Нельзя сказать что потерял время зря, получил достаточно большой набор навыков и бесценный(во всех смыслах этого слова – и крови выпито, и профитов получено) опыт, но все приходит когда-нибудь к логическому концу. На свое рабочее место преемника не нашел, а жаль… Много чего будет просто загублено из-за не желания вести отчетность и соблюдать строгий порядок. Э-эх, я одной стороны вроде бы и жалко, а с другой – меня это уже не должно волновать.

От новой работы периодически идет голова кругом(пока совмещаю), вроде бы и поручений пока не много, но просто не успеваю все сделать, из-за нехватки всего-то часов 10 в сутках.. Надеюсь после того как закончу все дела на Зеусе станет попроще.

Итак, схема:
Имеется два сервера, с адресацией между собой 10.11.12.0/24, к ним присоединяются клиенты, у которых айпи из сетей 192.168.0.0/20 и 192.168.168.0/24, клиенты могут присоединится к любому из серверов,  в зависимости от загрузки и циска, которая одним из интерфейсов смотри в сеть 10.10.10.0/24, где есть один из серверов.

Задача – между серверами обмениваться всеми маршрутами для этих подсеток, на циске же принимать только маршруты для сети 192.168.168.0/24
С двумя серверами вопросов не возникло никаких, по данному мне другом примеру я практически за 20 минут все это поднял, из которых я 15 минут крутил настроики фаервола на серверах, чтобы пропускало трафик ospf на нужных интерфейсах. Итак рассмотрим собственно саму настройку, для этого нам понадобится пакет quagga и несколько минут свободного времени.

Ставим кваггу:

yum install quagga

В квагге мы получаем целую кучу «демонов», состав:

собственно сама зебра, ospfd, ospf6d,ripd, bgpd, ripngd.

Следующее действие не обязательно, но я предпочитаю смотреть маршруты через зебру, собственно дефолтный конфиг:

hostname router1.local

pasword qwerty

log file /var/log/quagga/zebra.log

!

ip forwarding

!

line vty

!

первый параметр говорит как нам отобразать в cli-интерфейсе приглашение, второй – как же нам залогинится, line vty – мы собственно говорим что у нас должен иметься консольный интерфейс.

service zebra start

Консольный интерфейс мы получим а-ля циско, но не стоит обольщаться – некоторые отличия имеют место быть.

собственно «настроив» зебру заходим в нее:

telnet localhost zebra

вводим пароль.

дальше даем команду enable чтобы попасть в привилегированный режим.

теперь собственно идем в конфигурационный режим:

conf t

(полный вариант команды –  configure terminal)

password пишем_новый_пароль

enable password пишем_пароль_привилегированного_режима

service password-encryption - этой командой мы даем понять зебре что хорошо бы наши пароли хранить в шифрованном варианте.

далее end – выходим из режима конфигурирования и делаем wri - таким образом мы сохраняем наш конфиг. exit – выйти из зебры.

Все, простейший вариант зебры настроен. Это делать не обязательно, но в последствии может пригодится, если у нас на одном сервере будет сходится не только ospf – в зебре можно смотреть все роуты системы, полученные как по динамическим протоколам, так и статически.

Теперь собственно пришла пора ospf

создаем файл ospfd.conf

его содержимое:

hostname router1-ospf.local

password наш_пароль

log file /var/log/quagga/ospfd.log

!

line vty

!

По аналогии с зеброй заходим меняем пароль, создаем пароль для привилегированного сеанса пользователя и шифруем пароли. Запускаем service ospfd start

Теперь настройка ospf:

conf t

router ospf

router-id айпи-адрес

redistribute connected route-map ospf-out

network 10.11.12.0/24 area 0

passive-interface default

no passive-interface eth0

end

conf t

router ospf дает понять демону что мы хотим создать хост, который будет принимать и передавать на ospf-маршруты.

router-id - как же нам представляться другим участникам ospf

network X.X.X.X – таким образом мы определяем на каких интерфейсах у нас должно «крутиться» ospf, их можно объявить более одного.

passive-interface default – все интерфейсы пассивные (т.е. они не только не слушаются, но и не отсылаются ospf helo-пакеты.

no passive-interface eth0 – собственно говорим что eth0 не пассивный интерфейс.

redistribute connected route-map ospf-out этим мы говорим что известные нам маршруты, имеющие на этом ospf-пире, передавать далее. Т.е. и статические маршруты и динамические, а аксесс-листом в роутмапе мы указываем точно на какие сети мы хотим анонсировать маршруты, а какие отфильтровать.

