Linux – vartai į Internetą
Paskutiniu metu aš pradedu tvirtai laikytis nuomonės, kad jei firmos darbas tiesiogiai nesusijęs su Internetu – firmos kompiuteriams tiesioginis išėjimas į Internetą, suteikiant kompiuteriams tikrus IP adresus, nebūtinas. Problemos nusveria privalumus.
Visų problemų šaltinis – vartotojai Internete gali tiesiogiai pasiekti jūsų darbuotojų kompiuterius.
O Linux serverio pagrindu galima surinkti labai neblogus vartus į Internetą. Privalumai akivaizdūs:
Visas administravimo darbas sutelktas vienoje vietoje. Dėl ko pakanka rimtai rūpintis tik vieno kompiuterio saugumu.
Visokie “hakeriai” iš Interneto negali tiesiogiai prieiti prie vartotojų kompiuterių.
Mažiau erdvės paliekama vartotojų saviveiklai Internete, galinčiai privesti prie informacijos nutekėjimo.
Praeitų punktų pasekmė – gerai sukonfigūravus vartus, galima beveik nebesirūpinti vartotojų kompiuterių saugumu.
Nebūtina turėti savo kompiuterių specialisto šiam reikalui. Vartus saugiai per Internetą, naudodamas SSH (www.cs.hut.fi/ssh/) gali administruoti nutolęs vartotojas.
Trūkumas būtų toks, kad ne kiekviena programa moka dirbti per tarpininką. Tačiau darbinių programų rinkinį galima susirasti. WWW naršyklės visos moka dirbti per tarpininkus, paštui ir naujienų grupėms tinka bet kokios programos, FTP, IRC, daugeliui kitų servisų irgi galima rasti programų mokančių dirbti per tarpininką.
Vidaus vartotojai išorinį tinklą pro vartus gali pasiekti dviem pagrindiniais metodais: per tarpininką (proxy) arba net nesuprasdami, kad jie iš vidinio tinklo pereina į Internetą (NAT – Network Address Translation). Galimas ir kombinuotas sprendimas.
Technologijos su tarpininku skiriasi nuo NAT sprendimų tuo, kad dirbdamos per tarpininką, vartotojų programos žino, kad jos į Internet patenka netiesiogiai.
Tarpininkai (proxy)
Jeigu vartotojų programos palaiko – geriau dirbti per tarpininką. Tuomet nereikia “apgaudinėti” programų, tarpininkas paprastai dar gali sekti programų veiksmus bei kešuoti praeinančią informaciją. Nes jeigu vienas vartotojas pavyzdžiui jau vartė Linux svetainę, tai tą patį norint padaryti kitam vartotojui, tarpininkas jau gali nebesikreipti į Internetą, o puslapius atiduoti tiesiai iš savo kieto disko.
WWW tarpininkas
Populiariausias WWW tarpininkas – squid (squid.nlanr.net). Po Linux tai populiariausias WWW proxy serveris. Populiarumą užsitarnavo dėl didelio greičio, efektyvumo bei pakankamo stabilumo. Taip pat dėl to, kad squid – kešuojantis tarpininkas.
Siųskitės geriau NOVM variantą. Šis variantas naudoja mažiau atminties, bet atidaro daugiau failų. Tačiau prie mūsų apkrovimų ir linijos į Internetą pločių failinė sistema tikrai atlaikys kiek didesnį krūvį. O atminties ir NOVM variantas naudoja pakankamai.
Iš patirties ko gero siūlyčiau kešui išskirti 300-800 megabaitų. Daugiau, esant ribotam vidinių vartotojų skaičiui, nebeduoda didesnio efekto. Atminties į kompiuterį reikėtų papildomai pridėti kokius 8-12 megabaitų, priklausomai nuo kešo dydžio ir naudojimo intensyvumo.
Naujienų tarpininkas
Kaip naujienų (news) serverį galima naudoti NNTPCache (www.nntpcache.org). Naujienų skaitymo programos jį mato kaip normalų naujienų serverį. Tačiau nuo tikro naujienų serverio jis skiriasi žymiai mažesniais reikalavimais kompiuterio atminčiai, kanalo į Internetą pločiui ir paprasta konfigūracija. Beje NNTPCache galima naudoti ir vietoj tikro naujienų serverio.
