suhtleb enda meelest Linuxi masinaga.
Mida on vaja teha maskeraadi töölesaamiseks

Sõltuvalt teie olemasolevast asjade seisust peate tegema rohkem või vähem samme maskeraadi tööleseadmiseks. Näiteks, kui teie Linuxi kernel ei toeta maskeraadi, ei pääse te muidu, kui peate hankima sobiva kerneli.

Teil on tarvis:

1. teada eelmise punkti skeemil toodud vahevõrgu parameetreid, selle informatsiooni saate te oma teenusepakkujalt
2. konfigureerida sisevõrgu tööjaamad eelmises punktis toodud skeemile vastavalt (vt. Linuxi võrguotoe seadistamise KT, Windowsi masina võrgutoe kongfigureerimine)
3. konfigureerida Linuxi masina võrguseadmed vastavalt eelmises punktis toodud skeemile (vt. Linuxi võrguotoe seadistamise KT)
4. veenduda, et Linuxi masinast paistab vahe- ja sisevõrk (vt. Võrgudiagnostika) ning Internet vajadusel muuta Linuxi masina või tööjaamade konfiguratsiooni
5. teha kindlaks kas Linuxi masinas leidub maskeraadimiseks vajalik tarkvara ning vajadusel see lisada (vt. punkt Tarkvara)
6. konfigureerida maskeraad (vt. punkt Maskeraadi käivitamine)
7. kindlustada Linuxi masin (vt. punkt Linuxi masina kindlustamine)

Kolm viimast sammu on kirejeldatud järgnevates punktides, näidetes jätkame skeemil toodud võrguseadmete parameetrite väärtustega, teie peate ilmselt asendama need oma vastavate väärtustega.
Tarkvara

Maskeraadi tegemine toimub 2.2.x tuumaga programmi Ipchains abil, mis on tavaliselt Linuxi distributsiooniga kaasas ja vaikimisi installeeritud. Uurige, kas teie süsteemis on programm ipchains olemas

bash# which ipchains
/sbin/ipchains

Kui te kasutate ühte alltoodud Linuxi distributsioonidest või selle uuemat versiooni, siis tõenäoliselt tuleb ta vaikimisi koos 2.2.x tuumaga ning sisaldab ipchainsi utiliite:

* Caldera v2.2
* Debian v2.1
* Linux Mandrake v6.0
* Mandrake v7.0
* Redhat v6.0
* Slackware v7.0
* SuSE v6.1
* TurboLinux v6.0

Vajadusel tarkvara ise kompileerida saab Ipchainsi kopeerida aadressilt http://netfilter.kernelnotes.org/ipchains/.

Kuna Ipchains töötab tuuma tasemel, siis on tihti tarvis sobiv tuum kompileerida. Olulised valikud on (tuum 2.2.17)

[ * ] Network firewalls
[ * ] IP: firewalling
[ * ] IP: masquerading
[ * ] IP: ICMP masquerading

Esmalt tasub katsetada olemasoleva tuumaga.

Lisaks tuumale kompileeritakse tehtud valikute korral käsuga 'make modules' teatud teenuste (FTP, IRC jt) maskeraadiks vajalikud moodulid

bash:~# ls -l /lib/modules/2.2.17/ipv4/
total 28
-rw-r--r-- 1 root root 2512 Nov 25 17:28 ip_masq_cuseeme.o
-rw-r--r-- 1 root root 4652 Nov 25 17:28 ip_masq_ftp.o
-rw-r--r-- 1 root root 3308 Nov 25 17:28 ip_masq_irc.o
-rw-r--r-- 1 root root 3040 Nov 25 17:28 ip_masq_quake.o
-rw-r--r-- 1 root root 5024 Nov 25 17:28 ip_masq_raudio.o
-rw-r--r-- 1 root root 4992 Nov 25 17:28 ip_masq_user.o
-rw-r--r-- 1 root root 2904 Nov 25 17:28 ip_masq_vdolive.o

