Zaawansowane filtrowanie ruchu w sieciach LAN na na przykładzie filtrów stanowych Iptables // Ebtables
|
|
- Konrad Wróblewski
- 7 lat temu
- Przeglądów:
Transkrypt
1 POLITECHNIKA WARSZAWSKA Wydział Elektroniki i Technik Informacyjnych Instytut Telekomunikacji Zaawansowane filtrowanie ruchu w sieciach LAN na na przykładzie filtrów stanowych Iptables // Ebtables Dominik Derela PLAN PREZENTACJI Koncepcja filtrów iptables / ebtables (łacuchy, tabele) Sterowanie połczeniami: porty, adresy, interfejsy przekierowania połcze Modyfikacja pakietów: mechanizm NAT i odmiany podmiana wartoci w nagłówkach pakietów Znakowanie pakietów: kolejkowanie pakietów - dyscypliny HTB / SFQ Łacuchy definiowane uytkownika: operacje na łacuchach, zagniedanie Przykładowa sie załoenia, struktura, UML WWW: transparentny PROXY Podsumowanie WARSZAWA, marzec ? OSI 3 layer - network OSI 2 layer - data link Filtrowanie ruchu model OSI Filtrowanie datagramów IP reguły Tabele Łacuchy Filtrowanie ramek ethernetowych Tabele reguły = Łacuchy + = + Wyrónik (kryteria) Wyrónik (kryteria) + + Decyzja (CEL) Decyzja (CEL) iptables ebtables Ebtables/Iptables krótka charakterystyka Ebtables: Filtrowanie ramek wg: adresów MAC typu ramki interfejsów wej / wyj Ograniczone moliwoci filtrowania pakietów-> iptables Rejestrowanie informacji o ruchu Obsługa IPv4, IPv6,arp Znakowanie ramek MAC NAT (SNAT, DNAT) Iptables: Filtrowanie datagramów IP wg: adresów IP numerów portów interfejsów wej / wyj Rejestrowanie informacji o ruchu Obsługa IPv4, IPv6,arp Znakowanie pakietów Kształtowanie ruchu IP IP NAT (SNAT, DNAT) 2 3
2 Ebtables: Opcje jdra systemowego Iptables: Opcje jdra systemowego Na przykładzie jder serii 2.6 Most wirtualny; brctl, tunctl echo "Ustawiam interfejs eth0 w tryb PROMISCOUS" ifconfig eth promisc up echo "Dodaje most br0" brctl addbr br0 echo "Ustawiam parametr setfd[0] mostu br0" brctl setfd br0 0 echo "Ustawiam parametr sethello[0] mostu br0" brctl sethello br0 0 echo "Ustawiam parametr stp[off] mostu br0" brctl stp br0 off echo "Konfiguracja interfejsu mostu br0 ( )" ifconfig br netmask up echo "Dodaje interfejs eth0 do mostu br0" brctl addif br0 eth0 for IFACE in $UML_IFACES; do echo "Tworze interfejs $IFACE jako uzytkownik root" tunctl -u root -t $IFACE > /dev/null echo "Ustawiam interfejs $IFACE w tryb PROMISCOUS" ifconfig $IFACE promisc up echo "Dodaje interfejs $IFACE do mostu br0" brctl addif br0 $IFACE done Networking options --> 802.1d Ethernet Bridging Networking options --> 802.1d Ethernet Bridging --> Bridge: ebtables (NEW) Networking->Networking options-> Network packet filtering (replaces ipchains)-> Bridge: Netfilter Configuration 4 Networking->Networking options-> Network packet filtering (replaces ipchains)-> IP: Netfilter Configuration 5 Porty,adresy Tunelowanie usług Sterowanie ruchem wybrane aspekty Podział pasma w ramach: usług pojedynczej usługi Gospodarowanie uytkowników pasmem Iptables Znakowanie (klasyfikacja) Kolejkowanie w locie Czasowe ograniczanie ruchu Składnia: ebtables... parametry... j CEL filter Filtr ebtables General frame traversal scheme ródło: nat, filter Maskowanie NAT NAT statyczny NAT dynamiczny (ADSL) Detekcja zawartoci pakietów Przeszukiwanie danych Przeszukiwanie w segmencie Modyfikowanie wartoci nagłówków TTL Window Size OS Przegldarki ródło: Wskazanie tabeli: nat ebtables t broute... ebtables t nat... filter nat Tabele: broute dec. routing czy bridging nat translacja adresów filter podstawowe reguły filtrowania 6 7
3 Składnia: iptables... parametry... j CEL iptables... komendy... CEL: ACCEPT LOG DROP lub łacuch definiowany Filtr iptables Reguły s podawane jedna po drugiej i s przetwarzane sekwencyjnie w ramach łacuchów Reguły odnosz si do rónych tablic (mangle, nat, filter) Łacuchy definiowane mog by zagniedane Łacuchy predefiniowane okrelaj cel A DNS Cache Ebtables - przykład ISP most Subnet Router B $ ebtables -P FORWARD DROP $ ebtables -A FORWARD -p 0x806 -j ACCEPT $ ebtables -A FORWARD -p 0x800 --ip-dst ip-proto tcp --ip-sport 80 -j ACCEPT $ ebtables -A FORWARD -p 0x800 --ip-src ip-proto tcp --ip-dport 80 -j ACCEPT $ ebtables -A FORWARD -p 0x800 --ip-src ip-dst ip-proto udp --ip-dport 53 -j ACCEPT $ ebtables -A FORWARD -p 0x800 --ip-src ip-dst ip-proto udp --ip-sport 53 -j ACCEPT Wskazanie tabeli: iptables t mangle... iptables t nat... Tabele: mangle zmiana zawartoci pakietów nat translacja adresów sieciowych filter podstawowe reguły filtrowania 8 -p = protocol np. 0x806 ARP 0x800 IP 9 Tworzenie reguł - łacuchy Iptables - Moduły iptables A ŁACUCH... parametry... j CEL Operacje na łacuchach: -A --append - dodaj na kocu łacucha -D --delete - usu reguł z łacucha -I --insert - wstaw reguł do łacucha na konkretne miejsce -R --replace - zamie tre wybranej reguły w łacuchu -L --list - wywietl zawarto łacucha -F --flush - wyczy (skasuj) zawarto łacucha -Z --zero - wyzeruj liczniki pakietów i bajtów -N --new-chain - utwórz nowy łacuch -X --delete-chain - usu łacuch uytkownika -P --policy - ustaw polityk dla łacucha Kierunek przetwarzania reguł ŁCUCH = PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING 10 Włczanie modułów opcja m <nazwa_modułu>.: iptables -A INPUT -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT Przykładowe moduły: iprange - okrelanie zakresu adresów IP mark - odczytanie ustawionego znacznika dla danego pakietu conmark - ustawianie 32 bitowego znacznika pakietu physdev - wskazanie interfejsu (zastosowanie: mosty wirtualne) pkttype - typ pakietu: kategoria ruchu: broadcast, multicat, unicast state - okrelanie stanu połczenia conntrack -ledzenie stanu połczenia, do którego naley dany pakiet time - okrelanie przedziału czasowego, w którym obowizuje dana reguła ttl - odczytanie zawartoci pola TTL w nagłówku limit - wskazanie limitu liczby pakietów/s zastosowanie: rejestrowanie zdarze mac - wskazanie adresu MAC icmp - podanie typu komunikatu protokołu ICMP dstlimit - okrelanie limitów (max liczby) pakietów dla danego IP 11
