Product SiteDocumentation Site

Rozdział 10. Infrastruktura sieci komputerowej

10.1. Brama
10.2. X.509 certificates
10.2.1. Creating gratis trusted certificates
10.2.2. Public Key Infrastructure: easy-rsa
10.3. Virtual Private Network
10.3.1. OpenVPN
10.3.2. Virtual Private Network with SSH
10.3.3. IPsec
10.3.4. PPTP
10.4. Quality of Service
10.4.1. Principle and Mechanism
10.4.2. Configuring and Implementing
10.5. Dynamic Routing
10.6. IPv6
10.6.1. Tunneling
10.7. Domain Name Servers (DNS)
10.7.1. DNS software
10.7.2. Configuring bind
10.8. DHCP
10.8.1. Configuring
10.8.2. DHCP and DNS
10.9. Network Diagnosis Tools
10.9.1. Local Diagnosis: netstat
10.9.2. Remote Diagnosis: nmap
10.9.3. Sniffers: tcpdump and wireshark
Linux bazuje na całym dziedzictwie Uniksa w zakresie sieci komputerowych, a Debian udostępnia pełen zestaw narzędzi do tworzenia i zarządzania nimi. Ten rozdział dokonuje przeglądu tych narzędzi.

10.1. Brama

Brama to system łączący wiele sieci komputerowych. Ten termin odnosi się do lokalnej sieci komputerowej jako do „punktu wyjścia” na obowiązkowej ścieżce do wszystkich zewnętrznych adresów IP. Brama jest podłączona do każdej sieci, z którą się razem łączy, a działa jako router do przekazywania pakietów pomiędzy jego różnymi interfejsami.

Z POWROTEM DO PODSTAW pakiet IP

Większość obecnych sieci komputerowych używa protokołu IP (ang. Internet Protocol). Ten protokół segmentuje transmitowane dane do postaci pakietów ograniczonych rozmiarowo. Każdy pakiet zawiera, oprócz danych o obciążeniu użytkowym, wiele szczegółów wymaganych do prawidłowego wyznaczania tras tych pakietów.

Z POWROTEM DO PODSTAW TCP/UDP

Wiele programów nie obsługuje poszczególnych pakietów pomimo tego, że dane, które przekazują, przesyłane są poprzez IP. Programy te często używają protokołu TCP ((protokół kontroli transmisji — ang. Transmission Control Protocol)). TCP jest warstwą ponad warstwą IP, umożliwiającą ustanowienie dedykowanego połączenia dla strumieni danych pomiędzy dwoma punktami. Programy zwracają uwagę tylko na punkt wejścia, do którego dane mogą być dostarczone, z gwarancją, że te same dane istnieją bez utraty (i w tej samej kolejności) w punkcie wyjścia, na drugim końcu połączenia. Chociaż w dolnych warstwach może się zdarzyć wiele rodzajów błędów, to są one kompensowane przez TCP: utracone pakiety są transmitowane ponownie, a pakiety przychodzące w sposób nieuporządkowany (na przykład, jeśli używają różnych ścieżek) są ponownie odpowiednio uporządkowane.
Kolejny protokół, opierający się na IP, to UDP (protokół datagramów użytkownika — ang. User Datagram Protocol). W przeciwieństwie do TCP, jest on zorientowany na pakiety. Jego cele są inne: wyłącznym celem UDP jest transmisja pakietu z jednej aplikacji do innej. Ten protokół nie próbuje kompensować możliwej utraty pakietów w drodze, ani nie zapewnia tego, że pakiety są odbierane w takim samym porządku, jak zostały wysłane. Główną zaletą tego protokołu jest to, że opóźnienie ma mniejsze znaczenie, ponieważ utrata pojedynczego pakietu nie powoduje opóźnienia wszystkich następnych pakietów aż do chwili, gdy ostatni utracony pakiet jest ponownie przetransmitowany.
Zarówno TCP, jak i UDP obejmują porty, które są „liczbami rozszerzenia" dla ustanowienia komunikacji z daną aplikacją na maszynie. Koncepcja ta umożliwia równoległe utrzymanie kilku różnych komunikacji z tym samym korespondentem, ponieważ te komunikacje mogą być rozróżniane za pomocą numeru portu.
Some of these port numbers — standardized by the IANA (Internet Assigned Numbers Authority) — are “well-known” for being associated with network services. For instance, TCP port 25 is generally used by the email server. The list of services associated with port numbers can be found in the /etc/services file, also explained in services(5), as well as in:
→ https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml
Podczas, gdy sieć lokalna używa prywatnego zakresu adresów (nie rutowalnych w Internecie), to brama musi zaimplementować „maskaradę” adresów tak, aby maszyny w sieci komputerowej mogły się komunikować ze światem zewnętrznym. Maskarada (translacja adresów sieciowych) odbywa się za pomocą proxy działającego na poziomie sieci: każde wychodzące połączenie z wewnętrznej maszyny jest zastępowane przez połączenie z samej bramy (ponieważ brama ma zewnętrzny, rutowalny adres); dane przechodzące przez połączenie poddane translacji są wysyłane do nowego połaczenia, a dane powracające jako odpowiedź są wysyłane do połączenia (poddanego translacji) z wewnętrzną maszyną. Brama wykorzystuje do tego celu szereg dedykowanych portów TCP, zwykle o bardzo dużej liczbie (ponad 60000). Każde połączenie, przychodzące z wewnętrznej maszyny, pojawia się w świecie zewnętrznym jako połączenie pochodzące z jednego z tych zarezerwowanych portów.