Olemasoleva tuuma versiooni saab näha käsuga

bash$ uname -a
Linux zoo 2.2.17 #2 Sat Nov 25 17:22:33 CET 2000 i686 unknown

ning sellele, et olemasolev tuum toetab Ipchainsi viitab faili /proc/net/ip_fwchains olemasolu.
Maskeraadi käivitamine

Maskeraadi käivitamiseks sobib alustuseks moodustada sarnane kooriku skript masq.sh

#!/bin/sh
#############################################
## TEHKE SIIN VAJALIKUD MUUDATUSED ##
#############################################
# välisseade vs
vs="eth1"
# sisevõrk sv
sv="192.168.1.0/255.255.255.0"

#############################################
## ALLPOOL POLE VAJA MIDAGI MUUTA ##
#############################################
#
# seadme masina pakette edasisuunama
echo 1 > /proc/sys/net/ipv4/ip_forward

# tekitame sobiva algseisu
ipchains -F input
ipchains -F output
ipchains -F forward

# lubame piiranguteta igasugust liiklust
ipchains -P input ACCEPT
ipchains -P output ACCEPT
ipchains -P forward ACCEPT

# korraldame sisevõrgu maskeerimise
ipchains -A forward -i $vs -s $sv -d 0/0 -j MASQ

Anname skriptile käivitamiseks vajalikud õigused

bash# chmod 744 masq.sh

ning käivitame

bash# ./masq.sh

Siiamaani kehtestatud reegleid saab vaadata käsuga ipchains selliselt

bash# ipchains -L -n
Chain input (policy ACCEPT):
Chain forward (policy ACCEPT):
target prot opt source destination ports
MASQ all ------ 192.168.1.0/24 anywhere n/a
Chain output (policy ACCEPT):

Soovides reegleid muuta, redigeerige masq.sh faili ning käivitage ta uuesti.

Toodud näide töötab, kuid ei sobi pikaajaliseks praktiliseks kasutamiseks, kuna ta sõna otseses mõttes jätab liiga palju auke. Alustada aga on mõtet just sellest, sest väikese arvu reeglitega on lihtsam suuri vigu leida. Kui maskeraad töötab, siis tuleb tõhustada Linuxi masina kui tulemüüri omadusi.

Maskeraadi õnnestunud konfigureerimisest annab tunnistust see, et kohtvõrgu tööjaamadest saab kasutada levinud interneti teenuseid, näiteks veebi.
Linuxi masina kindlustamine

Kui te olete saanud eelmises punktis toodud näite eeskujul tööle maskeraadi, on tarvis kindlustada Linuxi masinat ja sisevõrku mittesoovitavate külalistuste eest.

Kindlustame Linuxi masina IP pakettide filtreerimse abil, mida võimaldab korraldada samuti programm ipchains. IP pakettide filtreerimisel kontrollitakse igast võrguseadmest läbi liikuvaid IP pakette ning otsustatakse millises suunas liikuvaid milliseid pakette lubada (ACCEPT) või keelata (REJECT). Näiteks käsk

ipchains -A input -i eth0 -d 193.40.223.98 80 -p tcp -j ACCEPT

lisab ahelasse input (-A input) reegeli, mis näitab, et tuleb sisse lubada (-j ACCEPT) läbi võrguseadme eth0 (-i eth0) saabuvad TCP paketid (-p tcp), mis suunduvad aadressile 193.40.223.98 ja pordile 80 (-d 193.40.223.98 80).

Kõige lihtsamal juhul asuvad reeglid vaid kolmes ahelas

* input - toimub võrguseadmest sisenevate pakettide kontroll
* output - toimub võrguseadmest väljuvate pakettide kontroll
* forward - toimub võrguseadmesse edasisuunatud pakettide kontroll, selles ahelas toimub muuseas ka maskeraad

Ühes ahelas on tavaliselt mitu reeglit; kui näiteks pakett siseneb, siis asutakse järjest läbi vaatama input ahela reegleid. Rakendatakse esimene reegel, millega pakett klappis ning võetakse vaatluse alla järgmine pakett.

