Э. Сивер, С. Спейнауэр, С. Фиггинс, Дж. П. Хекман - Linux cправочник - 3-е издание, страница 8

Двеболее новые команды очень похожи, но отличаются организацией используемых правил. Возможности создания брандмауэров, встроенные в ядра ветви 2.4, задумывались как расширяемые. Если какая-то возможность отсутствует в текущей реализации, ее можно добавить. В документе «Linuxnetfilter Hacking HOWTO» подробно описано, как это сделать.В большинстве дистрибутивов поддержка брандмауэров уже встроена в ядро, но если в вашем дистрибутиве это не так, вам придется пересобрать ядро,чтобы добавить поддержку брандмауэров. Для этого необходимо выполнитьmake config для ядра 2.2 и выбрать следующие параметры:• Network firewalls• TCP/IP networking• IP: firewallingДля того чтобы включить поддержку брандмауэром прозрачного проксисервера, следует выбрать следующий параметр:• IP: transparent proxy supportДля поддержки сокрытия адресов нужно выбрать также параметры:• IP: masquerading• IP: ICMP masqueradingДля ядер ветви 2.4 необходимо выбрать параметры:• Network packet filtering (замена ipchains)• IP tables support (требуется для filtering/masq/NAT)• Packet filteringСуществует несколько расширенных модулей целей и наборов правил, которые также могут пригодиться.

Поведение этих расширенных модулей описано вместе с командой iptables. При наличии работающего брандмауэра наядре ветви 2.2 или 2.0 можно добавить поддержку этих более старых команди использовать их с новым ядром вместо более современного стиля фильтрации пакетов, присущего iptables.Брандмауэр предоставляет набор встроенных правил, или цепей (chains), насоответствие которым проверяется каждый сетевой пакет.

В ядрах ветви 2.4эти цепи, помимо прочего, сводятся в таблицы, в которых функциифильтрации отделены от функций сокрытия адресов и искажения пакетов.В любом ядре, если пакет соответствует правилу, увеличивается соответствующий счетчик и выполняется действие, связанное с правилом. Пакет может быть принят, отвергнут, подвергнут сокрытию адреса или даже переданв другую цепь для обработки.

Более подробные принципы работы цепей в iptables и ipchains можно найти в описании этих команд.Обзор NFS43В дополнение к существующим цепям можно определить и свои собственные. Можно создать специальную цепь для РРР-интерфейсов или для пакетов из определенного узла. Для активации пользовательской цепи необходимо сделать ее действием, привязанным к правилу.Это можно сделать посредством цепи без применения каких-либо правил,связанных с действиями.

Если пакет не подпадает ни под одно из правил цепи, определенной пользователем, управление возвращается цепи, из которой произошел вызов, и проверяется следующее правило в этой цепи. Еслини одно из правил встроенной цепи не применяется к пакету, используетсяповедение по умолчанию для этой цепи. Поведение по умолчанию можетзаключаться в специальных действиях, совершаемых над пакетом. Допустимые действия для каждой команды подробно описаны в разделе команд.В ядрах ветви 2.2 для определения правил используется ipchains. Когда правила определены, можно использовать команду ipchains-save для созданияфайла, содержащего определения правил, и ipchains-restore — для восстановления определений после перезагрузки системы.

Эквивалентная команда для ядер ветви 2.4 — iptables. Во время написания этой книги команды iptables-save и iptables-restore еще находились в стадии разработки, нодолжны работать подобно их ipchains-аналогам.Более подробно о принятии решений и соображениях, влияющих на составление правил, можно прочесть в литературе по брандмауэрам, например вкниге издательства O'Reilly «Создание защиты в Интернете»1 («Building Internet Firewalls»), написанной Элизабет Цвики (Elizabeth D. Zwicky), Саймоном Купером (Simon Cooper) и Брентом Чепменом (D. Brent Chapman).

Подробности о командах ipchains и iptables можно найти во втором издании«Руководства сетевого администратора Linux» («Linux Network Administrator's Guide») Олафа Кирха (Olaf Kirch) и Терри Доусона (Terry Dawson) или водном из тематических документов HOW-TO, например в «Linux IPCHAINSHOW-TO» или «Linux IPTABLES HOW-TO».Обзор NFSСетевая файловая система (Network File System, NFS) - это распределеннаяфайловая система, предоставляющая пользователям возможность монтировать удаленные файловые системы так, как если бы они были локальными.NFS работает по модели клиент-сервер: сервер экспортирует разделяемыекаталоги, а клиенты монтируют их, чтобы получить доступ к файлам в каталогах. NFS делает ненужным хранение копий одних и тех же файлов на разных машинах, позволяя всем клиентам разделять единственную копиюфайла на сервере.

NFS является протоколом прикладного уровня на основеRPC. Более подробную информацию об архитектуре сетевых протоколовсмотрите ранее в этой главе в разделе «Обзор TCP/IP».1«Создание защиты в Интернете», издательство «Символ-Плюс», IV кв. 2001 г.44Глава 2. Обзор системного и сетевого администрированияАдминистрирование NFSУстановка клиентов и серверов NFS включает запуск демонов NFS, экспортирующих файловые системы на серверах NFS и монтирующих эти системыдля клиентов. Файлом настроек NFS является /etc/exports; он контролирует, какие файлы и каталоги экспортируются и какие виды доступа к нимразрешены. Имена и адреса клиентов, пользующихся службой NFS, содержатся в файле /etc/hosts.ДемоныДемоны сервера NFS, называемые nfsd-демоны, работают на сервере и принимают RPC-запросы от клиентов. Серверы NFS также используют демонmountd для обслуживания запросов на монтирование.

