Раздел: Документация

0 ... 76 77 78 79 80 81 82 ... 125

Обратите внимание, что в этом примере правило не начинается с ключевого слова netacl-, поскольку оно относится к proxy-серверу ftp-gw. Это правило не запрещает и не разрешает узлу работать с программой. Оно лишь регистрирует доступ к службе FTP для всех узлов сети 140.176.177.0. Параметры в скобках (retr stor} определяют действия (выполняемые указанными в правиле узлами), которые будут регистрироваться. Таким образом, хотя наиболее очевидное назначение правил, записанных в файле netperm-table, - контроль доступа, они могут также служить для настройки различных параметров запускаемого сервера.

В табл. 14.1 перечислены ключевые слова, с помощью которых в файле netperm-table настраивается программа netacl.

Ключевые слова и параметры, относящиеся к другим proxy-серверам пакета, перечислены в разделах, посвященных соответствующим программам.

Таблица 14.1. Ключевые слова настройки программы netacl Х- Ключево

hosts узлы

-exec программа[аргументы]

Правила доступа для определенных узлов. С данным ключевым словом мажно применять модификаторы permit - и deny-

Имя программы службы, к которой относится данное правило. Необходимо, чтобы оно было последним парометром правила. При использовании netacl каждое правило должно содержать ключевое слово -exec user идентификатор пользователя Указывает пользователя (задается численный идентификатор

или имя пользователя). Учетная запись пользователя должна присутствовать в файле /etcpasswd

Каталог, в который перейдет netacl перед вызовом программы сервера. Поскольку смена каталога выполняется до запуска службы, путь к исполняемому файлу (задаваемый в пораметре -exec) должен быть определен относительно этого каталога Timeout секундВремя в секундах, по истечении катарага демон разорвет

соединение. Таймаут FTP обычно составляет от 300 с (5 мин) да 3600 с (1 ч). При настройке ргаху-сервера не следует задавать слишком большое значение, чтобы соединение не оставалось открытым чрезмерно долго

-chroot каталог

Настройка proxy-серверов

Пакет содержит «сквозные» (pass-through) proxy-серверы для большинства стандартных сетевых служб TCP/IP. Каждая из этих программ настраивается с помощью соответствующих правил в файле netperm-table, так же как и программа netacl. Обратите внимание, что первая часть правила, имя, совпадает с именем сервера и не начинается с netacl.

---

Программа ftp-gw позволяет создавать «сквозной» proxy-сервер для сетевой службы FTP. Посредством настройки proxy-сервера (за счет создания правил в файлеnetperm-table) обеспечивается управление доступом (определяется, какие узлы смогут использовать службу), а также задаются параметры аудита и узлы, с которыми запрещено устанавливать соединение. Программа ftp-gw прежде всего меняет текущий каталог, чтобы не представлять потенциальной угрозы безопасности брандмауэра. Она не выполняет локальный ввод/вывод (за исключением чтения информации из файла конфигурации netperm-table).

Запуск ftp-gw и других proxy-серверов в качестве демона

Программа ftp-gw, как и другие proxy-серверы из пакета, может быть запущена в качестве демона, для чего необходимо внести соответствующую запись\ в файл /etc/тс. local. При таком старте ftp-gw этот сервер будет ожидать подключения к стандартному порту FTP - порту 21. Для замены данного порта\ на другой служит параметр командной строки -daemon порт.j к , , )

В табл. 14.2 представлены параметры настройки ftp-gw, подходящие для файла netperm-table.

Таблица 14.2. Ключевые слова, применяемые для настройки proxy-сервера ftp-gw

1 Ключевое слоноОпи ичт

authserver имя узла портИмя и порт

denial-msg имя файлаУказывает t

dendest-msg имя файла

groupid группа help-msg имя файла

hosts имена узлов directory каталог

Имя и порт сервера аутентификации

Указывает на файл с сообщением, которое увидит пользователь при отказе в доступе к proxy-серверу ftp-gw. Если не задать этот параметр, будет выведено сообщение по умолчанию Определяет файл с сообщением, которое увидит пользователь при попытке обратиться к удаленному серверу, доступ к которому запрещен правилами. Если не ввести этот пораметр, появится сообщение по умолчанию

Указывает на один или несколько узлов

Задает каталог, в который proxy-сервер перейдет перед тем, как

начать выполнение запроса пользователя

Определяет группу, к которой будет относиться proxy-сервер

welcame-msg имя файла

timeout секунд

userid пользователь

Указывает на файл с сообщением, которое увидит пользователь в ответ на команду справки. Если этот параметр не задан, будет выведен список команд proxy-сервера

Время, по истечении которого proxy-сервер разрывает соединение при отсутствии активности

Задает имя или идентификатор пользователя, под которым будет работать proxy-сервер

Указывает на файл с сообщением, которое увидит пользователь при вхаде на proxy-сервер. Если не ввести этот параметр, появится сообщение по умолчанию ,

---

Вы видите, что у proxy-сервера f tp-gw намного больше параметров, чем у netacl. Но процесс его настройки еще сложнее, поскольку атрибут hosts также имеет ряд параметров, представленных в табл. 14.3. При использовании этих параметров с атрибутом hosts не забывайте начинать каждый из них с символа -, как показано в таблице.

Число этих параметров на первый взгляд кажется очень большим. Но вам обычно будет нужна лишь часть из них. Для задания некоторых из параметров, приведенных в табл. 14.4, потребуются дополнительные усилия. В частности, чтобы получить список команд FTP, которые можно указывать в параметрах -log, -auth и -deny, вам придется обратиться к документации своей системы UNIX. Хотя список таких команд и довольно обширный, чаще всего используются команды ret г и stor - соответственно для загрузки файлов с сервера и выгрузки на сервер.

Таблица 14.3. Параметры атрибута hosts

-noinputЕсли задан этат параметр, proxy-сервер будет разрывать соединение

при попытке подключиться к этаму порту сервера

-nooutputЕсли указан данный параметр, ргаху-сервер разорвет соединение

при попытке передать данные с сервера по этому порту -loq команда или -log Параметр управляет аудитам для соответствующих узлов. {команда1 команда2 ...} Позволяет также определить команды, которые будут регистрироваться

-authallЭтот параметр запрещает выполнение любых команд FTP (кроме quit)

до аутентификации пользователя на сервере -auth команда или -auth Заданные в этом параметре команды будут запрещены { команда1 команда2 ...) до аутентификации пользователя на сервере

-dest сервер или -dest Определяет серверы FTP, к которым можно обращаться пользователю. ( cepsepl сервер2 ...} Параметр сервер мажет быть именем узла или домена, IP-адресом,

а также содержать подстановочные символы. Для запрета доступа

к серверу служит символ «!»

-deny команда или -deny Этот параметр определяет запрещенные команды. Когда ан { команда1 команда2 ...} не применяется, пользователю доступны все команды FTP

Рассмотрим теперь несколько примеров правил, создаваемых в файле netperm-table:

ftp-gw:welcome-msg/usr/local/etc/ftp-welcome.txt

ftp-gw:denial-msg/usr/local/etc/ftp-denial.txt

ftp-gw:help-msg/usr/local/etc/help-ftp.txt

ftp-gw:timeout 2400

ftp-gw:permit-hosts140.176.177.*

ftp-gw:permit-hosts* -authall -log {retr stor}

Эти примеры демонстрируют, как задаются файлы с текстом различных сообщений: приветствия, отказа в доступе и справки. Таймаут для соединения равен 2400 с, после чего при отсутствии активности соединение разрывается. Узлы сети

0 ... 76 77 78 79 80 81 82 ... 125