далее создаем собственно роут-мап:

route-map ospf-out permit 1

match ip address 1

end

следующим делом мы создали нам роут мап, дали ему sequence (порядок просмотра), и сказали что руководствоваться access-list-ом номер 1

далее сформируем наш акссес-лист:

access-list 1 permit 192.168.0.0 0.0.15.255
access-list 1 permit 192.168.168.0 0.0.0.255

access-list 1 deny any

В данном мануале описано в таком порядке, чтобы это было просто понимать, но роут-мап и аксесс-лист желательно создавать прежде, чем его назначать в настройках роутинга.

не забываем сделать wri

вот собственно и все. осталось только подпилить iptables:

-A INPUT -i eth0 -p 89 -j ACCEPT

p 89 – протокол ospf.

До одного чудесного дня все было прекрасно, но вот понадобилось мне включить в обмен маршрутами циску,  и, вдобавок еще и фильтровать принимаемые роуты.

И наступил час икс.. когда я провел часа 4 изголяясь с циской. по аналогии с оспфд я практически мгновенно настроил в простейшем вариант ospf,  но получил еще приблизительно полторы тысячи роутов, которые циске знать и даром не надо было, вроде бы ничего плохого в этом нет, за циску они не уйдут, но у у нашей циски таблица была не безразмерная, поэтому надо было что-то с этим делать, и был риск что в один прекрасный момент таблица роутов переполнится, и тогда будут чудеса, которые придется достаточно долго отлавливать по сети.

В одном из серверов я добавил в конфиг ospfd параметр network 10.10.10.0/24 и теперь привожу конфиг для циски:

router ospf 100

(цифра 100 – произвольная, порядок процесса)

router-id айпи-маршрутизатора

network 10.10.10.0 0.0.0.255 area 0

passive-interface default

no passive-interface vlan5

distribute-list 10 in

Выходим из конфигурирования оспф и создаем наш акссес лист. Внимательно! циска  в акссесс-листах принимает не маски, а вайлдкарды.

ip access-list 10 permit 192.168.168.0 0.0.0.255

ip access-list 10 deny any

Вышеописанным аксесс-листом мы перечисляем сети, которые мы должны принимать маршруты, а все, что к ним не относится мы отправляем в фильтр.

посмотреть работает ли все это на циске или зебре:

show ip route ospf

Итак, вкусности я описал, а теперь перейдем к обратной стороне медали – фильтруйте лучше  то, что вы анонсируете по ospf, а не фильтруйте маршруты, получаемые по ospf, хоть в приведенном мной варианте циска не будет добавлять маршруты в свою таблицу или распространять их дальше, но, к сожалению, она все равно добавляет их в свой database для формирования карты lsa, так что в случае с очень большими сетями и непростой конфигурацией циски,  есть риск что у циски все упрется не в ограничение по количеству маршрутов, а, как не печально, в память.

К сожалению я так и не нашел способа как подобные вещи можно делать на quagga ospfd, он позволяет только фильтровать маршруты, которые будут попадать из одной area в другую.

На улице дождь… настроение под стать… Когда на душе скребут кошки – это не просто так. Это они нагаженное закапывают…немного черного юмора:

Порой бывает так паршиво,
Что даже чай не лезет в глотку,
А лезет в глотку только пиво,
Которым запиваешь водку.

У меня есть чувство долга.
У тебя есть чувство такта.
Нам еще бы чувство ритма,
И осилили б пол-литра.