4 Iptables Moduły dodatkowe: Patch-o-matic-ng Patch-o-matic-ng = Patch-o-matic New Generation - repozytorium dodatkowych modułów Repozytoria: submitted repository CLASSIFY CLUSTERIP CONNMARK SAME addrtype comment hashlimit nf-log ownercmd raw realm sctp tcp-window-tracking pending repository conntrack-acct base repository HOPLIMIT IPV4OPTSSTRIP NETLINK NETMAP REJECT TTL connlimit expire fuzzy iprange ipv4options nth osf psd quota random set time u32 extra repository ACCOUNT IPMARK ROUTE TARPIT TCPLAG TRACE ULOG XOR account condition connbytes connrate conntrack-event-api conntrack_locking conntrack_nonat ctnetlink cuseeme-nat directx8-conntrack-nat dropped-table eggdrop-conntrack geoip goto h323-conntrack-nat ip_queue_vwmark ipp2p ipsec-01-outputhooks psec-02-input-hooks ipsec-03-policy-lookup ipsec-04-policy-checks layer2-hooks mms-conntrack-nat msnp-conntrack-nat nat-reservations nf_conntrack nfnetlink owner-socketlookup owner-supgids policy pptpconntrack-nat quake3-conntrack-nat rpc rsh rtsp-conntrack sip-conntrack-nat string talk-conntrack-nat tproxy unclean obsolete repository MARK-operations dstlimit mport netfilter-docbook pool Iptables Moduły dodatkowe: Patch-o-matic-ng Przykładowy moduł: CLASSIFY Repozytorium patch-o-matic submitted repository CLASSIFY - iptables CLASSIFY target Author: Patrick McHardy <kaber@trash.net> Status: Part of 2.6.x mainline This patch adds support for the CLASSIFY target which sets skb->priority. Some qdiscs can use this value for classification, among these are - atm - cbq - dsmark - pfifo_fast - htb - prio This target is only valid in the POST_ROUTING chain of the mangle table. Usage: iptables -t mangle -A POSTROUTING.. -j CLASSIFY --set-class MAJOR:MINOR Tunelowanie usług Wybór interfejsu wejsciowego / wyjciowego (iptables) zamiast i / -o: iptables... -i interfejs... j CEL iptables... -o interfejs... j CEL (iptables/ebtables): wskazanie physdev-in / physdev-out (moduł physdev) iptables... -m physdev -physdev-in interfejs... j CEL iptables... -m physdev -physdev-out interfejs... j CEL Wybór wg adresu IP iptables... -s src_ip -d dst_ip... j CEL Wybór rodzaju portu (pojedyncze, zakres) iptables... --sport [--dport] numer_portu:zakres... j CEL Wybór rodzaju protokołu iptables... -p TCP UDP ICMP ALL... j CEL Przekierowania na inny port... -t nat -A PREROUTING... --dport nr_portu_docelowego -j REDIRECT --to-port nr_portu na inny port i / lub inny host (P)... -t nat -A PREROUTING... --dport nr_portu_docelowego -j DNAT --to-port adres_ip:nr_portu NAT ródłowy (SNAT Source NAT) statyczny Modyfikacja: Mechanizm NAT ## Zmieñ adres ródłowy na # iptables -t nat -A POSTROUTING -o eth0 -j SNAT to-source ## Zmieñ adres ródłowy na , lub # iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source ## Zmieñ adresy ródłowy na , porty z zakresu # iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source : dynamiczny np. ADSL ## Maskaraduj wszystko wychodzce przez ppp0. # iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE NAT docelowy (DNAT Destination NAT) ## Zmieñ adresy docelowe na # iptables -t nat -A PREROUTING -i eth0 -j DNAT --to ## Zmieñ adresy docelowe , lub # iptables -t nat -A PREROUTING -i eth0 -j DNAT --to ## Zmieñ adresy docelowe ruchu WWW na , port 8080 # iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to :
5 Modyfikacja: zmiana wartoci TTL Sterowanie połczeniami Detekcja połcze dla pakietów o wybranej wartoci parametru TTL ( opcja jdra TTL match support )... m ttl ttl j LOG / ACCEPT / DROP Zmiana wartoci parametru TTL (opcja jdra TTL target support dostpna po aktualizacji Patch-o-matic) Ustalanie okrelonej wartoci... -t mangle -A PREROUTING... -j TTL --ttl-set warto Zwikszanie o okrelon warto... -t mangle -A PREROUTING... -j TTL --ttl-inc warto Zmniejszanie o okrelon warto... -t mangle -A PREROUTING... -j TTL --ttl-dec warto Tablica filter Tablica mangle Moduł conntrack -ledzenie stanu połczenia do którego naley pakiet: Stan NEW - nowe Stan ESTABLISHED - ustanowione Stan RELATED zwizane z ju istniejcymi np. ftp Stan INVALID - błdne iptables -A INPUT p tcp -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT Okrelanie stanu połcze TCP na podstawie wartoci flag opcja --tcpflags: iptables... -p tcp --tcp-flags <zakres_flag> <sprawdzane_flagi> -j DROP <zakres_flag> - okrela jakie flagi maj by sprawdzane <sprawdzane_flagi> - jakie flagi (bity) powinny by ustawione Np.: iptables... -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN,ACK -j DROP Znakowanie pakietów kształtowanie ruchu Ustawianie znacznika poszczególnych pakietów... -t mangle -A PREROUTING... -j MARK --set-mark znacznik Wybór pakietów oznaczonych znacznikiem... -m mark --mark znacznik -j LOG / ACCEPT / DROP Nastpnie wg ustalonych znaczników mona uy innych narzdzi np. tc do tworzenia kolejek pakietów: Podział pasma (algorytmy): HTB - pomidzy hosty (równie src & dst IP,porty) SFQ - pomidzy usługi Znakowanie pakietów kształtowanie ruchu Tworzenie kolejek na poszczególnych interfejsach # INICJALIZACJA # Tworzymy główn kolejk 1:0 na interfejsie: eth0 tc qdisc add dev eth0 root handle 1:0 htb default kbit # KOLEJKI # W kolejce tej tworzymy główn klas 1:1 o przepustowoci 9Mbit: tc class add dev eth0 parent 1:0 classid 1:1 htb rate 9000kbit ceil 9000kbit # Tworzymy podklasy i okrelamy ich przepustowoci: tc class add dev eth0 parent 1:1 classid 1:2 htb rate 480kbit ceil 480kbit tc class add dev eth0 parent 1:1 classid 1:3 htb rate 8500kbit ceil 8500kbit # Teraz tworzymy właciwe podklasy: tc class add dev eth0 parent 1:2 classid 1:4 htb rate 120kbit ceil 240kbit prio 1 tc class add dev eth0 parent 1:2 classid 1:5 htb rate 120kbit ceil 240kbit prio 1 tc class add dev eth0 parent 1:2 classid 1:6 htb rate 120kbit ceil 240kbit prio 2 tc class add dev eth0 parent 1:2 classid 1:7 htb rate 120kbit ceil 480kbit prio 2 # FILTRY HTB # Klasyfikujemy pakiety według ustawionego znacznika -> reguły iptables: tc filter add dev eth0 protocol ip parent 1:0 handle 20 fw flowid 1:2 tc filter add dev eth0 protocol ip parent 1:0 handle 21 fw flowid 1:3 tc filter add dev eth0 protocol ip parent 1:0 handle 22 fw flowid 1:4 tc filter add dev eth0 protocol ip parent 1:0 handle 23 fw flowid 1:5 480 znaczniki # FILTRY SFQ tc qdisc add dev eth1 parent 1:4 handle 20 sfq perturb 10 ISP Ruch Internet 1:0 1:1 10 Mb/s handle 1:2 1:3 1:4 1:5 1:6 1:7 Klasy 9 Mb/s Ruch lokalny 8,5 18 rate <= ceil rate co najmniej ceil co najwyej Iptables + HTB + SFQ + tc 19