Seame eesmärgiks

* lubada Linuxi masinast ja sisevõrgust külastada kõiki interneti teenuseid (praktiliselt küll vaid neid, mida maskeraad toetab, kuid enamlevinuid teenused on kasutatavad)
* lubada Internetist külastada vaid teatud Linuxi masina teenuseid
* lubada sisevõrgust külastada kõiki Linuxi masina teenuseid

Linuxi masinas töötavad järgmised teenused ning nad kasutavad tabelis tootud vaikimisi porte. Tabelis on samuti näidatud milliseid teenused saab kuskilt tarvitada

teenus tcp port udp port sisevõrgule välisvõrgule
FTP 21 - jah jah
SSH 22 - jah jah
Epost 25 - jah jah
Veeb 80 - jah jah
POP3 110 - jah ei
Identd 113 - jah jah
Samba 137, 139 - jah ei
IMAP 143 - jah ei

Sõnastatud nõudeid täidab selline, muudetud masq.sh

#!/bin/sh

# need moodulid tagavad vähemvalulise FTP, RealAudi ja IRC kasutamise
# maskeraaditud sisevõrgust
modprobe ip_masq_ftp.o
modprobe ip_masq_raudio.o
modprobe ip_masq_irc.o

# seame masina pakette edasisuunama
echo 1 > /proc/sys/net/ipv4/ip_forward

#############################################
## TEHKE SIIN VAJALIKUD MUUDATUSED ##
#############################################
# kasutame allpool muutujaid
# välisvõrguga suhtleva võrguseademe nimi
vs="eth0"

# sisevõrguga suhtleva võrguseadme nimi
ss="eth1"

# välisvõrguga suhtleva võrguseadme IP aadress
vip="193.40.223.98"

# sisevõrguga suhtleva võrguseadme IP aadress
sip="192.168.1.1"

# sisevõrgu võrgunumber ja võrgmask
sv="192.168.1.0/255.255.255.0"

#############################################
## ALLPOOL POLE VAJA MIDAGI MUUTA ##
#############################################
# puhastame ahelad
ipchains -F input
ipchains -F output
ipchains -F forward

# kehtestame ahelate vaiketegevuse ehk policy
ipchains -P input REJECT
ipchains -P output REJECT
ipchains -P forward REJECT

# ALLPOOL KASUTATUD 'SISSE' JA 'VÄLJA' ON ARVESTATUD
# LINUXI MASINA SUHTES
# Nii lähevad näiteks Linuxi masinast sisevõrku suunduvad paketid samuti
# selles mõttes välja

#
# VÄLISSEADE
#
# LÄBI VÄLISSEADME VÄLJA
#
# Oleme viisakad: Linuxi masinast ei saa välja paketid
# mille lähteaadressiks on privaatvõrk
# kui selline asi toimub on tegemist kohaliku pahalasega

ipchains -A output -i $vs -s 192.168.0.0/255.255.0.0 -d 0/0 -j REJECT -l
ipchains -A output -i $vs -s 172.16.0.0/255.240.0.0 -d 0/0 -j REJECT -l
ipchains -A output -i $vs -s 10.0.0.0/255.0.0.0 -d 0/0 -j REJECT -l
ipchains -A output -i $vs -s 127.0.0.0/255.0.0.0 -d 0/0 -j REJECT -l

# välja saab piiranguteta kõikjale
ipchains -A output -i $vs -s $vip -d 0/0 -j ACCEPT

# igaks juhuks logime kõike muud väljuvat
ipchains -A output -i $vs -j REJECT -l

# LÄBI VÄLISSEADME SISSE
#
# Millised Linuxi masina teenused peavad olema välisvõrgust kättesaadavad
#
# privaatvõrkudest lähtuvad paketid
# ei saa siseneda läbi välise seadme
# Tavaliselt on sellised paketid kahtlased - logime

ipchains -A input -i $vs -s 192.168.0.0/255.255.0.0 -d $vip -j REJECT -l
ipchains -A input -i $vs -s 172.16.0.0/255.240.0.0 -d $vip -j REJECT -l
ipchains -A input -i $vs -s 10.0.0.0/255.0.0.0 -d $vip -j REJECT -l
ipchains -A input -i $vs -s 127.0.0.0/255.0.0.0 -d $vip -j REJECT -l