В порыве страсти, доводящей до беды
И пребывая в яростном экстазе
Я целовал твои волшебные следы
Еще на неостывшем унитазе

У соседей крики, мaты,
Аж стена вибрирует.
То Фома купил компьютер-
Windows инсталирует!

Я обычно как напьюсь,
На доске об мачту бьюсь.
То ли вредно мне спиртное,
То ли просто возрастное.

Твой каждый день кристально ясен
И полон радостных картин,
Не потому что ты прекрасен,
А потому, что ты – кретин.

Для чего это необходимо? Самое главное – для экономии вычислительных ресурсов, если у вас громадное количество общих правил, вторично – для создания удобочитаемой и интуитивно понятной конфигурации.

Добавляются они с помощью команды iptables -n ИМЯ_ЦЕПОЧКИ, ограничения для имени – никаких специальных символов, и не использовать служебные имена. Для построения в конфиге – в начале нужно таблицы просто вписать:
:ИМЯ_ЦЕПОЧКИ – [0:0]
нули – это счетчики, они могут иметь любое числовое значение.
Дальше мы должны определить по каким параметрам трафик должне попадать в нужную цепочку.
-A тип_действия условия -j ИМЯ_ЦЕПОЧКИ.
далее работа с цепочкой:
-A ИМЯ_ЦЕПОЧКИ -j ДЕЙСТВИЕ

Имя цепочки не обязательно должно быть с заглавными буквами.

Пример цепочки:
:WWW – [0:0]
-A INPUT -p tcp –dport 80 -j WWW
-A WWW -d 10.0.0.1 -j DROP
-A WWW -d 192.168.0.0/24 -j ACCEPT

В такой форме намного удобнее строить и читать правила.

NAT и маскарадинг

Как все-таки сделать шлюз доступа когда на втором интерфейсе сервера другая сетевая адресация, и одна сеть не имеет абсолютно никакого понятия о существовании сети по другую сторону нашего сервера? Для это существует NAT, полный механизм работы я описывать не буду, в этом нет необходимости, в целом же принцип заложен в самом поняти NAT – network address translation – трансляция(преобразование) сетевых адресов.

1 что стоит учесть существует несколько вариантов – NAT и маскарадинг, собственно если не вдаваться в технические дебри – маскарадинг это частный случай НАТа

НАТ позволяет нам оперировать не только с адресом отправителя, но и с адресом получателя, и с соединениями, где нам необходимо изменить порт получателя, также позволяет с одного и того же интерфейса сервера транслировать пакеты в множество разных айпи,т.е. сервер имеет только интерфейс 10.0.5.1, но натить он может в целую подсеть – 10.0.5.1-6 например, точнее каждый диапазон адресов внутренних в свой внешний. Естественно компьютеры внешней сети должны знать, что эти адреса видеть можно через наш компьютер.

Какой же недостаток этого решения? Адреса задаются статически – т.е. мы их должны заранее знать.

Маскарадинг – позволяет все все запросы с одной сети преобразовывать в запросы другой сети и подменять адрес отправителя на адрес интерфейса нашего сервера, причем нам абсолютно нет никакой необходимости знать какой же там адрес мы имеем. Преимущество? Безусловно, но мы можем только подменять адрес отправителя на адрес нашего сервера.
Все эти действия происходят в таблицы *nat.

Итак, собственно пример для SNAT (source NAT).
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT –to-source 10.0.5.1
Вот и все действие, т.е. все что пришло с сети 192.168.0.0.24 и должно уйти через ppp-cоединение дальше мы транслируем в адрес 10.0.5.1. Таким же образом мы можем «натить» и в диапазон адресов
Это хорошо, а если у нас айпи динамический и неизвестен заранее точно? Вот тут нам пригодится маскарадинг.
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
или же
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQ

В отличие от действия SNAT нас абсолютно не интересует внешняя адресация.

