Редактирование: UNИX, весна 2009, 01 лекция (от 25 февраля)
Материал из eSyr's wiki.
Внимание: Вы не представились системе. Ваш IP-адрес будет записан в историю изменений этой страницы.
ПРЕДУПРЕЖДЕНИЕ: Длина этой страницы составляет 38 килобайт. Страницы, размер которых приближается к 32 КБ или превышает это значение, могут неверно отображаться в некоторых браузерах. Пожалуйста, рассмотрите вариант разбиения страницы на меньшие части.
Правка может быть отменена. Пожалуйста, просмотрите сравнение версий, чтобы убедиться, что это именно те изменения, которые вас интересуют, и нажмите «Записать страницу», чтобы изменения вступили в силу.
Текущая версия | Ваш текст | ||
Строка 1: | Строка 1: | ||
* '''Диктофонная запись:''' http://esyr.org/lections/audio/uneex_2009_summer/uneex_09_02_25.ogg | * '''Диктофонная запись:''' http://esyr.org/lections/audio/uneex_2009_summer/uneex_09_02_25.ogg | ||
- | == Организационные моменты == | ||
Для того, чтобы сделать пропуск на ВМиК, нужно сдать Евгению Сыромятникову или Артему Гавриченкову матовую фотографию 3X4 и паспортные данные. | Для того, чтобы сделать пропуск на ВМиК, нужно сдать Евгению Сыромятникову или Артему Гавриченкову матовую фотографию 3X4 и паспортные данные. | ||
- | Лектора зовут Георгий Курячий, читает спецкурс кафедры АСВК. | ||
- | Название курса меняется каждый раз. | ||
- | Есть сайт uneex.ru. | ||
- | На сайте есть три направления — наши лекции, семинары по тематике, а также проекты с участниками семинара. | ||
- | Правильно писать «UNИX». | ||
- | Лектор работает в АльтЛинукс «специалистом в области всего». | ||
- | Кроме линукса разговор будет о FreeBSD. | ||
- | |||
- | Говорить вслух нужно громко, так устроена аудитория. | ||
- | |||
- | == Вступление == | ||
На этот семестр запланирована довольно сложная тема. | На этот семестр запланирована довольно сложная тема. | ||
Лектор сам не знает, почему он решил ее взять. | Лектор сам не знает, почему он решил ее взять. | ||
Строка 30: | Строка 18: | ||
Изначально идея была такая, что они препятствуют распространению зловредного огня. | Изначально идея была такая, что они препятствуют распространению зловредного огня. | ||
- | === Терминология === | ||
Лектор предпочитает термин «Межсетевые экраны» по следующей причине. | Лектор предпочитает термин «Межсетевые экраны» по следующей причине. | ||
Этим названием мы снимаем некую мифологию, которая видится в слове «брандмауэр». | Этим названием мы снимаем некую мифологию, которая видится в слове «брандмауэр». | ||
Препятствуем рапространению «инфернального огня». | Препятствуем рапространению «инфернального огня». | ||
- | + | Возвращаемся к межсетевому экранированию. | |
+ | |||
+ | Лектора зовут Георгий Курячий, читает спецкурс кафедры АСВК. | ||
+ | Название курса меняется каждый раз. | ||
+ | Есть сайт uneex.ru. | ||
+ | На сайте есть три направления — наши лекции, семинары по тематике, а также проекты с участниками семинара. | ||
+ | Правильно писать «UNИX». | ||
+ | Лектор работает в АльтЛинукс «специалистом в области всего». | ||
+ | Кроме линукса разговор будет о FreeBSD. | ||
+ | |||
Нужно начать с того, что четко разделить три категории сущностей, употребляемых, говоря об этом деле. | Нужно начать с того, что четко разделить три категории сущностей, употребляемых, говоря об этом деле. | ||
Цели. | Цели. | ||
Строка 49: | Строка 45: | ||
Нет задачи ухудшать качество связи, выбрасывать пакеты, изолировать от Интернета. | Нет задачи ухудшать качество связи, выбрасывать пакеты, изолировать от Интернета. | ||
- | === Задачи === | ||
Бывают задачи равномерного распределения трафика между пользователями, изоляции определенных портов. | Бывают задачи равномерного распределения трафика между пользователями, изоляции определенных портов. | ||
Даже когда мы говорим про задачу, может быть задача ограничить скорость до 4 килобайта в час. | Даже когда мы говорим про задачу, может быть задача ограничить скорость до 4 килобайта в час. | ||
Строка 59: | Строка 54: | ||
Курс называется «Межсетевые экраны», а не «Сетевое администрирование». | Курс называется «Межсетевые экраны», а не «Сетевое администрирование». | ||
- | === Инструмент === | ||
Мы попробуем рассмотреть такой вопрос. | Мы попробуем рассмотреть такой вопрос. | ||
Если мы говорим о межсетевом экране как об инструменте, что мы под ним подразумеваем? | Если мы говорим о межсетевом экране как об инструменте, что мы под ним подразумеваем? | ||
Строка 66: | Строка 60: | ||
Воздействовать на трафик между сетями. | Воздействовать на трафик между сетями. | ||
Ограничение трафика, урезание портов, распознавание определенного вида трафика и его, допустим, урезание. | Ограничение трафика, урезание портов, распознавание определенного вида трафика и его, допустим, урезание. | ||
+ | |||
+ | Лектор забыл сказать, что говорить вслух нужно громко, так устроена аудитория. | ||
4 килобайта в час — для целей глубокого издевательства. | 4 килобайта в час — для целей глубокого издевательства. | ||
+ | Инструмент. | ||
Речь идет о том, что есть две сети, чаще всего ужасный Интернет и розовая пушистая локальная сеть, | Речь идет о том, что есть две сети, чаще всего ужасный Интернет и розовая пушистая локальная сеть, | ||
