UnixMountainSkiFun

Unix Горы Лыжи

01-06-2008 16:12

Forwarding портов


Так как мы положили себе за правило не запускать никаких лишних сервисов на firewall, то мы не можем запустить и наш собственный сервер FTP или HTTP. Да, не сможем... если не скажем firewall-у куда он должен пробрасывать входящие запросы на HTTP-трафик. По существу, мы подходим к необходимости использования forwarding-а портов, с помощью которого, firewall будет принимать все запросы на некотором порту и пересылать их на скрытый компьютер во внутренней сети. И снова ваша сеть будет выглядеть снаружи, как если бы она была одним компьютером.

Такой прием может сбить с толку взломщика. Они выполнят сканирование вашего firewall, определят, что на нем работает Linux, однако WWW-сервер, который работает на нем это похоже... Microsoft Internet Information Server. Вот чудеса! А на самом деле ваш Linux-компьютер просто пробрасывает трафик с порта 80 на NT-сервер вашей внутренней подсети. Хотя, любой мало-мальски стоящий взломщик конечно же быстро поймет "в чем собака порылась".

Инсталлируем в ядро PORTFW


Мда, это проще сказать, чем сделать! Для начала убедимся, что включена опция "experimental drivers", как показано на Рисунке 3-2. Затем зайдите в секцию "network" и включите опцию "Masquerading special modules support (NEW)". После этого опуститесь ниже и включите опцию "IP: ipportfw masq support (EXPERIMENTAL) (NEW)" (Рисунок 3-3).

Рисунок 3-2. Experimental drivers.

Рисунок 3-3. Port forward support.

Перекомпилируйте. Инсталлируйте. Перегрузитесь.

Я попытался включить опцию ipportfw без включения опции experimental/incomplete drivers. И все, чего я добился, это потраченные два часа. Однако попутно я выяснил, насколько быстро может перезагрузиться мой P75-маршрутизатор, -- 60 секунд. Не так уж и плохо.

Компиляция ipmasqadm

Я загрузил ipmasqadm с http://freshmeat.net/projects/ipmasqadm/altdownload/ipmasqadm-0.4.2.tar.gz, и все, что пришлось изменить, -- отредактировать файл Common.mk, изменив KSRC, чтобы он указывал на исходный код моего Linux-ядра -- /usr/src/linux. После этого он спокойно откомпилировался.

Forwarding HTTP-трафика

Когда ядро и ipmasqadm были правильно конфигурированы, то все что мне потребовалось сделать для того, чтобы включить forward портов для моего web-сервера, это было: 

 ipmasqadm portfw -a -P tcp -L 24.26.178.68 80 -R 192.168.2.102 80

Как вы уже заметили, мой внешне адресуемый IP был 24.26.178.68, а адрес внутреннего web-сервера -- 192.168.2.102. Правда просто?

<< IP Chains | Multi Tool Linux | Игры по типу Rogue Spear >>


edit RightSideBar