Раздел: Документация

0 ... 79 80 81 82 83 84 85 ... 125

(последняя запись в строке) - номер порта NNTP. Это значение и название самой программы plug-gw передаются ей в качестве аргументов. Как было показано в табл. 13.1, первое поле этой записи - имя программы, которую демон inetd должен запустить в ответ на запрос. Напомним, что inetd известен лишь номер порта, принявшего запрос, а не имя службы. Для получения имени службы по номеру порта служит файл /etc/services.

Если же вы решите запускать plug-gw в виде демона, то можете воспользоваться для этого двумя аргументами командной строки данной программы:

-daemon порт [или имя службы]

Первый аргумент позволяет задать порт службы, для которой plug-gw будет выступать в качестве proxy-сервера, а второй аргумент содержит информацию

0версии, помещенной в стандартный вывод.

Так же, как и в других proxy-серверах из пакета, для настройки plug-gw применяется файл netperm-table. В табл. 14.8 перечислены необходимые при этом ключевые слова.

Кроме этих ключевых слов, существует еще несколько параметров, предназначенных для описания устанавливаемого plug-gw соединения:

О -plug-to узел. Обозначает узел во внутренней локальной сети, которому plug-gw переадресует поступающие запросы. Обязательный параметр;

О -privport. Указывает, что на сервере используется зарезервированный номер порта. Обычно служит для целей обеспечения безопасности;

О -port номер порта. Задает номер порта внутреннего сервера. Если опустить этот параметр, то по умолчанию будет задействован номер порта, определенный в запросе. Этот параметр удобен при запуске нескольких копий plug-gw для одной и той же службы. Например, когда пользователи вашей сети обращаются к нескольким внешним серверам новостей, имеет смысл настроить plug-gw так, чтобы эти серверы были разнесены по различным портам. Если работает один и тот же порт, plug-gw попытается связать каждый из внутренних компьютеров с одним и тем же внешним сервером.

Таблица 14.8. Ключевые слова для настройки plug-gw

1„КлючеРие слово * Описание ь-

groupid группаГруппа, в которой работает proxy-сервер

-version

timeout секунды

port порт узлы

userid пользователь

Номер парта службы и список узлов, которые могут ее использовать Время простоя proxy-сервера, после которого соединение разрывается Пользователь, пад именем которого работает ргаху-сервер

Рассмотрим пример записи в файле netperm-table для plug-gw:

plug-gw: port 119

140.176.115.*

-plug-to 198.22.43.122

---

В результате все компьютеры сети 140.176.115.0 смогут подключаться к внешнему серверу новостей с IP-адресом 198.22.43.122. Обратите внимание, что после идентификатора plug-gw в начале строки идет номер порта (119), обозначающий службу. Помните, что в отличие от других proxy-серверов пакета FWTK, plug-gw не привязан к определенной службе или протоколу, поэтому ему нужно указать, запросы к какой службе он должен перехватывать. Поскольку после адреса узла в конце строки не был записан номер порта, для внешнего соединения также будет использоваться порт по умолчанию (119).

Рассмотрим следующий пример:

plug-gw: port 2119 140.176.115.* -plug-to 198.22.43.122 -port 119 plug-gw: port 2120 140.176.115.* -plug-to 198.22.43.123 -port 119

В данном случае задан параметр -port. Почему? Потому что по умолчанию для подключения к внешним серверам послужили бы порты 2119 и 2120, ни один из которых не является стандартным портом сервера новостей. Этот пример демонстрирует настройку proxy-сервера для использования двух различных внешних серверов новостей. В этом случае клиентам следует подключаться либо к порту 2119, либо к порту 2120 в зависимости от того, к какому внешнему серверу они собираются обратиться. Заметьте также, что при настройке клиентов необходимо задавать IP-адрес proxy-сервера, а не внешнего сервера новостей, поскольку клиентские компьютеры должны присоединиться к proxy-серверу, который уже переадресует их запросы внешнему серверу.

При запуске таким способом нескольких копий plug-gw для обслуживания запросов на нескольких портах надо внести в файл /etc/services соответствующие записи для новых портов. В только что рассмотренном нами примере в этот файл включаются следующие строки:

nntp-a 2119/tcp readnews untp ((Internet news server NNTP nntp-b 2120/tcp readnews untp #Internet news server NNTP

Требуется также вписать две строки в файл inetd.conf, чтобы демон inetd знал о том, что запросы обслуживает proxy-сервер plug-gw:

nntp-a stream tcp nowait root /usr/local/etc/plug-gw plug-gw 2119 nntp-b stream tcp nowait root /usr/local/etc/plug-gw plug-gw 2120

И наконец, помните о том, что хотя plug-gw и может оказаться полезным при создании proxy-серверов для множества различных типов служб, его не стоит применять без разбора. Постоянно разрабатываются новые службы и протоколы Internet. Не забывайте, что брандмауэр должен создаваться на основе политики безопасности вашей компании. Нет смысла просто включать поддержку новых служб в межсетевом экране по каждой просьбе пользователей, считая что proxy-сервер сумеет обезопасить вас от всех неприятностей. Необходимо вначале понять механизм работы данный службы или протокола, а затем принять решение, учитывая их важность для пользователей. Оцените риски! Сравните их с получаемыми преимуществами!

---

Другие компоненты FWTK

Кроме описанных в этой главе proxy-серверов, данный пакет также содержит серверы аутентификации, программу, заменяющую стандартный демон UNIX syslogcl, и несколько утилит, с помощью которых удобно тестировать безопасность системы.

Например, служба authd может быть настроена так, чтобы она работала совместно с proxy-серверами f tp-gw и tn-gw и обеспечивала дополнительную степень защиты, заставляя пользователей выполнять аутентификацию на брандмауэре перед работой с proxy-серверами. Возможна и такая настройка службы authd, при которой она сумеет работать с несколькими различными типами широко распространенных серверов аутентификации.

Программа syslogd, входящая в состав пакета, не является расширенной версией обычного демона. Она позволяет задавать в файле конфигурации шаблоны поиска и запускать указанные программы при наступлении определенного события. В результате удается фактически осуществлять непрерывное сканирование событий, посылаемых демону syslogd. Например, вместо того, чтобы сидеть за терминалом и следить за поступающими сообщениями, достаточно настроить syslogd так, чтобы он завершал работу системы при возникновении серьезной бреши в защите.

Установка FWTK

на укрепленном компьютере

Данный пакет, распространяемый в виде исходного текста, написан на языке программирования С. Это означает, что после загрузки его необходимо прежде всего скомпилировать. Загрузив пакет, вы найдете в нем несколько файлов с информацией о последних обновлениях, которые следует прочитать перед началом компиляции. Кроме того, можете посмотреть рекомендации и примеры по компиляции пакета в своей версии UNIX на сайте www.fwtk.org. Имеется также возможность подписаться на список рассылки majordomo@ex.tis.com, посвященный FWTK. Для этого нужно просто послать на адрес majordomo@ex.tis.com сообщение электронной почты, тело которого состоит из одной строки «subscribe fvvtk-users».

Помните также о том, что защищенность созданного вами межсетевого экрана определяется лишь защищенностью компьютера, на котором он будет работать (такой компьютер обычно называется укрепленным).

В главе 6 довольно подробно обсуждается создание системы, подходящей для подобных целей. Там описаны различные аспекты этой проблемы - от ограничения числа работающих в системе служб и удаления ненужных учетных записей пользователей до выключения маршрутизации IP и перекомпиляции ядра.

0 ... 79 80 81 82 83 84 85 ... 125