Раздел: Документация

0 ... 86 87 88 89 90 91 92 ... 125

26В ЧТОЧЬШЕЙСШУ? *

Настройка Internet Explorer

1.Выберите в меню Tools (Сервис) пункт Internet Options (Настройки Internet).

2.В появившемся диалоговом окне Internet Options щелкните мышью по вкладке Connections (Соединения), а затем по кнопке LAN Settings (Настройки сети).

3.Щелкните по кнопке Advanced (Дополнительно) в открывшемся диалоговом окне Local Area Network (LAN) Settings (Настройки локальной сети). Будет выведено диалоговое окно Proxy Settings (Настройки proxy), позволяющее задать proxy-серверы.

4.Для каждого из протоколов, при работе с которым клиент будет использовать сервер SQUID, введите IP-адрес или полное имя этого сервера в поле Proxy Address to Use (Адрес proxy-сервера). В поле Port (Порт) укажите номер порта сервера SQUID (по умолчанию 3128).

5.Последовательно закройте все диалоговые окна щелчком по кнопке ОК.

Настройка Netscape Navigator

1.Выберите в меню Edit (Правка) пункт Network Preferences (Свойства сети).

2.Откройте в дереве Category (Категория) ветви Advanced (Дополнительно), а затем Proxies.

3.Установите переключатель в положение Manual Proxy Configuration (Ручная настройка proxy) и щелкните по кнопке View (Просмотр).

4.Для каждого из протоколов, при работе с которым клиент будет использовать сервер SQUID, укажите IP-адрес или полное имя сервера SQUID в поле Proxy Address to Use (Адрес proxy-сервера). В поле Port введите номер порта сервера SQUID (по умолчанию 3128).

5.Последовательно закройте все диалоговые окна щелчком по кнопке ОК.

Чтобы узнать, как настраиваются другие программы, откройте файл справки нужной программы и выполните поиск по слову «ргоху». Если данная клиентская программа не способна работать с proxy-сервером, возможно, пора менять ее, на новую!

Резюме

SQUID - это бесплатный кэширующий proxy-сервер, функционирующий на платформе UNIX (и Linux). SQUID применяется либо в качестве отдельного сервера, либо в составе иерархии других серверов SQUID. Допустимо даже использовать его с другими кэш-серверами, если они поддерживают протокол ICP. В следующей главе мы рассмотрим две бесплатные программы Linux, которые могут пригодиться при создании межсетевого экрана: ipfwadm и ipchains.

---

Применение ipfwadm и ipchains в Linux

Что такое ipfwadm и ipchains?

Возможность фильтрации пакетов встроена в ядро операционной системы Linux. Для управления брандмауэром и создания правил предназначены программы ipfwadm и ipchains. С их помощью вы сумеете формировать наборы правил, на основе которых будет выполняться фильтрация IP-пакетов, приходящих на компьютер, отправляемых с него или пересылаемых из одного сетевого адаптера в другой (во время маршрутизации). Каждое правило содержит определенные критерии отбора, например IP-адрес или тип протокола, и действия, предпринимаемые в случае, если правило применимо к пакету. Так, возможны такие правила, в соответствии с которыми пакеты, пришедшие с одних IP-адресов, будут приниматься, а с других - отбрасываться. Таким образом, располагая двухканальным укрепленным компьютером с системой Linux, вы сможете составить пакетный фильтр, и при этом вам не придется нести расходы по приобретению специального ПО или нового маршрутизатора *.

Подробное описание принципов фильтрации пакетов вы найдете в главе 5 «Фильтрация пакетов».

В январе 2001 года вышла новая версия ядра Linux - 2.4.0, в которой появились дополнительные возможности, которые могут пригодиться при создании брандмауэров, в том числе фильтры с памятью (stateless filter) и улучшенная поддержка трансляции сетевых адресов и прозрачных proxy-серверов. Подробнее об этом вы можете узнать на различных сайтах, посвященных этой операционной системе, например на www.linux.org (основном сайте Linux) или www.Iinuxnews.ru (сайте с новостями о Linux на русском языке). - Прим. науч. ред.

---

Следует иметь в виду, что для работы с программами ipfwadm и ipchains требуются навыки администрирования Linux и понимание работы механизмов TCP/ IP. Скомпилировать и установить эти программы достаточно просто, но вы должны хорошо разбираться в сложном синтаксисе их работы и тщательно протестировать полученный программный фильтр.

В настоящей главе будет рассмотрен синтаксис каждой из этих утилит и предложено несколько советов. Если вы собираетесь использовать ipfwadm и ipchains, вам имеет смысл посетить посвященные им различные Web-сайты и прочитать советы и примеры, которые вы найдете на них. Не забывайте о том, что Linux и связанные с этой системой программы разрабатываются в открытой среде и их поддержка в основном осуществляется с помощью групп новостей и списков рассылки. Если вы работаете с коммерческим дистрибутивом Linux, например от компаний Red Hat или Caldera, узнайте у поставщика, обеспечивается ли поддержка программ ipfwadm и ipchains, прежде чем сделать их важной частью безопасности вашего межсетевого экрана. Web-сайт Red Hat находится по адресу www.redhat.com. а адрес сайта Caldera - www.caldera.com.

f-—-—-—--•-—-—— —

Одного фильтра пакетов недостаточно для создания законченного межсетевого экрана. Но в комбинации с другими программами, например пакетом TIS Firewall Toolkit, Linux, благодаря возможностям пакетной фильтрации ядра, позволяет построить очень неплохой межсетевой экран (подробнее о FWTK см. в главе 14 «Применение TIS Firewall Toolkit»).

Установка и настройка ipfwadm

Прежде всего рассмотрим утилиту ipfwadm. Она основана на коде программы ipfw, входившей в BSD UNIX.

Установка ipfwadm сводится просто к получению ее исходного текста и запуску команды make. Для большинства опытных администраторов Linux такая задача будет очень простой. Если же вы недавно работаете с этой системой, то у вас, возможно, возникнут затруднения. Программа ipfwadm не содержит графического интерфейса, поэтому нужно изучить и понять синтаксис команд, которые служат для ее настройки и создания правил.

Получение ipfwadm

Исходный код ipfwadm, а также исполняемые файлы в некоторых системах можно загрузить с Web-сайта X/OS Experts in Open Systems, расположенного по адресу http://www.xos.nl/linux/ipfwad m.

Для работы с ipfwadm необходимо использовать ядро Linux версии 1.2.1 или более поздних версий. Последняя версия ipfwadm имеет номер 2.3.0 и способна

0 ... 86 87 88 89 90 91 92 ... 125