Раздел: Документация

0 ... 77 78 79 80 81 82 83 ... 125

НАСТРОЙКА PROXY-СЕРВЕРОВ 241

140.176.177.0 могут свободно обращаться к proxy-серверу, все же другие (*) перед осуществлением любых операций должны пройти аутентификацию, и выполнение ими команд загрузки/выгрузки файлов (get/put) будет регистрироваться.

После подключения пользователя к proxy-серверу вслед за созданным вами приветствием выводится приглашение f tp>. Как видно из рис. 14.3, пользователь должен затем задать сервер, с которым он хочет установить связь, командой user username@hostname, где username - это имя пользователя сервера, a hostname -компьютера, с которым proxy-сервер должен установить соединение.

Клиент FTP подключается к proxy-серверу. Программа ftp-gw проверяет правила, заданные в файле netperm-table. Разрешен ли доступ для этого пользователя/узла?

-Нет-

Отказ в доступе к службе

Да

Пользователь задает имя пользователя и удаленный сервер в виде username@hostname

Нет

ftp-gw подключается к удаленному серверу под заданным именем. Нужен ли пароль?

г-Да-

ftp-gw запрашивает у пользователя пароль и передает его удаленному серверу. Была ли авторизация

успешной?

т

Нет

Да

ftp-gw начинает обмен данными и командами между клиентом и сервером. Между клиентом и сервером нет прямой связи

Рис. 14.3. Программа ftp-gw осуществляет обмен данным между клиентом и сервером FTP

Например, если удаленный пользователь намерен загрузить файлы по протоколу FTP (посредством команды get) с сервера karma или выгрузить (посредством команды put) файлы на него, применяя для этого имя пользователя smith j, он должен вначале подключиться с помощью клиента FTP к proxy-серверу на межсетевом экране, а затем задать удаленный сервер, к которому ему надо подключиться:

рореуе> ftp firewall.ono.com Connected to firewall.ono.com

---

[Приветствие]

ftp> user smithj@karma

После этого proxy-сервер войдет на сервер karma под именем пользователя smithj, а потом предложит пользователю ввести пароль пользователя smithj на удаленном сервере.

Не забывайте, что это proxy-сервер. Следовательно, удаленный пользователь никогда не сможет напрямую переслать IP-пакет со своего компьютера на компьютер, заданный в команде user. Proxy-сервер получает запросы (и все IP-пакеты) от удаленного компьютера, а затем взаимодействует с сервером FTP на прикладном уровне от имени удаленного пользователя.

Такой двухступенчатый процесс может показаться несколько неудобным, но лишний шаг ничего не значит по сравнению с дополнительной защитой сети, которую способен обеспечить proxy-сервер.

Серверы tn-gw и rlogin-gw

Proxy-сервер tn-gw работает аналогично ftp-gw и настраивается тоже путем задания правил в файле netperm-table. Фактически для настройки tn-gw и ftp-gw служат одни и те же ключевые слова (они представлены в табл. 14.2), за исключением двух дополнительных (см. табл. 14.4).

Таблица 14.4. Ключевые слова для настройки proxy-сервера tn-gw

Ключевое слово

Prompt приглашение

Xforwarder программа

Описание

Задает строку приглашения, которое выдается при работе пользователя в командном режиме сервера Telnet. Текст приглашения, содержощий пробелы, обычна следует заключать в кавычки

Задает положение исполняемого файла программы, которой proxy-сервер Telnet будет передавать запросы proxy-серверу X

Число возможных параметров ключевого слова hosts намного меньше, чем в случае proxy-сервера ftp-gw. Очевидно, что некоторые из ключевых слов последнего, такие как - log команда, специфичны для FTP. В Telnet нет набора команд, которые можно выполнить. Он просто создает сеанс работы с удаленным компьютером.

Параметр -dest работает так же, как и с proxy-сервером ftp-gw. С его помощью указывается один или несколько серверов, доступ к которым разрешен. Не забывайте о существовании подстановочных символов, а также символа отрицания !, означающего, что доступ к данному серверу запрещен.

Кроме того, с ключевым словом hosts применяются два дополнительных параметра:

О -auth - указывает, что пользователь обязан выполнить аутентификацию

перед началом работы с proxy-сервером; О -passok - определяет, что пользователь может поменять пароль (при входе

с компьютера, к которому применимо данное правило). Присоединившись к proxy-серверу Telnet, пользователь способен с помощью команды connect подключиться к серверу. И снова не забудьте, что IP-трафик не

---

передается между удаленным пользователем и сервером напрямую. Proxy-сервер получает данные от удаленного пользователя, а затем обращается от его имени к демону Telnet на сервере.

В табл. 14.5 приведены команды, которые пользователь в состоянии выполнять после подключения к proxy-серверу tn-gw.

Как и Telnet, команда rlogin позволяет входить в удаленную систему и выполнять в ней команды. Но в отличие от Telnet команда rlogin не требует идентификации пользователя в удаленной системе. Доступ управляется с помощью файлов hosts.equiv и .rhosts. В зависимости от содержимого этих файлов доступ предоставляется на основе имени (или IP-адреса) компьютера, с которого осуществляется запрос, либо имени пользователя.

Таблица 14.5. Команды proxy-сервера tn-gw

Команда

conned сервер [порт\Подключение к заданному серверу (и номеру порта, если он задан).

В качестве параметра сервер указывается либо имя, либо IP-адрес компьютера

exit или quitОтключение ат proxy-сервера Telnet

help или ?Вывод справки

passwordПозволяет пользователю менять пароль аутентификации с компьютеров,

определенных в файле netperm-table

timeout секундИзменяет значение таймаута для текущего сеанса, которое

по умолчанию равно указанному в файле netperm-table x-gw [сервер:дисплей]Вызывает proxy-сервер XI 1 для подключения пользователя

[.номер экрана]к заданному серверу и дисплею

Более подробную информацию о различных r-службах, работающих с файлами hosts, equiv и .rhosts, и о том, почему их применение потенциально опасно, вы найдете в разделе «Утилиты удаленного доступа» главы 2.

Proxy-сервер rlogin-gw настраивается почти так же, как и proxy-сервер tn-gw, и применяет те же самые ключевые слова и параметры. Набор команд, доступных в обоих случаях конечному пользователю при подключении к proxy-серверу, тоже аналогичен. Основное отличие между этими двумя серверами состоит в том, что для rlogin-gw необходимо отредактировать файлы hosts. equiv и . rhosts в системах, к которым осуществляется доступ, чтобы они «доверяли» узлу, где работает proxy-сервер, а не компьютеру, откуда заходит удаленный пользователь. Так же, как и для proxy-сервера Telnet tn-gw, с помощью правил, заданных в файле netperm-table, определяются узлы, имеющие разрешение пользоваться proxy-сервером. Можно также потребовать, чтобы пользователи выполняли аутентификацию на proxy-сервере, прежде чем начать сеанс работы с удаленным компьютером.

Первоначальным предназначением служб удаленного доступа (r-services) было избавление от необходимости пересылать незашифрованные пароли по сети. Их защита основана на возможности одних компьютеров «доверять» другим. Тем не

0 ... 77 78 79 80 81 82 83 ... 125