Безопасность и оптимизация Linux.Редакция для Red Hat



         

Создание ядра с поддержкой маскарада и форвардинга. - часть 2


[root@deep /]# /etc/rc.d/init.d/network restart Bringing up interface lo [ OK ] Bringing up interface eth0 [ OK ] Bringing up interface eth1 [ OK ]

Лично я предпочитаю второй способ включения форвардинга.

Под Red Hat 6.2:

Редактируйте файл “/etc/sysctl.conf” и добавьте следующую строку:

# Enable packet forwarding

net.ipv4.ip_forward = 1

Вы должны перезагрузить ваши сетевые установки, чтобы изменения вступили в силу.

[root@deep /]# /etc/rc.d/init.d/network restart Setting network parameters [ OK ] Bringing up interface lo [ OK ] Bringing up interface eth0 [ OK ] Bringing up interface eth1 [ OK ]

ЗАМЕЧАНИЕ. Строка IP forwarding, введенная выше, нужна только если вы ответили “Yes” на вопрос “IP:Masquerading (CONFIG_IP_MASQUERADE)” при конфигурировании ядра и решили сделать из сервера шлюз с маскарадингом для вашей внутренней сети.

Если вы включили IP Masquerading, тогда будут автоматически скомпилированы модули ip_masq_ftp.o (для обмена файлов по протоколу ftp), ip_masq_irc.o (для irc чатов), ip_masq_quake.o (догадайтесь сами для чего он), ip_masq_vdolive.o (для VDOLive видео), ip_masq_cuseeme.o (для CU-SeeMe broadcasts) и ip_masq_raudio.o (для RealAudio). Они нужны, чтобы работал маскарадинг для этих протоколов. Вам нужно будет создать модульное ядро, ответив Yes на вопрос “Enable loadable module support (CONFIG_MODULES)”, вместо монолитного, чтобы разрешить использование функции маскарадинга и модулей подобных ip_masq_ftp.o.

Основной код маскарадинга, включаемый опцией "IP: masquerading", обрабатывает только TCP или UDP пакеты (и ICMP ошибки для существующих соединений). Опция IP:ICMP Masquerading включает дополнительную поддержку для маскарадинга ICMP пакетов, таких как ping или исследований проводимых программой tracer из Windows 95.

ЗАМЕЧАНИЕ. Помните, что у других серверов, например, Веб или почтового, эти опции включать не надо, так как они имеют постоянно присвоенный им IP адрес или не выступают в роли Шлюза для внутренней сети.

Некоторые моменты для обсуждения.

Вы можете спокойно предполагать, что находитесь в постоянной опасности, если подключены к Интернет. Ваш шлюз в Интернет – основной источник тревоги, так что я рекомендую следующее:

  • На шлюзе должны быть запущены только самые необходимые приложения;
  • Шлюз должен строго ограничивать типы и число протоколов проходящих через него (протоколы потенциально опасные, например, telnet и ftp);
  • К любым системам, хранящим конфиденциальную информацию, не должно быть прямого доступа из Интернет.



  • Содержание  Назад  Вперед