Раздел: Документация

0 ... 68 69 70 71 72 73 74 ... 125

См. разделы «Протокол ТСР» и «Протокол UDP» главы 2.

v /

В отличие от proxy-серверов пакета TIS Firewall Toolkit, использующие SOCKS клиенты должны содержать соответствующий код для поддержки работы с этим протоколом, что обычно требует их перекомпиляции. Из этого правила есть несколько исключений. Для клиентов Windows были разработаны библиотеки, позволяющие обеспечить поддержку SOCKS существующим клиентским ПО. Кроме того, протокол SOCKS широко распространен, и многие производители включили поддержку его функций в свои клиентские программы. К тому же реализация 4-й версии SOCKS компании NEC содержит клиенты Telnet, FTP, Finger и WHOIS, а в ее пакет с 5-й версией входят еще клиенты Archie, PING и tracerpote.

Ввиду популярности этого решения SOCKS посвящена целая глава. Более подробную информацию о работе этого протокола, о клиентских приложениях для него и о библиотеках SOCKS вы найдете в главе 15.

Сервер SQUID

SQUID (буквально «кальмар») - это название кэширующего proxy-сервера, доступного для загрузки из Internet. Так же, как TIS Firewall Toolkit и несколько других продуктов, описанных в этой главе, SQUID доступен в виде исходного текста, который можно скомпилировать в различных популярных версиях UNIX.

Уже указывалось, что proxy-сервер перехватывает IP-трафик между клиентом и сервером. Он взаимодействует с каждой из систем и служит в качестве посредника между ними, поэтому прямого обмена пакетами между клиентом и сервером не происходит. Proxy-серверы могут скрывать адреса клиентов, спрятанных за брандмауэром. Кэширующий же сервер выполняет другую функцию. Кэширование представляет собой процесс сохранения копий часто запрашиваемых объектов с тем, чтобы при получении очередного запроса на загрузку объекта быстро извлечь его копию из кэша. Благодаря тому, что данные берутся из кэша, для реакции на запрос клиента обычно требуется меньше времени, чем при прямом запросе объекта от его источника.

Объекты, которые кэширующий сервер помещает в буфер памяти (или в дисковые файлы), могут включать в себя данные, приходящие в ответ на запросы FTP и HTTP, а также запросы других сетевых клиентов. Кроме кэширования таких объектов SQUID поддерживает кэширование запросов DNS. Пакет SQUID состоит из нескольких серверных программ, в том числе кэширующего proxy-сервера squid, сервера запросов DNS dnsserver и других необязательных программ.

См. также главы 7, 16 и 18.

---

ПАКЕТ DRAWBRIDGE 215

........u.....-A. ,

Серверы SQUID удается настроить так, чтобы они образовывали иерархию, в которой родительские серверы находились бы ближе всего к опорной сети, а дочерние - ближе всего к клиентам во внутренней сети. Если дочерний сервер не в состоянии обслужить запрос, вернув данные из своего кэша, он передает этот запрос родительскому серверу. Последний отвечает на запрос с помощью данных из своего кэша или отсылает его на более высокий уровень иерархии. Такая иерархическая организация иногда позволяет сэкономить полосу пропускания канала Internet, поскольку запросы часто удается обслужить локально, не пересылая их в Internet. SQUID использует для взаимодействия между дочерними и родительскими серверами протокол Lightweight Internet Cache Protocol (ICP).

Одно из преимуществ SQUID перед некоторыми из других бесплатных продуктов, уже описанных здесь, состоит в том, что его поддержку можно получить не только с Web-страниц, списков рассылки и других Internet-ресурсов, но и от производителей, которые обеспечивают платную поддержку и помощь при установке этого продукта.

SQUID поддерживает Lightweight Internet Cache Protocol

Кэширующий сервер сохраняет загруженные объекты в течение определенного периода времени, чтобы быть в состоянии быстро вернуть ж, если поступит повторный запрос на те же данные от другого клиента. Для этого служит соответствующий протокол, например для загрузки Web-страниц (протокол HTTP). Но кэширующие серверы обмениваются информацией и друг с другом. Применяющийся при этом протокол называется Lightweight Internet Cache Protocol, или ICP.

Для настройки SQUID необходимо отредактировать файл squid, conf. SQUID также создает несколько log-файлов, содержащих информацию о доступе к серверу и о его производительности..

Поскольку этот пакет широко распространен, его настройка и установка по- дробно описывается в главе 16.

Пакет Drawbridge

До сих пор в настоящей главе речь шла о продуктах, которые в основном работают в качестве proxy-серверов. Но не забывайте, что для оптимальной работы proxy-сервер должен находиться за пакетным фильтром, а не быть подключенным к Internet напрямую. В качестве пакетного фильтра допускается использовать экранирующий маршрутизатор или соответствующее программное решение.

См. раздел «Применение пакетного фильтра» в главе 4 и главу

---

Программа Drawbridge - это бесплатный производительный пакетный фильтр, первоначально написанный для платформы DOS, а теперь работающий под FreeBSD. Как и Drawbridge, операционная система FreeBSD бесплатна - поэтому она так и называется (слово «free» в данном случае означает «бесплатный»). Этот фильтр пакетов, разработанный в колледже Texas А&М, был предназначен специально для академической среды.

! Что такое FreeBSD

i FreeBSD - это операционная система, основанная на операционной системе I BSD UNIX, которая была создана для работы на PC-совместимых компьютерах. FreeBSD является неплохой альтернативой для тех, кто не может себе позволить приобрести мощную станцию Sparc или компьютер HP UNIX. FreeBSD и сопровождающая ее документация поддерживаются бесчисленными добровольцами, годами бесплатно отдающими свое время и энергию на создание операционной системы, соперничающей с «купленными» продуктами.

Чтобы больше узнать о FreeBSD либо загрузить ее код, документацию или другие связанные с ней файлы, посетите Web-сайт http://www.freebscl.org.

Drawbridge изменяет некоторые файлы в каталоге /etc, поэтому лучше всего ставить его сразу же после установки FreeBSD. Как и укрепленный узел, данный компьютер лучше всего применять только для фильтрации пакетов, не создавать на нем лишних учетных записей пользователей и не обременять его ненужными программами.

Drawbridge содержит три основных компонента:

О механизм фильтрации - компонент, который собственно и выполняет фильтрацию пакетов и после компиляции включается в ядро операционной системы;

О компилятор фильтров - программа dbf с, предназначенная для компиляции правил, записываемых вами в файле настроек, чтобы механизм фильтрации был способен работать с ними;

О менеджер - как очевидно из ее названия, эта программа, называемая dbmgr, служит для управления Drawbridge.

Настройка фильтра заключается просто в создании текстового файла правил с командами Drawbridge и последующей компиляции и загрузке фильтра. Файл настроек формируется в любом текстовом редакторе и компилируется с помощью команды dbfс:

dbfс входной файл [выходной файл]

Скомпилированный файл загружается командой dbmgr.

Посредством созданных фильтров вы в состоянии разрешать или блокировать доступ к определенным сетевым службам (определенным в файле /etc/services), портам или типам сообщений ICMP. Фильтрование пакетов осуществляется

0 ... 68 69 70 71 72 73 74 ... 125