6 Połczenia p2p - detekcja Ochrona przed skanowaniem Powody Silne obcianie sieci: rywalizacja w dostpie pomidzy stacjami rywalizacja pomidzy usługami na tej samej stacji Odmienny charakter ruchu Brak kontroli w oparciu o znane porty Rozwizania Konieczno implementacji na wszystkich stacjach!!! Detekcja połcze w oparciu o zawarto ładunku pakietu: moduł string... -m string string kazaa -j LOG / ACCEPT / DROP moduł regexp... -m regexp -regexp /wyraenie/opcje [--begin-offset przesunicie] [--end-offset przesunicie] -j LOG / ACCEPT / DROP przesunicie wskazuje zakres poszukiwania wzorca /wyraenie/opcje wzorzec poszukiwania np. `/GNUTELLA/[0..9]` Skanowanie ukryte opiera si na wysyłanie pakietów z ustawionymi flagami niezgodnymi z porzdkiem typowym dla TCP. Wówczas skanowany system odpowie wysyłajc pakiet z flag RST (reset). echo " Blokada prób skanowania TCP-connect (pakiety z ustawionym bitem syn)" iptables -A scan_chain -p tcp --syn -j DROP echo " Blokada prób skanowania TCP-SYN (pakiety z ustawionym tylko bitem SYN)" iptables -A scan_chain -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j DROP echo " Blokada prób skanowania TCP-FIN (pakiety z ustawionym tylko bitem FIN)" iptables -A scan_chain -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP echo " Blokada prób skanowania TCP-ACK (pakiety z ustawionym tylko bitem ACK)" iptables -A scan_chain -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP echo " Blokada prób skanowania TCP-NULL (pakiety bez zadnej flagi)" iptables -A scan_chain -m conntrack --ctstate INVALID -p tcp --tcp-flags! SYN,RST,ACK,FIN,URG,PSH SYN,RST,ACK,FIN,URG,PSH -j DROP echo " Blokada prób skanowania "Christmas Tree" TCP-XMAS (pakiety z ustawionymi bitami FIN,URG,PSH)" iptables -A scan_chain -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP Ochrona przed atakami DOS (Denial of Service) Łacuchy zagniedone echo " -- Blokada przed atakiem DOS - Ping of Death" iptables -A ŁACUCH -p ICMP --icmp-type echo-request -m length --length 60: j ACCEPT FORWARD I Reguła: iptables A FORWARD... j Łacuch_A echo " -- Blokada przed atakiem DOS - Teardrop" iptables -A ŁACUCH -p UDP -f -j DROP Łacuch_A Łacuch_B Reguła: iptables A Łacuch_A... j Łacuch_B Reguła: iptables A Łacuch_B... j Łacuch_C echo " -- Blokada przed atakiem DOS - SYN-flood" iptables -A ŁACUCH -p TCP --syn -m iplimit --iplimit-above 9 -j DROP Łacuch_C Reguła: iptables A Łacuch_C... j ACCEPT DROP LOG echo " -- Blokada przed atakiem DOS - Smurf" iptables -A ŁACUCH -m pkttype --pkt-type broadcast -j DROP iptables -A ŁACUCH -p ICMP --icmp-type echo-request -m pkttype --pkttype broadcast -j DROP iptables -A ŁACUCH -p ICMP --icmp-type echo-request -m limit --limit 3/s -j ACCEPT echo " -- Blokada przed atakiem DOS - UDP-flood (Pepsi)" iptables -A ŁACUCH -p UDP --dport 7 -j DROP iptables -A ŁACUCH -p UDP --dport 19 -j DROP echo " -- Blokada przed atakiem DOS - SMBnuke" iptables -A ŁACUCH -p UDP --dport 135:139 -j DROP iptables -A ŁACUCH -p TCP --dport 135:139 -j DROP Reguła... Łacuch_N Łacuch_N.1 Reguła 1 II III Reguła: iptables A FORWARD... j ACCEPT DROP LOG Reguła 1: iptables A Łacuch_N.1... j ACCEPT DROP LOG Reguła 2: iptables A Łacuch_N.1... j ACCEPT DROP LOG echo " -- Blokada przed atakiem DOS - Connection-flood" iptables -A ŁACUCH -p TCP --syn -m iplimit --iplimit-above 3 -j DROP Reguła 2 echo " -- Blokada przed atakiem DOS - Fraggle" iptables -A ŁACUCH -p UDP -m pkttype --pkt-type broadcast -j DROP iptables -A ŁACUCH -p UDP -m limit --limit 3/s -j ACCEPT echo " -- Blokada przed atakiem DOS - Jolt" iptables -A ŁACUCH -p ICMP -f -j DROP Łacuch_N+1 Przykładowy przebieg Kolejno przegldania reguł Pozwalaj grupowa okrelone reguły w logiczn cz. W ujciu całociowym problem bardzo złoony OPTYMALIZACJA! 22 23
7 Intel Express 210T Stackable Hub Change H ub Speed 10Base-T Colision 100Base-TX Managed Status Intel Express 210T Stackable Hub Change Hub S peed 10Base-T Collision 100Base-TX Managed Status Class I Class I Power L eft(green) Solid = Link Blink = Activ ity R ight(yelow ) Solid = Disa bled Blink = Wro ng speed Power Lef t( Green) S olid = Link B link = A ctivity Right( Y elow ) S olid = Disabled B link = Wrong s peed Domena dominder.networklinux.net www WWW w w w mail. pop3. smtp. MAIL Przekanik poczty gate. SSH / VPN usługi dns DNS wew. ns dostpowy PRZYKŁAD: sie ADSL (256/128 kbps) a) Struktura Logiczna b) Struktura Fizyczna Brama internetowa PSTN ADSL sim. SIM Komputer fizyczny uml01. WS_01 Wirtualna stacja robocza LDAP zewn. ns uml02. WS_02 Wirtualna stacja robocza usług katalogowych Komputer fizyczny COM tos Strefa DMZ Sie /8 SIM PSTN ADSL Router ADSL model AR41 4 Port Switch 4 Port Switch COM PRZYKŁAD: sie ADSL # PODSIEC -> Internet/DMZ $ipt -A FORWARD -i br1 -o br0 -j ruch_subnet-i_dmz $ipt -A ruch_subnet-i_dmz -d /8 -j ruch_do_dmz $ipt -A ruch_subnet-i_dmz -m physdev --physdev-out eth0 -d! /8 -j ruch_do_internet # Internet/DMZ -> PODSIEC $ipt -A FORWARD -i br0 -o br1 -m state --state ESTABLISHED,RELATED -j ruch_i_dmz-subnet $ipt -A ruch_i_dmz-subnet -s /8 -j ruch_z_dmz $ipt -A ruch_i_dmz-subnet -m physdev --physdev-in eth0 -s! /8 -j ruch_z_internet # PODSIEC -> PODSIEC $ipt -A FORWARD -i br1 -o br1 -s /24 -j ruch_subnet-subnet $ipt -A ruch_subnet-subnet -j subnet # Internet/DMZ -> Internet/DMZ $ipt -A FORWARD -i br0 -o br0 -j ruch_i_dmz-i_dmz $ipt -A ruch_i_dmz-i_dmz -j dmz br1 br0 br1 br0 eth0 br1 br0 Netfilter SIM Komputer fizyczny eth1 br1 br0 usługi dns Kontroler domeny usług katalogowych sim Lokalne stacje robocze - komputery fizyczne Podsie chroniona Sie /24 SEM TER TOS Łacuch FORWARD Kolejno przetwarzania reguł w łacuchu FORWARD SEM TER TOS Ruch_SUBNET-I_DMZ Ruch_I_DMZ- SUBNET Ruch_SUBNET- SUBNET Ruch_I_DMZ- I_DMZ DNS wew. PDC LDAP wew. sem ter. tos ruch_do_dmz ruch_z_dmz subnet dmz dns. pdc ldap ruch_do_internet ruch_z_internet Tunelowanie usług - np. WWW - transparent proxy Tunelowanie usług - np. WWW - transparent proxy echo "<<< Ruch [http i https]" echo " + komunikacja z serwerem WWW w DMZ" echo " - zapytania do serwera 80,443" iptables -A ruch_do_dmz -p TCP -d dport 80 -j ACCEPT iptables -A ruch_do_dmz -p TCP -d dport 443 -j ACCEPT iptables -A dmz -p