# mida teha välisvõrgu leviaadressile saadetud
# pakettidega, küsimus laiale ringile ?

# sisse saavad seest algatatud ühendustele vastuseks
# saabuvad tcp paketid
ipchains -A input -i $vs -d $vip -p tcp ! -y -j ACCEPT

# sisse saavad välisvõrgust saabuvad udp paketid
# paraku tuleb kõik vastu võtta, ka need mis
# tulevad omaalgatuslikult; siiski võtame vastu
# ainult privilegeerimata portidele
# va NFSi port 2049
ipchains -A input -i $vs -d $vip 2049 -p udp -j REJECT -l
ipchains -A input -i $vs -d $vip 1024: -p udp -j ACCEPT

# sisse saavad icmp paketid (ping, traceroute)
ipchains -A input -i $vs -d $vip -p icmp -j ACCEPT -l

# välisvõrgust tuleb sisse lasta
# meie poolt välisvõrgule pakutavatele teenustele vastavad paketid
# nende vastused saavad välja kuna me laseme
# välja väga ladnalt
ipchains -A input -i $vs -d $vip 21 -p tcp -j ACCEPT
ipchains -A input -i $vs -d $vip 22 -p tcp -j ACCEPT
ipchains -A input -i $vs -d $vip 25 -p tcp -j ACCEPT
ipchains -A input -i $vs -d $vip 80 -p tcp -j ACCEPT
ipchains -A input -i $vs -d $vip 113 -p tcp -j ACCEPT

# aktiivne FTP, kliendi jaoks
ipchains -A input -i $vs -s 0/0 20 -d $vip 1024: -p tcp -y -j ACCEPT

# passiivne FTP, serveri jaoks
ipchains -A input -i $vs -s 0/0 1024: -d $vip 1024: -p tcp -y -j ACCEPT

# muu väljast siseneva keelame ja logime
ipchains -A input -i $vs -j REJECT -l

# LÄBI SISESEADME SUUNATUD SISSE
#
# Kohtvõrgu kliendid saavad külastada kõiki
# Linuxi masina ja interneti teenuseid
#
ipchains -A input -i $ss -s $sv -d 0/0 -j ACCEPT

# kõik muud keelame ja logime
ipchains -A input -i $ss -d 0/0 -j REJECT -l

#
# SISESEADE
#
# LÄBI SISESEADME VÄLJA
#
# 3. Sisevõrku saavad kõik paketid piiranguteta
# Kaitse välismaailma eest toimub välisseadme reeglitega
ipchains -A output -i $ss -s 0/0 -d $sv -j ACCEPT

# muu keelame ja logime
ipchains -A output -i $ss -j REJECT -l

# KOHTSEADE
# serverist saab lo0 seadet kasutada igatpidi
ipchains -A input -i lo -j ACCEPT
ipchains -A output -i lo -j ACCEPT

# MASKERAAD
# korraldame kohtvõrgu maskeraadimise
ipchains -A forward -i $vs -s $sv -d 0/0 -j MASQ

Kuna Linuxi 2.2.x kernel ja Ipchains ei võimalda lihtsasti eristada seest saadetud UDP paketile vastusesks tulevat paketti väljast omaalgatuslikult saadetud UDP paketist, siis toodud näites lubatakse liiga vabalt UDP pakette sisse. So kõikidesse UDP portidesse üle 1024 va 2049. Vajadusel blokeerige või laske UDP porte vabaks, näiteks kui teil töötab Linuxi masinas avalik nimeserver.