Но, так мы только отправим все запросы через шлюз, а если нам нужно один запрос по какому-либо критерию отправить на другой айпи? В этих случаях нам на помощь придет dnat (destination NAT).
-A PREROUTING -s 192.168.0.1 -d 10.0.5.15 -p tcp –dport 1143 -j DNAT –to-destination 10.0.5.5
Таким образом мы отправим все запросы по порту 1143 на айпи 10.0.5.15 с адреса 192.168.0.1 на адрес 10.0.5.5. Порт при этом не изменится. Для манипуляции с портами используйте двоеточие:
-A PREROUTING -s 192.168.0.1 -d 10.0.5.15 -p tcp –dport 1143 -j DNAT –to-destination 10.0.5.5:2143
т.е. тоже самое действие, но в конце запрос уйдет на другой порт, если вам не надо менять айпи получателя, а только порт – можно оставить без адреса, т.е. использовать в конце правила конструкцию -j DNAT –to-destination :2143
Обратите внимание SNAT оперирует с адресом отправителя(т.е. то, что «улетает» от нас) и всегда находится в POSTROUTING, DNAT оперирует с адресом получателя(т.е. что должно либо пройти через нас) и всегда находится в PREROUTING. prerouting обрабатывается до всех остальных действий.

Часть 1 данного бреда
Продолжение следует…

Итак, поскольку я работаю исключительно с RHEL-based дистрибутивами, то на их примере и будут рассказывать (это не имеет принципиальной разницы между большинством дистрибутивов линукса, кроме работы с самим демоном iptables). Первое – конфиг лежит – /etc/sysconfig/iptables

Для начала попытаемся понять как это все работает, первое есть несколько таблиц – все правила запретов/разрешений строить лучше всего в таблице фильтр. По умолчанию должно быть три таблицы – mangle – она обрабатывается самой первой, filter – она обрабатывается второй и nat – последняя.

И так, нужно начнем с того что в каждой таблицы есть «глобальные» правила – они задаются в первых строках таблицы вида:

:INPUT ACCEPT

REROUTING ACCEPT

:FORWARD ACCEPT

:OUTPUT ACCEPT

OSTROUTING ACCEPT

PREROUTING и POSTROUTING – используются в таблицах raw, mangle и nat, о них я напишу в следующей части.

Начнем с того, что правильный подход – это глобальные политики ставить запрет всего, а уже правилами разрешать нужный трафик – лучше что-то забыть и потом добавить, чем разрешить все, а правила строить на запрет. Т.е., если мы ставим глобальные политики DROP то должны писать правила чтоже мы принимаем. Мой совет начинающим – ставьте таблицы mangle и nat – все в разрешение, таблица filter – INPUT, FORWARD в DROP, а вот OUTPUT – ACCEPT, так будет проще в начале, чтобы не писать на каждое действие еще и цепочки «ответов», потом вы всегда успеете переделать.

Первое, что нужно запомнить – регистр имеет значение. т.е. -A и -a это не одно и то же.

Рассмотрим синтаксис комманд – первым делом мы должны указать тип действия -A(добавить правило) или -D(удалить) если мы правим напрямую конфиг – то только -A, затем мы должны сказать какой тип трафика – INPUT(приходящий на сервер, и обращенный напрямую к серверу), FORWARD(приходящий на сервер, но после этого он должен «уйти» куда-то дальше) , OUTPUT (собственно исходящий с сервера). После этого мы уже можем сортировать по критериям:

по интерфейсу (сетевому адаптеру), например -i eth1 – так мы говорим что это сетевая плата(interface) с именем eth1

по отправителю пакетов, например -s 192.168.0.1 - так мы говорим что если отправитель(source) с адресом 192.168.0.1, то…

по получателю, например -d 10.10.10.1 – так мы говорим, что если получатель имеет адрес 10.10.10.1, то…

дальше указываются модули – их пока трогать не будем,

и в конце указывается действие -j DROP или -j ACCEPT или иные.

Минимум, необходимый, для того чтобы правило было принято на обработку – действие, тип трафика, политика:
-A INPUT -j ACCEPT

Что по сути своей будет дубликатом обьявления глобальной политики таблицы.

