firewall
Leos Bitto
bitto na kolej.mff.cuni.cz
Středa Září 25 18:38:08 CEST 1996
On Wed, 25 Sep 1996, Petr Snajdr wrote:
> Dobry den,
> zajimalo by mejak nakofigurovat a vyuzit tyto
> "vymozenosti" kernelu:
>
> Network firewalls (CONFIG_FIREWALL) [Y/n/?]
Tohle je tusim jeden z optionu, ktery pouze urcuje, zda budes mit moznost
vubec specifikovat ty dalsi.
> IP: forwarding/gatewaying (CONFIG_IP_FORWARD) [N/y/?]
Tohle znamena, ze pokud Linux dostane paket, ktery neni urcen pro jednu z
jeho IP adres, tak se ho pokusi poslat dal (hodne jednoduse receno). To,
jak s nim nalozi, se konfiguruje pomoci prikazu route. Tim se da zarucit,
ze vice pocitacu, spojenych napr. ethernetem muze byt pripojeno do
Internetu pomoci jednoho Linuxu s modemem, ktery jim bude prichozi pakety
rozdelovat a odchozi posilat ven. Tohle si nazvu modelovou situaci,
protoze se na to budu dale odkazovat. Je tu potreba, aby mel kazdy z
pocitacu ve vnitrni siti IP adresu, platnou v ramci Internetu.
> IP: firewalling (CONFIG_IP_FIREWALL) [Y/n/?]
Umoznuje konfigurovat, ktere pakety se maji a ktere nemaji zpracovat. Daji
se zaridit pravidla pro pakety ktere ma Linux prijmout, ktere ma vyslat a
ktere ma predat dal (viz forwarding). Pravidla se specifikuji hlavne na
zaklade IP adresy odesilatele a prijemce paketu. Moznosti je vic, k
precteni doporucuji dokumentaci k programu ipfwadm (timto programem se
firewall po zakompilovani do kernelu kompiluje). Pri modelove situaci
se tim da jednoduse zajistit, ze vsichni zevnitr mohou do Internetu a nikdo
z Internetu nemuze dovnitr.
> IP: firewall packet logging (CONFIG_IP_FIREWALL_VERBOSE) [N/y/?] y
Tohle znamena, ze se umozni zaznamenavani toho, jak se s pakety naklada.
> IP: masquerading (EXPERIMENTAL) (CONFIG_IP_MASQUERADE) [N/y/?] (NEW) y
Tohle je perfektni vec! Pri modelove situaci to umozni pouziti pouze
jedne IP adresy, a tu si privlastni Linux. Vsechny pozadavky z vnitrni
site potom posila ven pod svou IP adresou a prichozi pakety pro zmenu
chytre rozdeli zase tem pocitacum, kterym patri. Ja jsem napr. takhle
v jedne firme zaridil ze pomoci jednoho zakoupeneho uctu u providera
pripojili celou sit. Samozrejme potom nemuzou vsichni pouzivat Internet
najednou, to by ten modem nezvladl, ale uz nemusi uz ten kdo chce surfovat
prijit k jednomu PC s modemem. Taky tu samozrejme nejde se na zadny
pocitac ve vnitrni siti pripojit zvenku z Internetu (nema IP adresu!).
> IP: transparent proxy support
> (EXPERIMENTAL)(CONFIG_IP_TRANSPARENT_PROXY) [N/y/]
Tohle presne nevim co by melo byt, ale snad cosi jako ze kdyz se chce
pocitac z vnitrni site podivat treba pomoci Netscape do Internetu, tak o
tom rekne Linuxu a ten se podiva za nej. Ma to vyhody: Ten dotycny s
Netscapem nemusi mit vlastni IP adresu, a pokud se vice pocitacu zevnitr
chce podivat na to same, tak se da uplatnit cacheovani, neboli Linux se
zepta jen poprve a pak si to uz pamatuje. Ma to nevyhody: hlavne musi byt
na to uzpusobeny software. Treba Netscape to umi, ale to neplati zdaleka
o vsech programech. Mne osobne se vice libi IP masquerading, i kdyz ten
zase neumi to cacheovani.
> IP: accounting (CONFIG_IP_ACCT) [Y/n/?]
Tohle umoznuje pocitani typu kolik a jak velkych paketu proslo danym
sitovym rozhranim. Tedy treba jak moc je pouzivany modem. Ja jsem tim v
te firme zajistil, ze kdyz je urcitou dobu modem neaktivni tak se zavesi.
> IP: tunneling (CONFIG_NET_IPIP) [N/y/m/?] (NEW) ?
Tohle umoznuje "zabalit" IP pakety do IP paketu. nejak jsem moc
nepochopil, k cemu to je. Pak to proste vypada, jako ze je vice pocitacu
na jedne fyzicke siti, i kdyz jsou to dve site spojene modemovym
spojenim, po kterem se prave dela ten IP tunneling.
> Processor type (386, 486, Pentium, PPro) [Pentium]
> defined CONFIG_M586
Tady to znamena ze se GCC pokusi optimalizovat kod pro dany procesor.
Nevim, jak dalece to funguje.
Doufam ze muj vyklad nebyl moc zmateny, snazil jsem se o to, aby byl
pochopitelny bez hlubsich znalosti. Je to tedy spise nastineni toho,
o co jde. Pokud budete nekdo potrebovat blizsi vysvetleni, tak ho podam.
Ahoj.
Leos Bitto
<bitto na kolej.mff.cuni.cz>
Další informace o konferenci Linux