Трансляция адресов и фильтрация пакетов
"Трансляция", или "подстановка" адресов (NAT - network address translation) широко распространена в таких системах UNIX, как Linux и FreeBSD. В Solaris нет поставляемого в комплекте с системой пакета, который позволял бы выполнять трансляцию адресов. Так как эта функция может понадобиться в сети, в том числе и там, где устанавливать FreeBSD или Linux нецелесообразно, существуют по крайней мере два пакета - совершенно бесплатный и бесплатный на определенных условиях - которые обладают функциональностью NAT. Это пакет IPFilter (бесплатен и доступен для многих систем UNIX) и пакет SunScreen от Sun Microsystems для Solaris. Оба дают возможность как подставлять "честные" адреса при передаче пакетов в Интернет из сетей с "приватными" IP-адресами, так и выполнять "фильтрацию" пакетов, т.е. разрешать только определенные виды соединений, с учетом адресов и портов отправителя и получателя пакетов, используемых протоколов и т.п. Первый управляется из командной строки, второй - с помощью графического интерфейса.
IPFiter и SunScreen являются полноценными фильтрами пакетов. Программы этого типа также называют брандмауэрами (brandmauer) или файрволами (firewall).
Особенностью IPFilter является то, что, в отличие от других популярных программ фильтрации пакетов, она выполняет проверку пакета на соответствие ВСЕМ правилам таблицы фильтрации, поэтому, если в таблице правил за более строгими идут менее строгие правила, к пакету будут применены менее строгие. Например, если запрещен входящий трафик с адреса 192.168.8.7, но, кроме того, разрешен входящий трафик из сети 192.168.8/25, то фактически пакеты с адреса 192.168.8.7 будут проходить сквозь фильтр. Подробнее о правилах фильтрации можно узнать из руководства по соответствующим пакетам.
Программа IPFilter доступна по адресу http://cheops.anu.edu.au/~avalon/ip-filter.html (текущая версия 4.1.12), а SunScreen - http://wwws.sun.com/software/securenet/lite/download.html.
 |
|
|
1) Строго говоря не номер компьютера, а номер сетевого интерфейса, поскольку IP-адрес назначается интерфейсу, а не компьютеру; далее мы для краткости будем употреблять термин "номер компьютера". Можем оправдывать это тем, что у компьютере в сети может быть несколько номеров - это же не серийный номер двигателя:
2) RFC - Request For Comments - стандарты, используемые в сети Интернет. Текст стандартов можно бесплатно получить на сайте www.ripn.net
3) ICANN - www.icann.org - координационная структура, ответственная за распределение IP-адресов и имен доменов в Интернете.
4) Для более короткой запаси маски часто указывают просто длину номера в сети в битах через слэш, или , что то же самое, количество двоичных единиц в маске, например, 199.14.8.0/22.
НАЗАД ВПЕРЕД
/td>
|