Kultura Zakres adresów prywatnych

RFC 1918 defines three ranges of IPv4 addresses not meant to be routed on the Internet but only used in local networks. The first one, 10.0.0.0/8 (see sidebar BACK TO BASICS Essential network concepts (Ethernet, IP address, subnet, broadcast)), is a class-A range (with 224 IP addresses). The second one, 172.16.0.0/12, gathers 16 class-B ranges (172.16.0.0/16 to 172.31.0.0/16), each containing 216 IP addresses. Finally, 192.168.0.0/16 is a class-B range (grouping 256 class-C ranges, 192.168.0.0/24 to 192.168.255.0/24, with 256 IP addresses each).
→ http://www.faqs.org/rfcs/rfc1918.html
The gateway can also perform two kinds of network address translation (or NAT for short). The first kind, Destination NAT (DNAT) is a technique to alter the destination IP address (and/or the TCP or UDP port) for a (generally) incoming connection. The connection tracking mechanism also alters the following packets in the same connection to ensure continuity in the communication. The second kind of NAT is Source NAT (SNAT), of which masquerading is a particular case; SNAT alters the source IP address (and/or the TCP or UDP port) of a (generally) outgoing connection. As for DNAT, all the packets in the connection are appropriately handled by the connection tracking mechanism. Note that NAT is only relevant for IPv4 and its limited address space; in IPv6, the wide availability of addresses greatly reduces the usefulness of NAT by allowing all “internal” addresses to be directly routable on the Internet (this does not imply that internal machines are accessible, since intermediary firewalls can filter traffic).

BACK TO BASICS Port forwarding

A concrete application of DNAT is port forwarding. Incoming connections to a given port of a machine are forwarded to a port on another machine. Other solutions may exist for achieving a similar effect, though, especially at the application level with ssh (see Sekcja 9.2.1.4, „Creating Encrypted Tunnels with Port Forwarding”) or redir.
Enough theory, let's get practical. Turning a Debian system into a gateway is a simple matter of enabling the appropriate option in the Linux kernel, by way of the /proc/ virtual filesystem: 
# echo 1 > /proc/sys/net/ipv4/conf/default/forwarding
This option can also be automatically enabled on boot if /etc/sysctl.conf or a configuration file in /etc/sysctl.d/ sets the net.ipv4.conf.default.forwarding option to 1.

Przykład 10.1. The /etc/sysctl.conf file

net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.tcp_syncookies = 1
The same effect can be obtained for IPv6 by simply replacing ipv4 with ipv6 in the manual command and using the net.ipv6.conf.all.forwarding line in /etc/sysctl.conf.
Enabling IPv4 masquerading is a slightly more complex operation that involves configuring the netfilter firewall.
Similarly, using NAT (for IPv4) requires configuring netfilter. Since the primary purpose of this component is packet filtering, the details are listed in Rozdział 14: „Bezpieczeństwo (see Sekcja 14.2, „Firewall or Packet Filtering”).