Näites on reeglid sõnastaud seadmete kaupa, Ipchains hoiab ise reegleid ahelate kaupa, vastavad reeglid on sellised

bash# ipchains -L -n --line-numbers -v
Chain input (policy REJECT: 1906 packets, 841766 bytes):
num pkts bytes target prot opt tosa tosx ifname mark outsize source destination ports
1 0 0 REJECT all ----l- 0xFF 0x00 eth1 192.168.0.0/16 193.40.223.98 n/a
2 0 0 REJECT all ----l- 0xFF 0x00 eth1 172.16.0.0/12 193.40.223.98 n/a
3 0 0 REJECT all ----l- 0xFF 0x00 eth1 10.0.0.0/8 193.40.223.98 n/a
4 0 0 REJECT all ----l- 0xFF 0x00 eth1 127.0.0.0/8 193.40.223.98 n/a
5 180 138K ACCEPT tcp !y---- 0xFF 0x00 eth1 0.0.0.0/0 193.40.223.98 * -> *
6 0 0 REJECT udp ----l- 0xFF 0x00 eth1 0.0.0.0/0 193.40.223.98 * -> 2049
7 5 841 ACCEPT udp ------ 0xFF 0x00 eth1 0.0.0.0/0 193.40.223.98 * -> 1024:65535
8 0 0 ACCEPT icmp ----l- 0xFF 0x00 eth1 0.0.0.0/0 193.40.223.98 * -> *
9 0 0 ACCEPT tcp ------ 0xFF 0x00 eth1 0.0.0.0/0 193.40.223.98 * -> 21
10 0 0 ACCEPT tcp ------ 0xFF 0x00 eth1 0.0.0.0/0 193.40.223.98 * -> 22
11 0 0 ACCEPT tcp ------ 0xFF 0x00 eth1 0.0.0.0/0 193.40.223.98 * -> 23
12 0 0 ACCEPT tcp ------ 0xFF 0x00 eth1 0.0.0.0/0 193.40.223.98 * -> 25
13 0 0 ACCEPT tcp ------ 0xFF 0x00 eth1 0.0.0.0/0 193.40.223.98 * -> 80
14 0 0 ACCEPT tcp ------ 0xFF 0x00 eth1 0.0.0.0/0 193.40.223.98 * -> 113
15 0 0 ACCEPT udp ------ 0xFF 0x00 eth1 0.0.0.0/0 193.40.223.98 * -> 53
16 0 0 ACCEPT tcp -y---- 0xFF 0x00 eth1 0.0.0.0/0 193.40.223.98 20 -> 1024:65535
17 0 0 ACCEPT tcp -y---- 0xFF 0x00 eth1 0.0.0.0/0 193.40.223.98 1024:65535 -> 1024:65535
18 0 0 REJECT all ----l- 0xFF 0x00 eth1 0.0.0.0/0 0.0.0.0/0 n/a
19 135 24157 ACCEPT all ------ 0xFF 0x00 eth2 192.168.1.0/24 0.0.0.0/0 n/a
20 0 0 REJECT all ----l- 0xFF 0x00 eth2 0.0.0.0/0 0.0.0.0/0 n/a
21 6 730 ACCEPT all ------ 0xFF 0x00 lo 0.0.0.0/0 0.0.0.0/0 n/a
Chain forward (policy REJECT: 10 packets, 840 bytes):
num pkts bytes target prot opt tosa tosx ifname mark outsize source destination ports
1 135 24157 MASQ all ------ 0xFF 0x00 eth1 192.168.1.0/24 0.0.0.0/0 n/a
Chain output (policy REJECT: 1747 packets, 278277 bytes):
num pkts bytes target prot opt tosa tosx ifname mark outsize source destination ports
1 0 0 REJECT all ----l- 0xFF 0x00 eth1 192.168.0.0/16 0.0.0.0/0 n/a
2 0 0 REJECT all ----l- 0xFF 0x00 eth1 172.16.0.0/12 0.0.0.0/0 n/a
3 0 0 REJECT all ----l- 0xFF 0x00 eth1 10.0.0.0/8 0.0.0.0/0 n/a
4 0 0 REJECT all ----l- 0xFF 0x00 eth1 127.0.0.0/8 0.0.0.0/0 n/a
5 149 25156 ACCEPT all ------ 0xFF 0x00 eth1 193.40.223.98 0.0.0.0/0 n/a
6 0 0 REJECT all ----l- 0xFF 0x00 eth1 0.0.0.0/0 0.0.0.0/0 n/a
7 172 135K ACCEPT all ------ 0xFF 0x00 eth2 0.0.0.0/0 192.168.1.0/24 n/a
8 0 0 REJECT all ----l- 0xFF 0x00 eth2 0.0.0.0/0 0.0.0.0/0 n/a
9 6 730 ACCEPT all ------ 0xFF 0x00 lo 0.0.0.0/0 0.0.0.0/0 n/a