Konfigūracinio failo servers pavyzdžiu 1.x versijoms galėtų būti toks:
#—————————————————————————–
# /* timeouts */
# host:port Interface Active Act.tim Newsgrp Group Xover Arts
news.omnitel.net. DEFAULT 4h 2d 2d 30m 60d 60d
news.osf.lt. DEFAULT 4h 2d 2d 30m 60d 60d
%BeginGroups
# Group pattern Host
* news.omnitel.net.
lt.osf.* news.osf.lt.
#—————————————————————————–
Kartą per dieną, naktį reikėtų paleisti tokią komandą:
kill -USR2 `cat /usr/local/nntpcache/var/nntpcache.pid.DEFAULT:119`
Kelią prie failo pataisykite pagal savo reikmes. Ši komanda duoda nurodymą NNTP tarpininkui ištrinti senus duomenis.
SOCKS5 tarpininkas
SOCKS5 – tarpininko darbo protokolas. Pasižymi tuo, kad per SOCKS5 tarpininką gali bendrauti praktiškai visos Interneto programos: WWW, FTP, Telnet, IRC (taip, mIRC gali dirbti per SOCKS5 tarpininką!).
Namų puslapis: www.socks.nec.com. Paprasčiausias konfigūracinis failas, jei jūsų vidinio tinklo adresai yra iš 192.168 potinklio:
permit – – 192.168. – – –
Programose SOCKS5 portą nurodykite 1080, jeigu jo nepakeitėte serverio konfigūracijoje. Jeigu programa nepalaiko darbo per SOCKS5, tai Windows aplinkoje galite pabandyti Hummingbird SOCKS Client (www.hummingbird.com/products/socks/).
Daugelyje programų SOCKS5 konfigūravimą galite rasti šalia “firewall” konfigūracijos.
Network Address Translation
Network Address Translation (NAT) – kitokio tipo technologija vartams. Trumpai galima ją aprašyti taip: IP duomenų paketas atkeliavęs iki kompiuterio, užsiimančio NAT yra analizuojamas ir pakeičiamas to paketo šaltinio arba tikslo adresas. Informacija apie atliktą transliavimą kompiuteris įsirašo pas save į lenteles. Gavęs atsakymą kompiuteris pagal tas pačias lentelės vėl perrašo adresą atgal. Viskas atrodo gana paprasta, tačiau nemažai protokolų bando perduoti informaciją apie adresus duomenų paketuose. Tai pavyzdžiui FTP. Tačiau, pavyzdžiui, Linux masquerading sugeba atpažinti tokius duomenų paketus ir pataisyti taip, kad viskas sėkmingai veiktų ir per NAT tarpininką.
Plačiau apie NAT galite pasiskaityti Linux IP Network Address Translation (www.csn.tu-chemnitz.de/HyperNews/get/linux-ip-nat.html) arba Linux Network Address Translation (linas.org/linux/load.html) puslapiuose.
NAT pranašumas prieš tarpininkus yra tas, kad paprastai NAT reikia gerokai mažiau atminties. Praktiškai užtenka kelių šimtų ar net keliasdešimt kilobaitų NAT moduliui ir transliavimo lentelėms. Taip pat nereikia kitokių, mokančių dirbti per tarpininkus, programų.
Naujame Linux branduolyje jau realizuotas atskiras NAT atvejis, vadinamas masquerading. Apie masquerading Linux visą informaciją galite susirasti Linux IP Masquerade Resource (ipmasq.home.ml.org). Čia rasite nuorodas į naujausią informaciją bei IP Masquerade mini HOWTO.
Paprasčiausias masquerading konfigūravimas galėtų atrodyti taip:
/sbin/ipfwadm -F -p deny
/sbin/ipfwadm -F -a m -S 192.168.0.0/16 -D 0.0.0.0/0
Čia skirta atvejui, kai jūsų vidinis tinklas naudoja adresus iš 192.168.X.X diapazono ir visiems kompiuteriams iš vidaus leidžiama eiti bet kur.
***
Mindaugas Riauba
minde@mail.lt