Опубликован: 26.07.2011 | Уровень: для всех | Доступ: свободно
Лекция 12:

Обеспечение доступа в сеть Интернет

< Лекция 11 || Лекция 12: 123

В данном случае создается четыре интерфейса модема (ttyUSB0-3), интерфейс виртуального CDROM (записано программное обеспечение для Windows) и интерфейс FLASH-памяти.

Далее необходимо в файле /etc/ppp/peers/3g установить настройки PPP-соединения, а в файле /etc/ppp/3g — для модема команды инициализации и набора номера:

# cat /etc/ppp/peers/3g
connect "usr/sbin/chat -v -f /etc/ppp/3g1" /dev/ttyUSB0
460800
#115400
crtscts
#debug
#logfile /var/log/1.log
noauth
noipdefault
usepeerdns
defaultroute
user  "web1" 
password  "web" 

# cat /etc/ppp/3g
TIMEOUT 35
ECHO ON
ABORT '\nBUSY\r'
ABORT '\nERROR\r'
ABORT '\nNO ANSWER\r'
ABORT '\nNO CARRIER\r'
ABORT '\nNO DIALTONE\r'
ABORT '\nRINGING\r\n\r\nRINGING\r'
ABORT '\nUsername/pASSWORD Incorrect\r'
''  \rAT
OK   'AT+CGDCONT=1,\ "IP\",\"web1.velcom.by\" '
OK  'ATD*99#'
CONNECT ''

Подключение:

# pppd call 3g
Примечание: Если SIM-карта использует PIN-код:
# cat /var/log/ppp-connect-errors
AT
OK
AT+CGDCONT=1, "IP" , "web1.velcom.by" 
+CME ERROR: SIM PIN required

то его необходимо один раз передать модему при инициализации:

OK  'AT+CPIN=8971'

Особенности доступа к сети Интернет на сетевом уровнe

Обычно локальные сети строятся с использованием локальных (автономных) диапазонов IP-адресов (10.0.0.0 /8, 172.16.0.0-172.31.0.0, 192.168.0.0 /16). Для взаимодействия с сетью Интернет используется один IP-адрес или небольшой диапазон IP-адресов, предоставляемый провайдером Интернет-услуг.

Если нет необходимости публиковать локальные информационные ресурсы в Интернет, то для исходящих соединений узлов локальной сети с узлами Интернет может использоваться Интернет-адрес провайдера, задаваемый динамически на внешнем интерфейсе (WAN-интерфейсе) модема, маршрутизатора или прокси-сервера. Для публикации локальных информационных ресурсов в сети Интернет необходим хотя бы один статический реальный IP-адрес. Для взаимодействия узлов локальной сети с сетью Интернет на сетевом и транспортном уровнях может использоваться трансляции сетевых адресов (NAT, Network Address Translation), а на прикладном уровне — технологии прокси.

Примечание: Прокси-сервер прикладного уровня осуществляет функцию посредника между компьютерами локальной сети и серверами Интернет. Обычно прокси-сервер реализует ограниченный набор прикладных протоколов (HTTP, HTTPS, SOCKS и т. д.). Использование прокси-сервера для WEB-трафика позволяет реализовать кэширование данных, получаемых из Интернет, фильтровать содержимое и управлять доступом к ресурсам Интернет. При этом, Интернет-обозреватель или иная программа, осуществляющая работу с данным прокси-сервером должна быть настроена (указан адрес прокси и порт на котором он принимает запросы). Примером WEB-прокси является кэширующий прокси-сервер Squid [ 49 ] , поддерживающий протоколы HTTP, HTTPS, FTP и другие (см. п 8.5. "Настройка некоторых сетевых служб в Debian GNU/Linux" ).

Доступ в Интернет узлов локальной сети (рис. 12.1) может осуществляться с помощью трансляции адреса источника (source NAT). На граничном устройстве (маршрутизаторе, модеме или межсетевом экране, минимально имеющем адрес локальной сети и Интернет-адрес), при взаимодействии с узлом Интернет адрес локального узла подменяется Интернет-адресом граничного устройства в соответствии с таблицей трансляции ( пример 12.3, пример 12.4). Это преобразование нужно осуществлять после выполнения маршрутизации.