TCP -d dport 80 -j ACCEPT iptables -A dmz -p TCP -d dport 443 -j ACCEPT echo " - odpowiedzi z serwera 80,443" iptables -A ruch_z_dmz -p TCP -s sport 80 -j ACCEPT iptables -A ruch_z_dmz -p TCP -s sport 443 -j ACCEPT iptables -A dmz -p TCP -s sport 80 -j ACCEPT iptables -A dmz -p TCP -s sport 443 -j ACCEPT Przykład realizacji funkcji transparent PROXY na poziomie filtra pakietów współpracujcego z serwerem Squid. Realizacja odnosi si wyłcznie do ruchu http (port 80) echo "<<< Ruch [https]" echo " + komunikacja z serwerami w sieci Internet z podsieci" echo " - zapytania z podsieci [N,E,R]" iptables -A ruch_do_internet -p TCP --dport 443 -j ACCEPT echo " - zwrotne do podsieci [E,R]" iptables -A ruch_z_internet -p TCP --sport 443 -m state --state ESTABLISHED,RELATED -j ACCEPT Ruch Wychodzcy z zapory echo "<<< Przekieruj zadania na porcie 80 do Squid a" iptables -t nat -A PREROUTING -p TCP -d! m physdev --physdev-in eth1 --dport 80 -j DNAT --to :8080 echo "<<< Ruch [http]" echo " + Ruch z/do LAN - transparent Squid PROXY" echo " - Squid odpytuje siec Internet" iptables -A OUTPUT -p TCP --dport 80 -m physdev --physdev-out eth0 -j ACCEPT echo " - odpowiedzi zwrotne od Squid do LAN" iptables -A OUTPUT -p TCP --sport m physdev --physdev-out eth1 -m state state ESTABLISHED,RELATED -j ACCEPT Zawarto nagłówka HTTP wysyłanego przez przegldark z podsieci (dane odebrane przez przykładowy serwer Ale Ruch przychodzcy do zapory echo "- Dopusc zapytania z LAN do Squida" iptables -A INPUT -p TCP -m physdev --physdev-in eth1 --dport j ACCEPT echo "- Dopusc odpowiedzi zwrotne z Internet do Squida [E,R] iptables -A INPUT -p TCP -m physdev --physdev-in eth0 --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT TTL=64 (63) 26 27
8 Podsumowanie Pytania? Iptables / Ebtables pozwalaj filtrowa ruch na poziomie dwóch warstw modelu ISO/OSI warstwy 2 (data link) i warstwy 3 (network). Pierwotnie oba projekty były rozłczne. Dzi odpowiadajcy im kod jest standardowo implementowany jako cz jder systemu Linux (wersje 2.6) Składnia tworzenia reguł oraz sama budowa filtrów jest bardzo zbliona. Budowa filtra pozwala na realizacj wybranych scenariuszy macierz ruchu Moliwo filtrowania stanowego detekcja stanu dla TCP i UDP (czas) Moliwo realizacji funkcji NAT: rozrónienie SNAT NAT ródłowy, oraz DNAT NAT docelowy Moliwo grupowania reguł tworzc relacje wzajemnych odwoła, łacuchy zagniedone Dzikuj za uwag! Dominik Derela dominder@wp.pl Silna dekompozycja problemów moliwo dostosowywania filtra do własnych potrzeb Potrzeba automatyzacji dua złoono reguł Biznes: wymaga powyszych oraz prostoty, szybkoci wprowadzania zmian, natychmiastowej gotowoci do pracy!!! 28
iptables/netfilter co to takiego?
iptables/netfilter co to takiego? Jądro Linuksa iptables netfilter Netfilter ogólny szkielet operacji na pakietach zaimplementowany w jądrze Linuksa (od 2.4.x) Iptables narzędzie do manipulacji regułami
Bardziej szczegółowoWykład 3 Filtracja i modyfikacja pakietów za pomocą iptables.
Wykład 3 Filtracja i modyfikacja pakietów za pomocą iptables. mechanizm trawersacji pakietów w jądrze Linux części składowe iptables: reguły, łańcuchy, tablice kryteria dopasowania (ang. matching) pakietu,
Bardziej szczegółowoWdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej
Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej Marcin Kłopocki /170277/ Przemysła Michalczyk /170279/ Bartosz Połaniecki /170127/ Tomasz Skibiński /170128/ Styk
Bardziej szczegółowoSieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska
Sieci komputerowe Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska Filtracja pakietów w Linuksie Sieci Komputerowe, T. Kobus, M. Kokociński 2 Sieci Komputerowe, T. Kobus, M.
Bardziej szczegółowoIptables. Krzysztof Rykaczewski. mozgun@mat.uni.torun.pl http://www.mat.uni.torun.pl/~mozgun/ 15/11/06 1
Iptables Krzysztof Rykaczewski mozgun@mat.uni.torun.pl http://www.mat.uni.torun.pl/~mozgun/ 15/11/06 1 Co to takiego filtr pakietów? Filtr pakietów to oprogramowanie, które sprawdza nagłówki (ang. header)
Bardziej szczegółowoHosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas)
Hosting WWW Bezpieczeństwo hostingu WWW Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Zabezpieczenia w sieciach komputerowych Firewall iptables Firewall jest to program lub urządzenie, które: Filtruje
Bardziej szczegółowoSieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska
Sieci komputerowe Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska Sieci Komputerowe, T. Kobus, M. Kokociński 2 Filtracja pakietów w Linuksie Netfilter część jądra systemu
Bardziej szczegółowoIptables informacje ogólne
Iptables informacje ogólne Położenie: (nie dotyczy) 3bird Projects 2018, http://edukacja.3bird.pl Ogólnie Logiczna kolejność wprowadzania regułek: 1. Najpierw wprowadzamy to, na co pozwalamy. 2. Na końcu
Bardziej szczegółowoeth /30 eth1 eth /30 eth /30 Serwer IPERF
10.0.0.1/29 10.0.1.1/30 10.0.1.2/30 10.0.1.2/30 10.0.1.1/30 10.0.0.1/29 10.0.2.1/30 10.0.2.1/30 10.0.0.2/29 10.0.0.2/29 Klienty Klienty 10.0.0.3/29 10.0.0.3/29 Klienty 10.0.0.2/30 10.0.0.1/30 Powolne polaczenie
Bardziej szczegółowoRouter programowy z firewallem oparty o iptables
Projektowanie Bezpieczeństwa Sieci Router programowy z firewallem oparty o iptables Celem ćwiczenia jest stworzenie kompletnego routera (bramki internetowej), opartej na iptables. Bramka umożliwiać ma
Bardziej szczegółowoFirewalle do zastosowań domowych
firewalla dla domu PLD Linux Distribution czarny@pld-linux.org Lab. Sieci Komputerowe II, 2007 Outline Klasyfikacja firewalli firewalla dla domu 1 Klasyfikacja firewalli 2 firewalla dla domu Outline Klasyfikacja
Bardziej szczegółowoNa podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP
FILTROWANIE IP mechanizm decydujący, które typy datagramów IP mają być odebrane, które odrzucone. Odrzucenie oznacza usunięcie, zignorowanie datagramów, tak jakby nie zostały w ogóle odebrane. funkcja
Bardziej szczegółowoSystemy programowych zapór sieciowych (iptables)
Systemy programowych zapór sieciowych (iptables) 1. Wprowadzenie Programowe zapory sieciowe (ang. firewall) wykorzystywane mogą być do przeróżnych celów w zależności od złożoności takiej zapory programowej.