На стороне клиентакэширование и буферизация реализованы посредством biod - демона блочного ввода/вывода. Демон portmap ставит в соответствие номера RFC-программ и номера ТСР/1Р-портов.Экспортирование файловых системПрежде чем устанавливать NFS-сервер, проверьте наличие доступа к вашему узлу у узлов-клиентов. Затем отредактируйте файл /etc/exports, включив в него точку монтирования экспортируемой файловой системы. При использовании mountd файлы будут экспортироваться в соответствии с правами доступа, описанными в /etc/exports.Монтирование файловых системПосле запуска NFS клиент может монтировать удаленную файловую систему либо используя команду mount, либо определив удаленные файловыесистемы, монтируемые по умолчанию, в файле /etc/fstab. На запрос mountреагирует демон сервера mountd, проверяя права доступа клиента и возвращая указатель на файловую систему.

Будучи смонтированным, каталог остается таковым до тех пор, пока его не размонтируют с помощью umount либо локальная система не будет перезагружена.Как правило, только привилегированный пользователь может монтироватьфайловые системы с помощью NFS. Однако можно разрешить и другимпользователям монтировать и размонтировать отдельные файловые системыпри помощи команд mount и umount, установив для этих систем параметрuser в файле /etc/fstab.

Это может снизить объем передаваемой информацииза счет того, что файловые системы монтируются только при необходимости. Чтобы обеспечить возможность монтирования файловых систем пользователем, создайте для каждой из них соответствующую запись в /etc/fstab.Обзор NIS45Обзор NISNetwork Information System (NIS) - это служба, известная ранее как Желтые страницы Sun (Sun Yellow Pages, YP) и используемая для синхронизации настроек большого количества машин в сети.

Для этого один узел назначается хозяином, владеющим всеми системными файлами и базами данныхи распространяющим эту информацию всем узлам сети. Информация хранится в специальных базах данных, называемых картами (maps). NIS работает на основе протокола RPC. В настоящее время существует два бесплатных NIS-сервера для Linux - yps и ypserv.СерверыВ NIS существует два типа серверов - хозяин (master) и подчиненный (slave).Сервер-хозяин отвечает за работу с картами и распределение их по подчиненным серверам.

После распределения файлы становятся локально-доступными по соответствующим запросам.ДоменыДомен NIS - это группа узлов, которые пользуются одним и тем же наборомкарт. Карты хранятся в подкаталоге /var/yp, имеющем такое же имя, что идомен. Машины одного домена разделяют пароль, информацию об узлах игрупповые права владения файлами. Доменные имена NIS устанавливаютсяс помощью команды domainname.Карты NISВ NIS информация хранится в базах данных, называемых картами. Каждаякарта состоит из пары dbm-файлов базы данных, первый из которых содержит иерархию ключей (бит-карту индексов), а второй - конкретные значения полей данных.

Нетекстовая (не-ASCII) структура dbm-файлов делает необходимым использование специальных инструментов NIS, например урpush для переноса карт между машинами.Файл /var/yp/YP_MAP_X_LATE содержит полный список активных картNIS, а также псевдонимов для NIS-карт. Здесь должны быть перечисленывсе карты, которые обслуживаются NIS.Инструменты для работы с картамиДля работы с картами NIS используются следующие инструменты:makedbmСоздание dbm-файлов. Изменениям подвергаются только карта ypserversи любые дополнительные (не по умолчанию) карты.46Глава 2. Обзор системного и сетевого администрированияypinitСборка и установка баз данных NIS. Управление картами при инициализации NIS.

Не рекомендуется использование при уже работающей системе NIS.yppushРаспределение обновленных карт с сервера-хозяина.Администрирование NISДля использования NIS необходимо установить NIS-клиенты и NIS-серверы. Описание, приводимое ниже, относится к установке NIS с использованием сервера ypserv, который не поддерживает конфигурацию хозяин/подчиненный. Все команды NIS находятся в прямой зависимости от RPC-программы portmap, которая должна быть установлена и запущена при установке инастройке NIS.Установка NIS-сервераУстановка NIS-сервера сводится к следующим шагам:1.

Установка доменного имени для NIS с помощью команды domainname.2. Редактирование файла ypMakeflle, определяющего, какие базы данныхсобирать и какие источники при этом использовать.3. Копирование файла ypMakefile в /var/yp/Make file.4. Выполнение make в каталоге /var/yp, т. е. сборка баз данных и инициализация сервера.5. Запуск ypserv - демона сервера NIS.Установка NIS-клиентаУстановка клиента NIS сводится к установке доменного имени NIS с помощью domainname (имя должно совпадать с доменным именем для NISсервера) с последующим запуском ypbind.Учетные записи пользователей NISВ сетях NIS существует два вида учетных записей пользователей: распределяемые и локальные. Распределяемые учетные записи должны обслуживаться на узле-хозяине; они содержат информацию, одинаковую для всехузлов домена NIS.