firewall

Leos Bitto bitto na kolej.mff.cuni.cz
Středa Září 25 18:38:08 CEST 1996 

On Wed, 25 Sep 1996, Petr Snajdr wrote:

> Dobry den,
>   zajimalo by mejak nakofigurovat a vyuzit tyto
>   "vymozenosti"  kernelu:
> 
> Network firewalls (CONFIG_FIREWALL) [Y/n/?] 

Tohle je tusim jeden z optionu, ktery pouze urcuje, zda budes mit moznost 
vubec specifikovat ty dalsi.

> IP: forwarding/gatewaying (CONFIG_IP_FORWARD) [N/y/?] 

Tohle znamena, ze pokud Linux dostane paket, ktery neni urcen pro jednu z 
jeho IP adres, tak se ho pokusi poslat dal (hodne jednoduse receno). To, 
jak s nim nalozi, se konfiguruje pomoci prikazu route. Tim se da zarucit, 
ze vice pocitacu, spojenych napr. ethernetem muze byt pripojeno do 
Internetu pomoci jednoho Linuxu s modemem, ktery jim bude prichozi pakety 
rozdelovat a odchozi posilat ven. Tohle si nazvu modelovou situaci, 
protoze se na to budu dale odkazovat. Je tu potreba, aby mel kazdy z 
pocitacu ve vnitrni siti IP adresu, platnou v ramci Internetu.

> IP: firewalling (CONFIG_IP_FIREWALL) [Y/n/?]

Umoznuje konfigurovat, ktere pakety se maji a ktere nemaji zpracovat. Daji 
se zaridit pravidla pro pakety ktere ma Linux prijmout, ktere ma vyslat a 
ktere ma predat dal (viz forwarding). Pravidla se specifikuji hlavne na 
zaklade IP adresy odesilatele a prijemce paketu. Moznosti je vic, k 
precteni doporucuji dokumentaci k programu ipfwadm (timto programem se 
firewall po zakompilovani do kernelu kompiluje). Pri modelove situaci 
se tim da jednoduse zajistit, ze vsichni zevnitr mohou do Internetu a nikdo 
z Internetu nemuze dovnitr.

> IP: firewall packet logging (CONFIG_IP_FIREWALL_VERBOSE) [N/y/?] y

Tohle znamena, ze se umozni zaznamenavani toho, jak se s pakety naklada.

> IP: masquerading (EXPERIMENTAL) (CONFIG_IP_MASQUERADE) [N/y/?] (NEW) y

Tohle je perfektni vec! Pri modelove situaci to umozni pouziti pouze 
jedne IP adresy, a tu si privlastni Linux. Vsechny pozadavky z vnitrni 
site potom posila ven pod svou IP adresou a prichozi pakety pro zmenu 
chytre rozdeli zase tem pocitacum, kterym patri. Ja jsem napr. takhle 
v jedne firme zaridil ze pomoci jednoho zakoupeneho uctu u providera 
pripojili celou sit. Samozrejme potom nemuzou vsichni pouzivat Internet 
najednou, to by ten modem nezvladl, ale uz nemusi uz ten kdo chce surfovat 
prijit k jednomu PC s modemem. Taky tu samozrejme nejde se na zadny 
pocitac ve vnitrni siti pripojit zvenku z Internetu (nema IP adresu!).

> IP: transparent proxy support
> (EXPERIMENTAL)(CONFIG_IP_TRANSPARENT_PROXY) [N/y/]

Tohle presne nevim co by melo byt, ale snad cosi jako ze kdyz se chce 
pocitac z vnitrni site podivat treba pomoci Netscape do Internetu, tak o 
tom rekne Linuxu a ten se podiva za nej. Ma to vyhody: Ten dotycny s 
Netscapem nemusi mit vlastni IP adresu, a pokud se vice pocitacu zevnitr 
chce podivat na to same, tak se da uplatnit cacheovani, neboli Linux se 
zepta jen poprve a pak si to uz pamatuje. Ma to nevyhody: hlavne musi byt 
na to uzpusobeny software. Treba Netscape to umi, ale to neplati zdaleka 
o vsech programech. Mne osobne se vice libi IP masquerading, i kdyz ten 
zase neumi to cacheovani.

> IP: accounting (CONFIG_IP_ACCT) [Y/n/?] 

Tohle umoznuje pocitani typu kolik a jak velkych paketu proslo danym 
sitovym rozhranim. Tedy treba jak moc je pouzivany modem. Ja jsem tim v 
te firme zajistil, ze kdyz je urcitou dobu modem neaktivni tak se zavesi.

> IP: tunneling (CONFIG_NET_IPIP) [N/y/m/?] (NEW) ? 

Tohle umoznuje "zabalit" IP pakety do IP paketu. nejak jsem moc 
nepochopil, k cemu to je. Pak to proste vypada, jako ze je vice pocitacu 
na jedne fyzicke siti, i kdyz jsou to dve site spojene modemovym 
spojenim, po kterem se prave dela ten IP tunneling.

> Processor type (386, 486, Pentium, PPro) [Pentium] 
>   defined CONFIG_M586

Tady to znamena ze se GCC pokusi optimalizovat kod pro dany procesor. 
Nevim, jak dalece to funguje.


Doufam ze muj vyklad nebyl moc zmateny, snazil jsem se o to, aby byl 
pochopitelny bez hlubsich znalosti. Je to tedy spise nastineni toho, 
o co jde. Pokud budete nekdo potrebovat blizsi vysvetleni, tak ho podam.



                                                Ahoj.
                                       
                                                         Leos Bitto
                                                  <bitto na kolej.mff.cuni.cz>

Další informace o konferenci Linux