Bardziej szczegółowoSieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska
Sieci komputerowe Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska Translacja adresów w Linuksie Sieci Komputerowe, T. Kobus, M. Kokociński 2 Network Address Translation (NAT)
Bardziej szczegółowoTeletransmisja i sieci komputerowe 2
ZAKŁAD SYSTEMÓW KOMPUTEROWYCH Teletransmisja i sieci komputerowe 2 LABORATORIUM Tomasz Orczyk Bielsko-Biała 2012 Zajęcia 1 Konfiguracja wirtualnej maszyny z systemem Debian GNU Linux Lorem ipsum 1 Zajęcia
Bardziej szczegółowoZarządzanie bezpieczeństwem w sieciach
Zarządzanie bezpieczeństwem w sieciach mgr inż. Rafał Jachowicz, Instytut Informatyki Stosowanej PŁ Instrukcję opracowano na podstawie materiałów mgra inż. Łukasza Jopka Router programowy z firewallem
Bardziej szczegółowoInstalacja i konfiguracja pakietu iptables
Instalacja i konfiguracja pakietu iptables Tomasz Nowocień Zespół Bezpieczeństwa PCSS security@man.poznan.pl 1 Zawartość Czyli o czym to będzie... Podstawy wiedzy... Co to jest iptables? Skąd się bierze
Bardziej szczegółowoZapory sieciowe i techniki filtrowania danych
Zapory sieciowe i techniki filtrowania danych Robert Jaroszuk Where you see a feature, I see a flaw... Zimowisko TLUG Harcerski Ośrodek Morski w Pucku, styczeń 2008 Spis Treści 1 Wprowadzenie
Bardziej szczegółowoiptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward
Zarządzanie bezpieczeństwem w sieciach Router programowy z firewallem oparty o iptables Celem ćwiczenia jest stworzenie kompletnego routera (bramki internetowej), opartej na iptables. Bramka umożliwiać
Bardziej szczegółowoLinux. iptables, nmap, DMZ
Strona1 Linux iptables, nmap, DMZ Strona2 Spis treści. Spis treści.... 2 iptables wprowadzenie.... 3 Tabele iptables wraz z łaocuchami, oraz najczęściej definiowanymi akcjami.... 3 iptables droga pakietu...
Bardziej szczegółowoSieci Komputerowe Translacja adresów sieciowych
1. Wstęp teoretyczny Sieci Komputerowe Translacja adresów sieciowych Network Address Translation (NAT) - technika translacji adresów sieciowych. Wraz ze wzrostem ilości komputerów w Internecie, pojawiła
Bardziej szczegółowoTomasz Greszata - Koszalin
T: Udostępnianie połączenia sieciowego w systemie Linux (NAT). Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation). Istnieje możliwość użycia Source
Bardziej szczegółowoZadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej (firewall) oraz oprogramowania iptables.
T: Konfiguracja zapory sieciowej (firewall) w systemie Linux. Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej (firewall) oraz oprogramowania iptables. Zapora sieciowa
Bardziej szczegółowopraktyczne zastosowania mechanizmów QoS, Linuxowe HTB paweł kudzia
praktyczne zastosowania mechanizmów QoS, Linuxowe HTB paweł kudzia QoS czyli.. racjonalne wykorzystanie dostpnego zasobu poprzez wyrónienie klas ruchu traktowanych w róny sposób. dostosowanie przepływnoci
Bardziej szczegółowoKonfiguracja zapory sieciowej na routerze MikroTik
Konfiguracja zapory sieciowej na routerze MikroTik Wstęp Aby zacząć konfigurację firewalla na routerze MikroTik, należy przede wszystkim zapoznać się z możliwościami, jakie oferuje to urządzenie. W dużym
Bardziej szczegółowoPakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe
Pakiet Iptables Mgr inż. Łukasz Jopek Katedra Informatyki Stosowanej Politechniki Łódzkiej ljopek@kis.p.lodz.pl Filtrowanie pakietów i filtrowanie stanowe Filtrowanie pakietów oraz filtrowania stanowe
Bardziej szczegółowoSieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych
Sieci komputerowe Zajęcia 4 Bezpieczeństwo w sieciach komputerowych Translacja adresów (NAT) NAT (ang. Network Address Translation) umożliwia używanie adresów nierutowalnych (niepublicznych) Polega na
Bardziej szczegółowoWarsztaty z Sieci komputerowych Lista 8
Warsztaty z Sieci komputerowych Lista 8 Na dzisiejszej pracowni wszystkie komputery są podłączone interfejsami enp3s0 do przełącznika, zaś interfejsy enp1s0 spinają parami sąsiednie komputery. Do konfiguracji
Bardziej szczegółowoZarządzanie ruchem w sieci małego ISP Michał Prokopiuk
Zarządzanie ruchem w sieci małego ISP Michał Prokopiuk Trochę informacji - Sloneczko.net to lokalny ISP - działa w Krakowie na Starym Mieście i Kazimierzu - Ilość użytkowników dobiega do 1000 - ruch dobija
Bardziej szczegółowoCo to jest iptables?
Co to jest iptables? program obsługiwany z linii komend służący do konfiguracji jądra serii 2.4 oraz 2.6 pod kątem filtrowania pakietów przeznaczony do administratorów systemu ponieważ NAT (Network Adress
Bardziej szczegółowoPakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe
Pakiet Iptables mgr inż. Rafał Jachowicz Instytut Informatyki Stosowanej Politechniki Łódzkiej rjachowicz@kis.p.lodz.pl opracowane na podstawie materiałów mgr inż. Łukasza Jopka (ljopek.kis.p.lodz.pl)
Bardziej szczegółowoTomasz Greszata - Koszalin
T: Firewall zapora sieciowa. Zadania oprogramowania rewall: ltrowanie i analiza pakietów jeśli otrzymam taki pakiet, to, blokowanie protokołów lub zawartości, autoryzacja użytkowników i szyfrowanie połączeń
Bardziej szczegółowoZadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej.
