Опубликован: 04.07.2008 | Уровень: специалист | Доступ: платный | ВУЗ: Европейский Университет в Санкт-Петербурге
Лекция 3:

Настройка и обслуживание сетевых соединений

< Лекция 2 || Лекция 3: 12345 || Лекция 4 >

Настройки ipfilter

По умолчанию ipfilter выключен. Для того, чтобы подготовить его к включению, следует создать файлы настроек и внести в эти файлы необходимые правила фильрации пакетов. По умолчанию файлы настроек хранятся в каталоге /etc/ipf.

В этом каталоге служба фильтра пакетов ожидает увидеть следующие файлы настроек:

  • ipf.conf – общие настройки фильтра
  • ippools.conf – настройки групп адресов
  • ipnat.conf – настройки NAT

Чтобы разрешить запуск фильтра пакетов при старте системы, после настройки файлов его конфигурации следует дать команду

svcadm enable svc:/network/ipfilter

В Solaris версий Solaris 10 3/05 release, Solaris 10 1/06 release, Solaris 10 6/06 release, и Solaris 10 11/06 release для работы с ipfilter помимо службы ipfilter использовался дополнительный компонент – служба pfil, которую надо было отдельно настраивать и запускать с помощью smf. Начиная с Solaris 10 07/08 этого не требуется, этот компонент был заменен постоянно действующим другим компонентом.

Простые настройки ipf.conf

Примером простой настройки фильтра пакетов является следующий файл ipf.conf:

# pass and log everything by default
pass in log on elxl0 all
pass out log on elxl0 all
# block, but don't log, incoming packets from other reserved addresses
block in quick on elxl0 from 10.0.0.0/8 to any
block in quick on elxl0 from 172.16.0.0/12 to any
# block and log untrusted internal IPs. 0/32 is notation that replaces
# address of the machine running Solaris IP Filter.
block in log quick from 192.168.1.15 to <thishost>
block in log quick from 192.168.1.43 to <thishost>
# block and log X11 (port 6000) and remote procedure call
# and portmapper (port 111) attempts
block in log quick on elxl0 proto tcp from any to elxl0/32 port =
6000 keep state
block in log quick on elxl0 proto tcp/udp from any to elxl0/32 port =
111 keep state

В этом примере использовался интерфейс elxl0. Подставьте вместо elxl0 фактический интерфейс своего компьютера при настройке фильтра пакетов. Обратите внимание, что каждый пакет проверяется на соответствие всем правилам фильтра, в отличие от фильтров ipfw в FreeBSD и iptables в Linux, где проверка делается в порядке нумерации правил до первого совпадения.

Настройки NAT

Для настройки NAT следует использовать команду ipnat или записать требуемые настройки в файл /etc/ipf/ipnat.conf:

map elxl0 192.168.1.0/24 -> 10.1.0.0/16

В этой команде указывается внешний интерфейс маршрутизатора, т.е. данный пример приведен для случая, когда интерфейс elxl0 смотрит в сторону провайдера, а внутрь локальной сети смотрит какой-то другой интерфейс (например, elxl1).

Настройки пулов адресов

Создание пулов адресов удобно для логической группировки диапазонов адресов и других параметров пакетов, которые необходомо обрабатывать одинаковым образом. Кроме этого, пулы адресов повышают скорость работы фильтра.

Описане пулов адресов, которое загружается при старте системы, находится в /etc/ipf/ippool.conf. Для управления пулами адресов "на лету", т.е. во время работы системы, следует использовать команду ippool.

Описание пула адресов выполняется в соответствии со следующим синтаксисом:

table role = role-name type = storage-format number = reference-number

Здесь table определяет начало описания пула, role указывает роль пула для фильтра (пока что определена всего одна роль – ipf ), type сообщает формат хранения описания этого пула, number дает номер, по которому в правиле фильтрации можно указать данный пул.

Например, для того, чтобы включить в пул номер 13 группу из двух адресов 10.1.1.1 и 10.1.1.2, а также сеть 192.168.1.0, необходимо в файле ippool.conf сделать следующую запись:

table role = ipf type = tree number = 13
{ 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24 };

После этого на определенный в ippool.conf пул можно будет ссылаться в правилах фильтрации, например, так:

pass in from pool/13 to 192.168.1.0/24

Информация о пулах загружается до списка правил, и внесение нового пула в ippool.conf не дает возможности использовать ссылку на него используйте команду ipfstat -io для получения информации о действующих правилах:

ipfstat -io
empty list for ipfilter(out)
empty list for ipfilter(in)

Для более подробной информации о пулах адресов в настройке ipfilter, смотрите руководство по ippool(4).