 NAT для доступа в сеть Интернет

Рис. 12.1. NAT для доступа в сеть Интернет

При публикации локального информационного ресурса в сети Интернет (рис. 12.2) используется трансляция адреса получателя (destination NAT). Обращения узлов Интернет к определенному порту Интернет-адреса граничного устройства транслируются в обращения к соответствующему узлу локальной сети ( пример 12.5). Данное преобразование нужно осуществлять до выполнения маршрутизации.

 Публикация локального ресурса в сети Интернет с помощью NAT

Рис. 12.2. Публикация локального ресурса в сети Интернет с помощью NAT
Примечание: В примерах пример 12.3, пример 12.4, пример 12.5 на внешних интерфейсах указаны адреса из локального диапазона. Для доступа к сети Интернет следует реальные IP-адреса, из диапазона, предоставляемом провайдером. В тоже время пример 12.3 можно трактовать как случай подключения шлюза локальной сети к шлюзу Интернет (например ADSL-модему), на котором есть Интернет-интерфейс и происходит еще одна трансляция сетевых адресов.

Рассмотрим маршрутизатор на основе Linux c двумя сетевыми интерфейсами [ 50 ] : интерфейс eth0 (IP-адрес 192.168.56.102/24, шлюз 192.168.56.1) используется для доступа к внешней сети, а интерфейс eth1 (IP-адрес 192.168.1.1/24) включен в локальную сеть (клиенты локальной сети должны иметь адреса из сети 192.168.1.0/24 и шлюз по умолчанию 192.168.1.1).

Пусть необходимо транслировать запросы локальных клиентов в адрес 192.168.56.102 при передаче их шлюзу 192.168.56.1. Для этого на маршрутизаторе необходимо включить пересылку пакетов, а затем добавить в таблицу NAT цепочки POSTROUTING правило маскировать ( MASQUERADE ) пакеты, попадающие после маршрутизации на интерфейс eth0 и имеющие исходный адрес из сети 192.168.1.0/24:

# iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE

Например, выполнив c узла локальной сети команду ping -c 1 192.168.56.1 и на маршрутизаторе проанализировав с помощью tcpdump сетевые пакеты, можно убедиться, что трансляция действительно происходит. Эхо-запрос и эхо-ответ на внутреннем интерфейсе маршутизатора:

22:31:56.822772 IP 192.168.1.2 > 192.168.56.1: ICMP echo request, id 48135, seq 1, length 64
22:31:56.825035 IP 192.168.56.1 > 192.168.1.2: ICMP echo reply, id 48135, seq 1, length 64
Листинг 12.3. Настройка маршрутизатора с функцией NAT

На внешнем интерфейсе:

22:31:56.822873 IP 192.168.56.102 > 192.168.56.1: ICMP echo request, id 48135, seq 1, length 64
22:31:56.824968 IP 192.168.56.1 > 192.168.56.102: ICMP echo reply, id 48135, seq 1, length 64
Примечание: Действие MASQUERADE подразумевает автоматическое определение исходного адреса трансляции из текущих настроек интерфейса, что полезно при использовании подключений, IP-адрес на которых устанавливается динамически.

Пусть у маршрутизатора из предыдущего примера есть дополнительный IP-адрес 192.168.56.103 и необходимо в него транслировать все пакеты, принадлежащие узлу локальной сети 192.168.1.2, а пакеты остальных узлов локальной сети - в адрес 192.168.56.102. Для явного задания исходного IP-адреса трансляции необходимо использовать действие SNAT с параметром --to-source:

# iptables -I POSTROUTING 1 -s 192.168.1.2 -o eth0 -j SNAT --to-source 192.168.56.103
# iptables -I POSTROUTING 2 -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 192.168.56.102
Листинг 12.4. Указание IP-адреса для трансляции

Пусть необходимо, чтобы SSH-сервер на порту 8222 узла локальной сети 192.168.1.2 ( пример 12.3) был доступен на внешнем адресе маршутизатора. Для этого необходимо использовать действие DNAT с параметром --to-destination:

# iptables -t nat -A PREROUTING -i eth1 -p tcp -d 192.168.56.102 --dport 8222
   -j DNAT --to-destination 192.168.1.2
Листинг 12.5. Публикация SSH-сервера
< Лекция 11 || Лекция 12: 123
Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Сергей Пархоменко
Сергей Пархоменко
Россия, Ростов-на-Дону, ЮФУ (ДГТУ), 2008