T: Konfiguracja firewalla. Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej. Zapora sieciowa (firewall) służy do zabezpieczania sieci i systemów przed nieuprawnionym
Bardziej szczegółowoZarządzanie bezpieczeństwem w sieciach dr inż. Robert Banasiak, mgr inż. Rafał Jachowicz, Instytut Informatyki Stosowanej PŁ, 2013
Zarządzanie bezpieczeństwem w sieciach dr inż. Robert Banasiak, mgr inż. Rafał Jachowicz, Instytut Informatyki Stosowanej PŁ, 2013 Temat: Proste aplikacje IDS oraz monitory sieci Celem ćwiczenia jest poznanie
Bardziej szczegółowoCONFidence 13/05/2006. Jarosław Sajko, PCSS Jaroslaw.sajko@man.poznan.pl
IPTables Hacking CONFidence 13/05/2006 Jarosław Sajko, PCSS Jaroslaw.sajko@man.poznan.pl 1 Zamiast planu 2 ZB PCSS Praca operacyjna w ramach ogólnopolskiej szerokopasmowej sieci PIONIER oraz zasobów Centrum
Bardziej szczegółowoWarsztaty z Sieci komputerowych Lista 9
Warsztaty z Sieci komputerowych Lista 9 1 Uwagi ogólne Pracę rozpocznij poleceniem netmode lab, a następnie skonfiguruj interfejs eth0 za pomocą protokołu DHCP (dhclient eth0). Sprawdź, że otrzymany adres
Bardziej szczegółowoZarządzanie Jakością Usług w Sieciach Teleinformatycznych
Zarządzanie Jakością Usług w Sieciach Teleinformatycznych do sieci R. Krzeszewski 1 R. Wojciechowski 1 Ł. Sturgulewski 1 A. Sierszeń 1 1 Instytut Informatyki Stosowanej Politechniki Łódzkiej http://www.kis.p.lodz.pl
Bardziej szczegółowoAdresy w sieciach komputerowych
Adresy w sieciach komputerowych 1. Siedmio warstwowy model ISO-OSI (ang. Open System Interconnection Reference Model) 7. Warstwa aplikacji 6. Warstwa prezentacji 5. Warstwa sesji 4. Warstwa transportowa
Bardziej szczegółowoKształtowanie ruch w sieciach Linux
Kształtowanie ruch w sieciach Lux 1. Wprowadzenie Wymagania wstępne: wykonanie ćwiczenia Statyczny wybór trasy w systemie Lux. Potrzeba sterowania ruchem w sieciach komputerowych wynika głównie z faktu,
Bardziej szczegółowoSieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet
Sieci Komputerowe Wykład 1: TCP/IP i adresowanie w sieci Internet prof. nzw dr hab. inż. Adam Kisiel kisiel@if.pw.edu.pl Pokój 114 lub 117d 1 Kilka ważnych dat 1966: Projekt ARPANET finansowany przez DOD
Bardziej szczegółowoSieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska
Sieci komputerowe Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska Routing statyczny w Linuksie Sieci Komputerowe, T. Kobus, M. Kokociński 2 Sieci Komputerowe, T. Kobus, M.
Bardziej szczegółowoNajprostsza odpowiedź, jaka przychodzi mi do głowy to, z powodu bezpieczeństwa.
Ten artykuł, ma pomóc w zrozumieniu podstaw działania filtra pakietów iptables. Podstawowa konfiguracja firewalla, na przykładzie iptables w systemie Linux. Ludzie często sądzą, że firewall zapewnia pełną
Bardziej szczegółowoZarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący
Zarządzanie w sieci Protokół Internet Control Message Protocol Protokół sterujący informacje o błędach np. przeznaczenie nieosiągalne, informacje sterujące np. przekierunkowanie, informacje pomocnicze
Bardziej szczegółowo1. Zapora sieciowa stateless. Nie śledzi nawiązanych połączeń? Jest wrażliwa na spoofing?
1. Zapora sieciowa stateless. Nie śledzi nawiązanych połączeń? Jest wrażliwa na spoofing? 2. Przesłanie 100Mb danych pobranych z pamięci RAM komputera siecią Ethernet 100Base- Tx trwa: a) dokładnie 0 sekund
Bardziej szczegółowoKlasy adresów IP. Model ISO - OSI. Subnetting. OSI packet encapsulation. w.aplikacji w.prezentacji w.sesji w.transportowa w.
w.aplikacji w.prezentacji w.sesji w.transportowa w.sieciowa w.łącza w.fizyczna Model ISO - OSI Telnet SMTP FTP DNS NFS XDR RPC TCP UDP IP Ethernet IEEE 802.3 X.25 SLIP PPP A B C D E 0 0.0.0.0 10 128.0.0.0
Bardziej szczegółowoProblem kolejkowania dostępu czyli zarządzanie przepustowością sieci
Problem kolejkowania dostępu czyli zarządzanie przepustowością sieci Piotr Misiuda 4FD L08 Wstęp Chciałbym aby mój projekt nie był czystym teoretycznym rozważaniem na temat jak to działa, a po co, a dlaczego.
Bardziej szczegółowoWarstwa sieciowa. Model OSI Model TCP/IP. Aplikacji. Aplikacji. Prezentacji. Sesji. Transportowa. Transportowa
Warstwa sieciowa Model OSI Model TCP/IP Aplikacji Prezentacji Aplikacji podjęcie decyzji o trasowaniu (rutingu) na podstawie znanej, lokalnej topologii sieci ; - podział danych na pakiety Sesji Transportowa
Bardziej szczegółowoDR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ
DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ INTERNET PROTOCOL (IP) INTERNET CONTROL MESSAGE PROTOCOL (ICMP) WSTĘP DO SIECI INTERNET Kraków, dn. 7 listopada 2016 r. PLAN IPv4: schemat nagłówka ICMP: informacje
Bardziej szczegółowo7. Konfiguracja zapory (firewall)
7. Konfiguracja zapory (firewall) Konfiguracja firewalla w rozwiązaniach NETASQ podzielona jest na dwie części. Pierwszą z nich są reguły domyślne a drugą polityki konfigurowane przez administratora. W
Bardziej szczegółowoDHCP + udostępnienie Internetu
Str. 1 Ćwiczenie 5 DHCP + udostępnienie Internetu Cel ćwiczenia: sieci LAN. Zapoznanie się z instalacją i konfiguracją serwera DHCP. Udostępnienie Internetu Przed przystąpieniem do ćwiczenia uczeń powinien
Bardziej szczegółowoWykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych
Wykład 2: Budowanie sieci lokalnych 1 Budowanie sieci lokalnych Technologie istotne z punktu widzenia konfiguracji i testowania poprawnego działania sieci lokalnej: Protokół ICMP i narzędzia go wykorzystujące
Bardziej szczegółowoZadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).