Новые методы настройки сетевых свойств

inetmenu

В "классическом" методе настройки адресов в Solaris (том самом, который устанавливается при запрете запуска службы svc:/network/physical:nwam и разрешении запуска службы svc:/network/physical:default ) настройка интерфейса с помощью протокола DHCP ( ifconfig <интерфейс> dhcp ) динамически работает только с IP-адресом, не позволяя столь же динамически настроить NIS, DNS или другие службы имен.

Однако для Solaris есть простой инструмент, который помогает решить и эту задачу. Он является переходной ступенью от "классической" схемы к NWAM. Этот инструмент – программа inetmenu, которую можно скачать по адресу http://www.opensolaris.org/os/community/laptop/inetmenu/

После установки inetmenu нужно удалить из системы файлы /etc/ hostname.*, и /etc/resolv.conf, поскольку они будут создаваться программой inetmenu при активации соответствующего сетевого подключения.

Программа inetmenu поддерживает статическое задание IP-адреса, маршрутизации и сервисов имен, динамическое получение по DHCP и настройку IP-адреса, маршрутизации и сервисов имен, а также работу с беспроводной сетью. Разумеется, программа не заменяет собой драйверы устройств, поэтому все сетевые адаптеры, включая беспроводные, должны быть настроены до запуска этой программы. При работе с inetmenu служба svc:/network/physical:nwam должна быть запрещена к запуску, а служба svc:/network/physical:default – разрешена, так как inetmenu просто создает корректные файлы /etc/resolv.conf и динамически настраивает интерфейсы, управляя ими через ifconfig.

Программа inetmenu поддерживает настройку проводных и беспроводных (wi-fi) интерфейсов. Все новые выпуски Solaris поддерживают работу с wi-fi с шифрацией по протоколам WEP и WPA.

Так как настройки в различных местах, куда вы можете прийти со своим лаптопом, могут не только отличаться, но и требовать ручной "доделки" (указание специфичных адресов DNS-серверов и других, в зависимости от настроек DHCP-сервера и других компонентов сети), в inetmenu есть возможность настройки "профилей", т.е. наборов сетевых настроек для различных мест пребывания. Каждый профиль можно назвать соответственно тому, для какого места он предназначен: office, home и т.д. Инструкцию по тонкой настройке inetmenu и созданию профилей для различных можно прочесть в каталоге /etc/inetmenu после установки программы.

NWAM

Служба NWAM (NetWork Auto Magic) выполняет автоматическую настройку сетевых интерфейсов. Она хорошо приспособлена для работы на компьютерах, у которых в каждый момент времени требуется иметь всего один активный сетевой интерфейс. Если ваша задача – настройка маршрутизатора, службой NWAM пользоваться будет не так удобно, хотя, возможно, в будущем эта служба будет интегрирована со службой поддержки динамической маршрутизации.

NWAM более всего полезна на лаптопах, хотя может использоваться и для рабочих станций в локальной сети.

NWAM обычно не требует вмешательства со стороны системного администратора и тем более пользователя. Назначение адресов и автоматическое уничтожение настроек по завершении сетевого подключения выполняет демон nwamd, который управляется как служба svc:/network/physical:nwam.

Если требуется выполнить какие-либо действия до настройки сетевого интерфейса демоном nwamd, или после этой настройки – это можно сделать, создав запускаемые скрипты в подкаталогах каталога /etc/nwam/ulp/, как объяснено в руководстве по nwamd(1M). Основные настройки службы NWAM хранятся в файлах, расположенных в каталоге /etc/nwam.

NWAM обычно не требует ручной настройки и поддерживает как проводные, так и беспроводные соединения. В некоторых случаях при вводе и последующем кэшировании некорректных паролей для подключения к беспроводным сетям с WEP- или WPA-шифрованием, может понадобиться удалить вручную файл /etc/nwam/known_wifi_nets и применить программу dladm(1M) для удаления запомненного ключа.

< Лекция 2 || Лекция 3: 12345 || Лекция 4 >
Александр Тагильцев
Александр Тагильцев

Где проводится профессиональная переподготовка "Системное администрирование Windows"? Что-то я не совсем понял как проводится обучение.

Анатолий Натрусов
Анатолий Натрусов
Россия
Виктор Саркисов
Виктор Саркисов
Россия, Нижний Новгород, НГТУ, 2001