Teletransmisja i sieci komputerowe 2

Wielkość: px
Rozpocząć pokaz od strony:

Download "Teletransmisja i sieci komputerowe 2"

Transkrypt

1 ZAKŁAD SYSTEMÓW KOMPUTEROWYCH Teletransmisja i sieci komputerowe 2 LABORATORIUM Tomasz Orczyk Bielsko-Biała 2012

2

3 Zajęcia 1 Konfiguracja wirtualnej maszyny z systemem Debian GNU Linux Lorem ipsum 1

4 Zajęcia 2 Wprowadzenie do IPTables Wprowadzenie Narzędzie IPTables stanowi interfejs użytkownika służący do konfigurowania filtra pakietów IPV4 wbudowanego w jądro systemu GNU/Linux. Moduł ten nosi nazwę netfilter. Konfiguracja Konfigurowanie filtracji polega na definiowaniu reguł, które tworzą łańcuchy, które z kolei zamknięte są w tabelach. Reguły przechowywane są w pamięci jądra, a do ich zapamiętywania i odtwarzania można wykorzystać skrypty iptables-save oraz iptables-restore. Każda reguła składa się z wzorca i akcji. Gdy pakiet poddawany jest analizie, najpierw dopasowywany jest do wzorca jeśli do niego pasuje, o dalszym losie wiadomości decyduje akcja reguły. Jeśli zaś dane w wiadomości nie pasują do wzorca danej reguły, pod uwagę brana jest kolejna reguła. Dla danego pakietu przeszukiwanie reguł trwa do momentu pierwszego dopasowania do wzorca lub (w przypadku braku dopasowania) do wyczerpania reguł. Reguły dzielą się na: reguły filtrujące, reguły translacji, reguły manipulacji. Wszystkie reguły tego samego typu zapamiętywane są w tablicach, istnieją trzy tablice wbudowane: filter nat mangle Analizowane pakiety IP dzielą się na następujące kategorie: pakiety dla których nasz host jest celem, pakiety których nasz host jest źródłem, pakiety dla których nasz host jest zarówno celem jak i źródłem, pakiety routowane. W zależności od rodzaju pakietu, jego przetwarzanie przebiega w kilku etapach. Na przykład dla pakietów routowanych etapy te w uproszczeniu wyglądają następująco: 1. pakiet dociera do interfejsu wejściowego, 2. zostaje wybrany dla niego właściwy interfejs wyjściowy, 3. pakiet opuszcza stację przez interfejs wyjściowy. 2

5 Na każdym etapie można stosować do pakietu różne typy reguł. Dlatego wewnątrz każdej tablicy reguły są dodatkowo grupowane ze względu na etap przetwarzania pakietu. Wobec tego różne tablice mogą zawierać grupy reguł związanych z tym samym etapem. Sekwencja reguł powstała przez połączenie tych grup nazywa się łańcuchem (ang. chain). Pakiet iptables zawiera pięć wbudowanych łańcuchów: INPUT (dla pakietów pierwszego rodzaju), OUTPUT (dla pakietów drugiego rodzaju), FORWARD (dla pakietów routowanych), PREROUTING, POSTROUTING. Dwa ostatnie łańcuchy zawarte są jedynie w tablicach nat i mangle. Składnia Ogólna postać reguły: iptables [ -t tablica ] komenda [wzorzec] [akcja] Komendy: -P łańcuch polityka - ustawienie domyślnej polityki dla łańcucha. Domyślna polityka stosowana jest dopiero wówczas, gdy pakiet nie pasuje do żadnej reguły łańcucha, -A łańcuch - dodanie reguły do określonego łańcucha, -I łańcuch [nr reguły] - wstawienie reguły do określonego łańcucha, jeśli zostanie podany nr reguły wtedy reguła zostanie wpisane w to miejsce zmieniając kolejność pozostałych, -L [łańcuch] - wyświetlenie wszystkich reguł łańcucha (lub wszystkich łańcuchów w danej tablicy); często używane z opcjami -n i -v, -F [łańcuch] - usunięcie wszystkich reguł łańcucha (lub ze wszystkich łańcuchów danej tablicy), -D łańcuch [nr reguły] - usunięcie konkretnej reguły w określonym łańcuchu, jeśli zostanie podany nr reguły wtedy zostanie usunięta reguła o tym numerze, -R łańcuch nr_reguły - zastąpienie reguły numer w określonym łańcuchu. -X [łańcuch] - usunięcie wszystkich pustych i niewbudowanych łańcuchów. Opcje wzorca: -s [!] ip[/netmask] - adres IP źródłowy (może być uogólniony do adresu sieci), -d [!] ip[/netmask] - adres IP docelowy (może być uogólniony do adresu sieci), -p [!] protokół - wybór protokołu: tcp, udp, icmp lub all (wszystkie protokoły stosu TCP/IP), -i [!] interfejs wejściowy -o [!] interfejs wyjściowy --sport [!] port:[port] - port źródłowy, --dport [!] port:[port] - port docelowy, -m moduł - załadowanie modułu rozszerzającego, dzięki temu można wykorzystać kolejne opcje danego modułu. 3