T: Udostępnianie połączenia sieciowego w systemie Windows (NAT). Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation). NAT (skr. od ang. Network
Bardziej szczegółowoProgramowanie sieciowe
Programowanie sieciowe Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2014/2015 Michał Cieśla pok. D-2-47, email: michal.ciesla@uj.edu.pl konsultacje: środy 10-12 http://users.uj.edu.pl/~ciesla/
Bardziej szczegółowoARP Address Resolution Protocol (RFC 826)
1 ARP Address Resolution Protocol (RFC 826) aby wysyłać dane tak po sieci lokalnej, jak i pomiędzy różnymi sieciami lokalnymi konieczny jest komplet czterech adresów: adres IP nadawcy i odbiorcy oraz adres
Bardziej szczegółowoMASKI SIECIOWE W IPv4
MASKI SIECIOWE W IPv4 Maska podsieci wykorzystuje ten sam format i sposób reprezentacji jak adresy IP. Różnica polega na tym, że maska podsieci posiada bity ustawione na 1 dla części określającej adres
Bardziej szczegółowoSieci komputerowe. Wykład 11: Podstawy bezpieczeństwa sieci. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski
Sieci komputerowe Wykład 11: Podstawy bezpieczeństwa sieci Marcin Bieńkowski Instytut Informatyki Uniwersytet Wrocławski Sieci komputerowe (II UWr) Wykład 11 1 / 35 Czyli krótki przeglad niektórych problemów
Bardziej szczegółowoBezpieczeństwo Systemów Telekomunikacyjnych 2014 / 2015 Bezpieczeństwo aplikacji sieciowych, Ataki (D)DoS Prowadzący: Jarosław Białas
Wprowadzenie Celem tego laboratorium jest zapoznanie się z metodami ataku (D)DoS zarówno od strony atakującej jak i atakowanej. Uczestnicy laboratorium będą mieli za zadanie zbudowanie platformy testowej
Bardziej szczegółowoOkreślanie konfiguracji TCP/IP
Określanie konfiguracji TCP/IP Marek Kozłowski Wydział Matematyki i Nauk Informacyjnych Politechnika Warszawska Warszawa, 2014/2015 Internet Control Message Protocol Protokół IP nie jest wyposażony w żadne
Bardziej szczegółowoKlonowanie MAC adresu oraz TTL
1. Co to jest MAC adres? Klonowanie MAC adresu oraz TTL Adres MAC (Media Access Control) to unikalny adres (numer seryjny) kadego urzdzenia sieciowego (jak np. karta sieciowa). Kady MAC adres ma długo
Bardziej szczegółowoOgraniczanie pasma internetowego za pomocą IMQ i 7Layer
Ograniczanie pasma internetowego za pomocą IMQ i 7Layer Łukasz Antoniak L.Antoniak@stud.elka.pw.edu.pl www.antoniak.glt.pl 03 sierpnia 2007 Streszczenie Odwiecznym problemem wszystkich dzielących łącze
Bardziej szczegółowoBezpieczeństwo w M875
Bezpieczeństwo w M875 1. Reguły zapory sieciowej Funkcje bezpieczeństwa modułu M875 zawierają Stateful Firewall. Jest to metoda filtrowania i sprawdzania pakietów, która polega na analizie nagłówków pakietów
Bardziej szczegółowoMODEL WARSTWOWY PROTOKOŁY TCP/IP
MODEL WARSTWOWY PROTOKOŁY TCP/IP TCP/IP (ang. Transmission Control Protocol/Internet Protocol) protokół kontroli transmisji. Pakiet najbardziej rozpowszechnionych protokołów komunikacyjnych współczesnych
Bardziej szczegółowoMODEL OSI A INTERNET
MODEL OSI A INTERNET W Internecie przyjęto bardziej uproszczony model sieci. W modelu tym nacisk kładzie się na warstwy sieciową i transportową. Pozostałe warstwy łączone są w dwie warstwy - warstwę dostępu
Bardziej szczegółowoDlaczego? Mało adresów IPv4. Wprowadzenie ulepszeń względem IPv4 NAT CIDR
IPv6 Dlaczego? Mało adresów IPv4 NAT CIDR Wprowadzenie ulepszeń względem IPv4 Większa pula adresów Lepszy routing Autokonfiguracja Bezpieczeństwo Lepsza organizacja nagłówków Przywrócenie end-to-end connectivity
Bardziej szczegółowoInstalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia
Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia 1) Uruchomienie str. 2 2) Konfiguracja NEOSTRADA str. 3 3) Konfiguracja NET24 str. 4 4) Konfiguracja sieć LAN str. 5 5) Przekierowanie portów
Bardziej szczegółowoT: Konfiguracja interfejsu sieciowego. Odwzorowanie nazwy na adres.
T: Konfiguracja interfejsu sieciowego. Odwzorowanie nazwy na adres. Podczas wykonywania poniższych zadań w zeszycie w sprawozdaniu 1. podaj i wyjaśnij polecenia, które użyjesz, aby: wyświetlić informacje
Bardziej szczegółowoProtokoły sieciowe - TCP/IP
Protokoły sieciowe Protokoły sieciowe - TCP/IP TCP/IP TCP/IP (Transmission Control Protocol / Internet Protocol) działa na sprzęcie rożnych producentów może współpracować z rożnymi protokołami warstwy
Bardziej szczegółowoDR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ
DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ PROTOKOŁY TCP I UDP WSTĘP DO SIECI INTERNET Kraków, dn. 12 grudnia 2016 r. PLAN TCP: cechy protokołu schemat nagłówka znane numery portów UDP: cechy protokołu
Bardziej szczegółowoZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1
ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Charakterystyka urządzeń sieciowych:
Bardziej szczegółowoSieci komputerowe - administracja
Sieci komputerowe - administracja warstwa sieciowa Andrzej Stroiński andrzej.stroinski@cs.put.edu.pl http://www.cs.put.poznan.pl/astroinski/ warstwa sieciowa 2 zapewnia adresowanie w sieci ustala trasę
Bardziej szczegółowoLABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)
Wydział Elektroniki i Telekomunikacji POLITECHNIKA POZNAŃSKA fax: (+48 61) 665 25 72 ul. Piotrowo 3a, 60-965 Poznań tel: (+48 61) 665 22 93 LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl) Sieci
Bardziej szczegółowoInternet Control Message Protocol (ICMP) Łukasz Trzciałkowski
Internet Control Message Protocol (ICMP) Łukasz Trzciałkowski Czym jest ICMP? Protokół ICMP jest protokołem działającym w warstwie sieciowej i stanowi integralną część protokołu internetowego IP, a raczej
Bardziej szczegółowoSYSTEMY OPERACYJNE I SIECI KOMPUTEROWE. Opracowany na podstawie http://dug.net.pl/tekst/31/udostepnienie_polaczenia_internetowego_%28masq%29/
Opracowany na podstawie http://dug.net.pl/tekst/31/udostepnienie_polaczenia_internetowego_%28masq%29/ Typy przykład udostępnienia sieci Gdzie na schemacie oznaczono: eth0 interfejs wyjścia na świat eth1
Bardziej szczegółowoDR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ ADRESACJA W SIECIACH IP. WSTĘP DO SIECI INTERNET Kraków, dn. 24 października 2016r.
DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ ADRESACJA W SIECIACH IP WSTĘP DO SIECI INTERNET Kraków, dn. 24 października 2016r. PLAN Reprezentacja liczb w systemach cyfrowych Protokół IPv4 Adresacja w sieciach
Bardziej szczegółowoPodstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN
Podstawy Transmisji Danych Wykład IV Protokół IPV4 Sieci WAN to połączenia pomiędzy sieciami LAN 1 IPv4/IPv6 TCP (Transmission Control Protocol) IP (Internet Protocol) ICMP (Internet Control Message Protocol)
Bardziej szczegółowoZiMSK NAT, PAT, ACL 1
ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl NAT, PAT, ACL 1 Wykład Translacja
Bardziej szczegółowoSieci komputerowe - Wstęp do intersieci, protokół IPv4
Piotr Kowalski KAiTI Internet a internet - Wstęp do intersieci, protokół IPv Plan wykładu Informacje ogólne 1. Ogólne informacje na temat sieci Internet i protokołu IP (ang. Internet Protocol) w wersji.
Bardziej szczegółowoSystemy operacyjne i sieci komputerowe Szymon Wilk Adresowanie w sieciach Klasy adresów IP a) klasa A
i sieci komputerowe Szymon Wilk Adresowanie w sieciach 1 1. Klasy adresów IP a) klasa A sieć host 0 mało sieci (1 oktet), dużo hostów (3 oktety) pierwszy bit równy 0 zakres adresów dla komputerów 1.0.0.0-127.255.255.255
Bardziej szczegółowoOchrona sieci lokalnej za pomocą zapory sieciowej
BIULETYN INSTYTUTU AUTOMATYKI I ROBOTYKI WAT NR 14, 2000 Ochrona sieci lokalnej za pomocą zapory sieciowej Zbigniew SUSKI 1, Piotr KOŁODZIEJCZYK 2 STRESZCZENIE: W dobie wzrastającego zagrożenia systemów
Bardziej szczegółowoBEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)
Routery BEFSR11 / 41 WAN (Internet): 1xRJ-45 FE 10/100 LAN: przełącznik FE 1 / 4xRJ-45 (AutoMDI / MDI-X) Rodzaje połączenia WAN: Obtain IP address automatically - klient serwera DHCP Static IP - adres
Bardziej szczegółowoSIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK
MODUŁ: SIECI KOMPUTEROWE Dariusz CHAŁADYNIAK Józef WACNIK NIE ARACHNOFOBII!!! Sieci i komputerowe są wszędzie WSZECHNICA PORANNA Wykład 1. Podstawy budowy i działania sieci komputerowych WYKŁAD: Role
Bardziej szczegółowoZestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak
Protokół TCP/IP Protokół TCP/IP (Transmission Control Protokol/Internet Protokol) to zestaw trzech protokołów: IP (Internet Protokol), TCP (Transmission Control Protokol), UDP (Universal Datagram Protokol).