и есть компьютер между ними. | и есть компьютер между ними. | ||
Строка 77: | Строка 74: | ||
прикладной уровень (тоже с какими-то отправителями-получателями). | прикладной уровень (тоже с какими-то отправителями-получателями). | ||
- | == Воздействие на трафик == | ||
Какое воздействие мы собираемся причинять трафику? | Какое воздействие мы собираемся причинять трафику? | ||
Условно можно разделить воздействие на три категории. | Условно можно разделить воздействие на три категории. | ||
Строка 87: | Строка 83: | ||
задача модификации — воздействуем на контекст. | задача модификации — воздействуем на контекст. | ||
- | + | Также общая задача учета трафика. | |
Типичный пример — клиент на оплату трафика. | Типичный пример — клиент на оплату трафика. | ||
Посмотреть, кто выедает больше трафика. | Посмотреть, кто выедает больше трафика. | ||
Строка 99: | Строка 95: | ||
Задача учета стоит особняком, немного по учет разговор тоже будет. | Задача учета стоит особняком, немного по учет разговор тоже будет. | ||
- | == Таблица видов файрволов (см. основную страницу) == | ||
Табличка 3 на 4, сбоку сбор статистики. | Табличка 3 на 4, сбоку сбор статистики. | ||
Расшатываем убеждения людей, которые ставят знак равенства между межсетевым экраном и iptables. | Расшатываем убеждения людей, которые ставят знак равенства между межсетевым экраном и iptables. | ||
Iptables занимает не все клеточки таблицы, а где-то он далеко не главный инструмент. | Iptables занимает не все клеточки таблицы, а где-то он далеко не главный инструмент. | ||
- | === «Файрвол», контролирующий доступ программ в Интернет === | ||
Прежде, чем мы начнем говорить про конкретные инструменты, скажем, что | Прежде, чем мы начнем говорить про конкретные инструменты, скажем, что | ||
не будет понимания файрволла как плюшки внизу экрана, спрашивающей, разрешить ли программе выйти в Интернет. | не будет понимания файрволла как плюшки внизу экрана, спрашивающей, разрешить ли программе выйти в Интернет. | ||
Строка 121: | Строка 115: | ||
Уже есть SUSE Personal Firewall. | Уже есть SUSE Personal Firewall. | ||
Если хватит времени, можно поизучать эту маргинальную часть ПО. | Если хватит времени, можно поизучать эту маргинальную часть ПО. | ||
- | Этот миф развенчать с ходу не удастся. | ||
- | + | Этот миф развенчать с ходу не удастся. | |
Хочется развенчать миф, что файрволл — это iptables или еще что-то. | Хочется развенчать миф, что файрволл — это iptables или еще что-то. | ||
Посмотрим на табличку и попробуем вообразить цели, с которыми мы будем производить действия. | Посмотрим на табличку и попробуем вообразить цели, с которыми мы будем производить действия. | ||
- | === Интерфейсный уровень === | ||
С какой целью мы будем производить ограничение трафика на интерфейсном уровне? | С какой целью мы будем производить ограничение трафика на интерфейсном уровне? | ||
Есть идея, что есть некая сеть, в которую с некоторой вероятностью может влезть варяг со своим MAC-адресом. | Есть идея, что есть некая сеть, в которую с некоторой вероятностью может влезть варяг со своим MAC-адресом. | ||
Строка 143: | Строка 135: | ||
Задача выброса пакетов на определенный сосок, чтобы админ подключиться и послушать, что говорят другие машины друг другу. | Задача выброса пакетов на определенный сосок, чтобы админ подключиться и послушать, что говорят другие машины друг другу. | ||
- | === Сетевой уровень === | ||
Можно использовать сетевой уровень. | Можно использовать сетевой уровень. | ||
Простой способ — использовать VLAN, который делает логическое разделение потоков, гуляющих по проводам. | Простой способ — использовать VLAN, который делает логическое разделение потоков, гуляющих по проводам. | ||
Строка 167: | Строка 158: | ||
Зафильтровать абонента по адресу мы можем, но если мы запрещаем какой-то сервис, | Зафильтровать абонента по адресу мы можем, но если мы запрещаем какой-то сервис, | ||
придется ограничивать и порт. | придется ограничивать и порт. | ||
- | + | Транспортный уровень. | |
- | + | ||
Ограничение пакетов. | Ограничение пакетов. | ||
Строка 188: | Строка 178: | ||
Решается туннелированием. | Решается туннелированием. | ||
- | === Прикладной уровень === | ||
На прикладном уровне задач примерно столько же, сколько прикладных протоколов, а может, и больше. | На прикладном уровне задач примерно столько же, сколько прикладных протоколов, а может, и больше. | ||
Невообразимое количество. | Невообразимое количество. | ||
Строка 214: | Строка 203: | ||
Функции файрволла играют соответствующие приложения, условно — одно приложение — один файрволл. | Функции файрволла играют соответствующие приложения, условно — одно приложение — один файрволл. | ||
- | === Дополнительно === | ||
На сетевом и транспортном уровне можно работать в целом. | На сетевом и транспортном уровне можно работать в целом. | ||
TCP, UDP, еще пара-тройка протоколов, еще IP. | TCP, UDP, еще пара-тройка протоколов, еще IP. | ||
Строка 221: | Строка 209: | ||
Аппаратный уровень, его специально не рассматривали, т.к. это — провода. | Аппаратный уровень, его специально не рассматривали, т.к. это — провода. | ||
- | == Завершение == | ||
Первый оборот цикла закончен. | Первый оборот цикла закончен. | ||
На этом лекцию закончим. | На этом лекцию закончим. |