Võtmega -n kuvatakse IP aadressid ja pordid numbrilisel kujul. Lisades võtme -v saate näha iga reegliga seotud andmemahte.

toimub ma
Maskeraadi automaatne käivitamine

Et igal masina taaskäivitamisel ei peaks käsitsi skripti masq.sh käivitama, selleks tuleb kirjutada vastav rida mõnda süsteemi algkäivitusfaili. Näiteks täidetakse failis /etc/rc.d/rc.local olevad käsud süsteemi käivitamise käigus automaatselt.
Logide analüüs

Nendele skriptis kirjeldatud reeglitele, mis lõppevad '-l' -ga vastavad paketid logitakse Syslogi. Syslogis on ilmselt lisaks maskeraadi logidele ka muud informatsiooni, mida saab vaadata näiteks käsuga tail

bash# tail -f /var/log/messages
Dec 13 14:14:14 cockpit kernel: Packet log: input ACCEPT eth1 PROTO=1 62.254.76.154:0 193.40.223.98:0 L=28 S=0x00 I=61117 F=0x0000 T=112 (#8)
Dec 13 14:14:16 cockpit identd[16683]: Connection from lustiverepk.edu.ee
Dec 13 14:14:15 cockpit kernel: Packet log: input ACCEPT eth1 PROTO=1 172.143.67.60:0 193.40.223.98:0 L=28 S=0x00 I=12806 F=0x0000 T=108 (#8)
Dec 13 14:14:15 cockpit kernel: Packet log: input ACCEPT eth1 PROTO=1 172.154.227.160:0 193.40.223.98:0 L=28 S=0x00 I=19757 F=0x0000 T=108 (#8)
Dec 13 14:14:15 cockpit kernel: Packet log: input ACCEPT eth1 PROTO=1 194.230.177.147:0 193.40.223.98:0 L=28 S=0x00 I=50513 F=0x0000 T=109 (#8)

Maskeraadiga seotud read tunneb ära nime 'Pacet log' järgi. Näiteks esimene rida tähendab järgmist

* Dec 13 14:14:14 - sündumuse toimumise aeg
* cockpit kernel: Packet log: - tegemist on kerneli Packet logiga
* input ACCEPT eth0 - tegemist on läbi välise võrguseadme siseneda lubatud paketiga
* PROTO=1 - tegu on ICMP sõnumiga, tõenäoliselt ping (vt. /etc/protocols)
* 62.254.76.154:0 193.40.223.98:0 - pakett tuli aadressilt 62.254.76.15 ja oli suunatud aadressile 193.40.223.98
* (#8) - paketile rakendus 24. input ahela reegel

Üks võimalus Linuxi masina kaitstuse üle otsustada on uurides süsteemi logisid.

IP maskeraad - Redigeerimiste ajalugu

Jj – 26. veebruar 2009, kell 15:49

Jj – 26. veebruar 2009, kell 15:48

Jj: New page: ===IP maskeraadi kuidas-teha=== IP maskeraad on eriline tehnika sisevõrgu arvutite ühendamiseks Internetiga Tüüpiliselt on see ühendus ühepoolne: sisevõrgu arvutitest saab kasutada...