Bardziej szczegółowo1 2004 BRINET Sp. z o. o.
W niektórych routerach Vigor (np. serie 2900/2900V) interfejs WAN występuje w postaci portu Ethernet ze standardowym gniazdem RJ-45. Router 2900 potrafi obsługiwać ruch o natężeniu kilkudziesięciu Mbit/s,
Bardziej szczegółowoFiltrowanie stateful inspection w Linuksie i BSD
Filtrowanie stateful inspection w Linuksie i BSD Paweł Krawczyk 6 lipca 2001 Spis treści 1 Wstęp 3 2 Filtry pakietowe 3 3 Filtry stateful inspection 4 4 Filtry w systemach operacyjnych 4 4.1 Linux...............................
Bardziej szczegółowoStrona1. Suse LINUX. Konfiguracja sieci
Strona1 Suse LINUX Konfiguracja sieci Strona2 Spis treści Konfiguracja sieci - uwagi wstępne.... 3 Prezentacja interfejsów sieciowych w systemie Linux.... 3 Konfiguracja IP w programie Yast... 3 Pliki
Bardziej szczegółowoFirewall bez adresu IP
Firewall bez adresu IP Jak to zrobić Janusz Janiszewski Janusz.Janiszewski@nask.pl Agenda Wstęp Jak to działa? FreeBSD Kiedy stosować? Wady i zalety Inne rozwiązania Pytania? Typy firewalli Filtry pakietów
Bardziej szczegółowoLinux -- u mnie działa!
Linux -- u mnie działa! Domowy serwer II Karol 'KarolGT' Antosik karolgt@karolgt.one.pl Stanisław 'Grung' Kulczycki grung@kce.one.pl Apache Apache najpopularniejszy serwer http ~62% z całości rynku budowa
Bardziej szczegółowoSystem operacyjny Linux
Paweł Rajba pawel.rajba@continet.pl http://kursy24.eu/ Zawartość modułu 11 Konfiguracja sieci Nazewnictwo i uruchamianie Polecenie ifconfig Aliasy Pliki konfiguracyjne Narzędzia sieciowe ping, traceroute
Bardziej szczegółowoKurs Ethernet przemysłowy konfiguracja i diagnostyka. Spis treści. Dzień 1
I Wprowadzenie (wersja 1307) Kurs Ethernet przemysłowy konfiguracja i diagnostyka Spis treści Dzień 1 I-3 Dlaczego Ethernet w systemach sterowania? I-4 Wymagania I-5 Standardy komunikacyjne I-6 Nowe zadania
Bardziej szczegółowoKatedra Inżynierii Komputerowej Politechnika Częstochowska. Filtry i statystyki w analizatorach protokołów Laboratorium Podstaw sieci komputerowych
Katedra Inżynierii Komputerowej Politechnika Częstochowska Filtry i statystyki w analizatorach protokołów Laboratorium Podstaw sieci komputerowych Cel ćwiczenia Celem dwiczenia jest zapoznanie się z wybranymi
Bardziej szczegółowoRuter - Linux 2.4. wersja dokumentu 0.9. Dubas Bartłomiej (dubcio@hoga.pl) FIREWALL, KONTROLA PRZEPŁ YWU, ZLICZANIE RUCHU
Ruter - Linux 2.4 FIREWALL, KONTROLA PRZEPŁ YWU, ZLICZANIE RUCHU wersja dokumentu 0.9 Dubas Bartłomiej (dubcio@hoga.pl) AGH Kraków - Informatyka IV Administracja Systemami Komputerowymi 2002 O PRAWACH
Bardziej szczegółowo4. Podstawowa konfiguracja
4. Podstawowa konfiguracja Po pierwszym zalogowaniu się do urządzenia należy zweryfikować poprawność licencji. Można to zrobić na jednym z widżetów panelu kontrolnego. Wstępną konfigurację można podzielić
Bardziej szczegółowoSieci komputerowe. Zajęcia 3 c.d. Warstwa transportu, protokoły UDP, ICMP
Sieci komputerowe Zajęcia 3 c.d. Warstwa transportu, protokoły UDP, ICMP Zadania warstwy transportu Zapewnienie niezawodności Dostarczanie danych do odpowiedniej aplikacji w warstwie aplikacji (multipleksacja)
Bardziej szczegółowoZadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat usługi DHCP.
T: Konfiguracja usługi DHCP w systemie Linux. Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat usługi DHCP. DHCP (ang. Dynamic Host Configuration Protocol) protokół komunikacyjny
Bardziej szczegółowo* konfiguracja routera Asmax V.1501 lub V.1502T do połączenia z Polpakiem-T lub inną siecią typu Frame Relay
* konfiguracja routera Asmax V.1501 lub V.1502T do połączenia z Polpakiem-T lub inną siecią typu Frame Relay Połączenie poprzez konsolę (użyj dowolnego edytora konsoli, np. HyperTerminal): 9600,8,N,1,
Bardziej szczegółowoInstrukcje dotyczące funkcji zarządzania pasmem w urządzeniach serii ZyWALL.
Instrukcje dotyczące funkcji zarządzania pasmem w urządzeniach serii ZyWALL. Niniejsza instrukcja zawiera wskazówki dotyczące konfiguracji funkcji BW MGMT dostępnej w urządzeniach serii ZyWALL. Dość często
Bardziej szczegółowoSieci komputerowe. Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008. Michał Cieśla
Sieci komputerowe Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008 Michał Cieśla pok. 440a, email: ciesla@if.uj.edu.pl konsultacje: wtorki 10-12 http://users.uj.edu.pl/~ciesla/
Bardziej szczegółowoSieci komputerowe. Wykład 3: Protokół IP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski. Sieci komputerowe (II UWr) Wykład 3 1 / 24
Sieci komputerowe Wykład 3: Protokół IP Marcin Bieńkowski Instytut Informatyki Uniwersytet Wrocławski Sieci komputerowe (II UWr) Wykład 3 1 / 24 Przypomnienie W poprzednim odcinku Podstawy warstwy pierwszej
Bardziej szczegółowoBazy Danych i Usługi Sieciowe
Bazy Danych i Usługi Sieciowe Sieci komputerowe Paweł Daniluk Wydział Fizyki Jesień 2012 P. Daniluk (Wydział Fizyki) BDiUS w. VI Jesień 2012 1 / 24 Historia 1 Komputery mainframe P. Daniluk (Wydział Fizyki)
Bardziej szczegółowoKtórą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?
Zadanie 1. Rysunek przedstawia topologię A. magistrali. B. pierścienia. C. pełnej siatki. D. rozszerzonej gwiazdy. Zadanie 2. W architekturze sieci lokalnych typu klient serwer A. żaden z komputerów nie
Bardziej szczegółowo