Итак возьмем простейшие примеры для таблицы filter

-A INPUT -s 192.168.0.1 -j ACCEPT

Таким образом мы разрешаем весь траффик с компьютера 192.168.0.1 к данному серверу.

или же:

-A INPUT -d 10.10.10.10 -j DROP

Запрещаем весь трафик к адресу 10.10.10.1, но(!) это не корректно, не забывайте что INPUT – это все, что пришло на сервер и получателем в конечном итоге является этот сервер, а не кто-то иной. В противном случае надо использовать FORWARD.

Итак, иначе будет

-A FORWARD -d 10.10.10.1 -j DROP

Вот теперь поподробнее рассмотрим что такое FORWARD – это транзитный трафик, который не относится к серверу, но должен проходить через него и идти куда-то дальше к получателю. Это все хорошо, мы можем написать пачку правил типа FORWARD, но по умолчанию они работать не будут, для того чтобы они заработали – надо поменять ключик net.ipv4.ip_forward = 0 в файле /etc/sysctl.conf на net.ipv4.ip_forward = 1. Это можно сказать защита от «дурака» – чтобы по умолчанию нельзя было гонять через ваш сервер трафик. Теперь будет работать

Думаю это понятно и не сложно, теперь пришло время поговорить немного о модулях. Есть куча модулей, которые позволяют нам вводить дополнительные критерии проверки трафика.

Их примеры

-m mac –mac-source XX:XX:XX:XX:XX:XX – указываем мак, если мак не соответствует указанному будет произведено действие.

-A INPUT -s 192.168.1.1 -m mac –mac-source 11:22:33:44:55:66 -j DROP

Важно так же помнить что есть принцип отрицания

-A INPUT -s 192.168.1.1 -m mac –mac-source ! 11:22:33:44:55:66 -j DROP – отклонять все соединения с адреса 192.168.1.1 если мак-адрес отличен от 11:22:33:44:55:66.

Дальше есть модули для протоколов – tcp udp icmp

И вот тут уже мы можем добавлять критерии по портам подключения: по исходящему порту(–sport) и по порту назначения (–dport). как пример:

-A INPUT -p tcp –dport 21 -j ACCEPT

данная строка означает что принимать все соединения с любых компьютеров на порт 21 по протоколу tcp. Комбинировать можно вместе и –sport и –dport.  Порты можно перечислять по одному, либо если они идут подряд через : Пример –dport 137:139

Если хотите описать в одном правиле сразу несколько портов, но они идут не подряд – это тоже возможно, для этого используется модуль multiport

-p tcp -m multiport –dports 139,445,6060

Но он имеет ограничене, только 15 портов, если больше указать – правило будет обработано, но не весь список портов будет учитываться.

Итак я вам привел практически все модули, которые вам нужны будут при ознакомлении, их существует еще большое количество, но это будет выходить за рамки статьи.

В конце я вам просто напомню, что не забывайте никогда в ваших правилах добавлять эти два:
-A INPUT -i lo -j ACCEPT

Это правила говорить что принимать все соединения с localhost (т.е. от самих себя, облегчит вам жизнь)

и второе правило:

-A INPUT -p all -m state –state RELATED,ESTABLISHED -j ACCEPT

Что говорит отвечать на все уже установленные и родственные соединения, что сбережет ваши нервы в последствии.

Вопросы как работать с NAT-ом, строить собственные цепочки постараюсь описать во второй части статьи.

Часть 2 данной бреда

Песни в основном исполняли старые, хотя и хорошо подобранные для вокала Беркута. Должен с удовольствием признать, что не смотря на уход Кипелова, Манякина и Терентьева существование группы Ария не прекратилось, и можно даже сказать потихоньку набирают обороты – пока не так сильны, как в былом составе, но есть неплохие шансы вернуть упущенное. Так что группа существует, не только формально, но и буквально, что безмерно радует на фоне остальных групп.

Единственное, что огорчило – это редчайшая отстойность акустики в зале (не аппаратуры), для рока наш дк не предназначен ни в коей мере.