6 Najważniejsze akcje: -j ACCEPT - przepuszczenie dopasowanych pakietów, -j DROP - usunięcie dopasowanych pakietów, -j REJECT - odrzucenie dopasowanych pakietów, -j LOG - logowanie dopasowanych pakietów, bez usunięcia ich z łańcucha, -j RETURN - usunięcie pakietu z łańcucha, pozwalając jednocześnie, aby dalej był pakiet sprawdzany w kolejnych łańcuchach, -j SNAT - translacja adresów źródłowych, -j DNAT - translacja adresów docelowych, -j SAME - translacja adresów źródłowych i docelowych, -j REDIRECT - przekierowanie pakietów do lokalnego systemu, -j MASQUERADE - translacja adresów źródłowych na adres dynamicznie przyznawany na interfejsie. Opis modułów Poniższy spis nie wyczerpuje listy dostępnych modułów ani nie opisuje ich użycia, w zależności od wersji i dystrybucji systemu zestaw dostępnych modułów może być różny. Aby zapoznać się ze szczegółami dotyczącymi stosowania poszczególnych modułów można skorzystać z wbudowanej pomocy: iptables -m <moduł> -h Dotyczące IPSec: ah - dopasowują się do pola "spi" w nagłówku AH pakietu, esp - dopasowują się do pola "spi" w nagłówku ESP pakietu, policy - dopasowują się do "policy" pakietu. Dopasowujące się do nagłówka pakietu IP: dscp - dopasowuje się do 6 bitów DSCP znajdujących się w polu ToS, ecn - sprawdza bit ECN w nagłówku pakietu, ipv4options - sprawdza różne opcje nagłówka pakietu, np. source routing, record route, tcpmss - sprawdza pole MSS (Maximum Segment Size), tos - pole ToS (Type of Service), ttl - pole TTL (Time To Live). Nadzorujące połączenia (stanowość): state - umożliwia zidentyfikowanie istniejących połączeń oraz nowych, conntrack - rozszerza możliwości modułu state, helper - pozwala określić "pomocnika" do przekazywania połączenia, np. standardowym pomocnikiem jest moduł pozwalający przekazywać połączenia ftp-data w trybie aktywnym. Określające typ pakietu: icmp - dopasowuje się do pakietów typu ICMP, tcp - dotyczy pakietów typu TCP, 4

7 udp - dotyczy pakietów typu UDP, unclean - dotyczy pakietów zniszczonych i niepoprawnych. Określające limity: connlimit - umożliwia określenie maksymalnej liczby połączeń do konkretnego adresu IP z jednego adresu IP klienta, connrate - umożliwia określenie maksymalnego/minimalnego transferu, hashlimit - umożliwia określenie maksymalnego transferu do danej usługi/serwera. Znakowanie pakietów: mark - umożliwia znalezienie oznakowanego pakietu, connmark - umożliwia znalezienie każdego pakietu związanego z oznakowanym połączeniem. Ułatwiające tworzenie reguł: iprange - umożliwia wpisanie zakresu adresów IP, mac - umożliwia sprawdzenie adresu sprzętowego karty sieciowej MAC, multiport - umożliwia wpisanie zakresu portów, owner - dla lokalnych połączeń umożliwia określenie który użytkownik wysłał dany pakiet, pkttype - określa typ pakietu (unicast, multicast, broadcast) set - wykorzystanie stworzonych zbiorów adresów (polecenie ipset), time - określenie daty i/lub czasu, comment - umożliwia dopisanie komentarza do każdej reguły. Rozszerzone sprawdzanie pakietów: length - sprawdzające wielkość pakietu, string - dopasowujące się do zawartości pakietu w polu DATA, ipp2p - dopasowujące się do ruchu generowanego przez aplikacje typu P2P. Określające częstość: limit - określa jak często reguła będzie dopasowana, np. 3 razy na sekundę - 3/s, nth - określa co jaką liczbę pakietów będzie dopasowana reguła, np. co 5 pakiet, random - określa dopasowanie reguły do pakietu z zadanym prawdopodobieństwem, np. 50% pakietów. Monitorujące: recent - tworzy listy adresów wykorzystających łącze (przechodzących przez tą regułę), wyniki zapisywane są w katalogu /proc/net/ipt_recent/nazwa, account - zlicza ruch do określonych adresów, wyniki w katalogu /proc/net/ipt_account/nazwa, quota - określa quota'ę dla określonych pakietów. Inne: 5

