UnixMountainSkiFun

Unix Горы Лыжи

01-06-2008 16:21

Ядро 2.4 и IPMASQ


Помните, я упоминал о ядрах 2.4? Я надеялся, что в этой книге мы ограничимся лишь кратким упоминанием проблемы, и что в вашем распоряжении вряд ли будут ядра 2.4. Увы, этому не суждено было сбыться. Хорошая новость -- ядра 2.4, вполне спокойно "проглатывают" ваши старые добрые ipchains-правила!

В ядрах 2.4 эквивалентом ipchains является netfilter, -- это полностью переписанный пакет. Он стал явно круче. В этом разделе будет сведена воедино информация о нововведениях, которую я почерпнул из различных источников. Ее достаточно много (конкретно этот список из IP-Masquerade-HOWTO):

  • Предлагается ИСТИННАЯ 1:1 NAT-функциональность для тех, кто имеет TCP/IP-подсети.
  • Встроенный PORT Forwarding, -- это означает, что IPMASQADM больше не требуется.
  • Новая встроенная возможность PORTFW-инга, которая работает для внешнего и для внутреннего трафика. Это означает, что пользователи, использующие PORTFW для внешнего трафика и REDIR для перенаправления внутреннего больше не будут использовать два разных инструментария!
  • Полная поддержка особенностей маршрутизации на основе политик (маршрутизация source-based TCP/IP-адресов).
  • Функция, совместимая с Linux FastRoute, для значительного ускорения forwarding пакетов (также известная как Linux network switching).
  • Полная поддержка TCP/IP v4, v6 и даже DECnet (вах!).
  • Поддержка имен с wildcard-ами, по типу ppp* для PPP0, PPP1 и т.д.
  • Поддержка фильтрации на input и output INTERFACES.
  • Фильтрация Ethernet MAC.
  • Степени ограничений пакетов, против DoS-атак.
  • Очень простая и обощенная функциональность инспекции, по типу Stateful.
  • Теперь пакеты REJECT-ов имеют выбираемые пользователем ответные ICMP-сообщения.
  • Изменяемые уровни журналирования (различные пакеты теперь могут иметь различные уровни в SYSLOG).

Прокол может быть только в том, что это весьма новая вещь, и поэтому большинство из ip_masq-модулей еще не портировано, -- cuseeme, icq, irc, realaudio, quake и vdolive еще не работают. Хотя конечно, это не конец света. Хоть ядра серии 2.4, уже полностью приняты в эксплуатацию, тем не менее документацию на эту тему трудно найти, -- это все сказано только для того, чтобы сказать следующее: используйте на firewall ядра 2.2.19 и позже. Не обновляйтесь до ядер серии 2.4 до тех пор, пока не портируются все эти маленькие модули, которые вам необходимы. Однако если необходимо запустить его, то информацию можно найти на http://netfilter.filewatcher.org/unreliable-guides/NAT-HOWTO.html.

<< Игры по типу Rogue Spear | Multi Tool Linux | Аппартные Firewall/NAT-устройства >>


edit RightSideBar