8 condition - pozwala warunkować stosowanie reguły, poprzez plik w katalogu /proc/net/ipt_condition/nazwa osf - odczytuje pasywnie "odcisk palca" (fingerprint) konkretnego adresu IP i zapisuje w pliku /proc/sys/net/ipv4/osf psd - pozwala wykryć skanowanie portów TCP i UDP. Opis celów Cele określają co zostanie zrobione z danym pakietem, domyślnymi celami są akceptacja (ACCEPT) i odrzucenie (DROP) pakietu. Jednak twórcy zapory postanowili rozszerzyć listę dopuszczalnych celów, które również mogą być tworzone przez nas samych dla naszych potrzeb. Aby uzyskać bardziej szczegółowe informacje na temat konkretnego celu należy skorzystać z wbudowanej pomocy: iptables -j <cel> -h Zmiana adresów IP: BALANCE - podobne do DNAT, ale równomiernie rozkłada obciążenie na wiele adresów IP, DNAT - Destination NAT, MASQUERADE - ukrywanie źródłowych adresów IP, NETMAP - statyczna zamiana adresów całych podsieci, REDIRECT - przekierowanie ruchu na lokalny komputer, SAME - podobne do DNAT/SNAT, ale zawsze przydziela te same adresy IP konkretnym klientom, SNAT - Source NAT. Znakowanie pakietów: CONNMARK - znakuje połączenia, IPMARK - znakowanie pakietów na podstawie adresu IP, MARK - znakuje pakiety. Zmieniające nagłówek pakietu: DSCP - umożliwia zmianę 6 bitów DSCP pola ToS, ECN - umożliwia usunięcie bitu ECN, IPV4OPTSSTRIP - usunięcie wszystkich opcji IP z nagłówka pakietu, TCPMSS - ustawienie pola MSS, TOS - ustawienie pola ToS, TTL - ustawienie pola TTL. Śledzenie pakietów: NOTRACK - wyłącza śledzenie połączenia, TARPIT - przechwytuje połączenia i zawiesza je, w celu zabezpieczenie się przez skanowaniem typu Code Red i Nimda, TRACE - włącza śledzenie połączenia. Logowanie: LOG - logowanie pakietów, 6

9 ULOG - logowanie w przestrzeni użytkownika, Inne: REJECT - odrzuca pakiety wysyłając określony kod błędu do nadawcy, ROUTE - pozwala nadpisać wpisy tablicy tras, SET - dodaje/usuwa adresy z zakresów (polecenie ipset), XOR - pozwala zastosować proste zabezpieczenie danych pakietu, poprzez wykonanie funkcji XOR na danych i określonym haśle. Translacja adresów Technologia translacji adresów sieciowych (ang. Network Address Translation, w skrócie NAT) została po raz pierwszy zaproponowana przez firmę Cisco i w roku 1993 opisana w dokumencie RFC1631. Od końca lat 80-tych liczba komputerów dołączanych do sieci Internet wzrasta wykładniczo. To spowodowało, że przestrzeń adresów IP już w latach 90-tych się wyczerpywała. Zaobserwowano wówczas, że jeśli tempo zużycia przestrzeni IP się utrzyma, to w niedalekiej przyszłości (przewidywanej na lata ) zupełnie zabraknie publicznych adresów IP dla nowobudowanych sieci. Technologia NAT i leżące u jej podstaw nowe podejście do projektowania sieci IP, pozwoliły przedłużyć tę niedaleką przyszłość" co najmniej do dziś. Poniżej opisana została idea technologii NAT. Wiele dzisiejszych sieci IP nie opiera się już na publicznych adresach sieci, bo takich już brakuje. Zamiast tego stosowane są dla tych sieci adresy prywatne. Ponieważ adresy te nie są rejestrowane, może istnieć wiele sieci wykorzystujących tę samą pulę adresów prywatnych, a to czyni sieć Internet skalowalną. Ale z drugiej strony fakt, że adresy prywatne nie są unikalne, stwarza pewne ograniczenie. Otóż pakiety z takimi adresami nie mogą być przesyłane w Internecie, gdyż nie można określić dla nich trasy. I właśnie ten problem rozwiązuje technologia NAT. Dzięki niej do uzyskania łączności sieci prywatnej z Internetem wystarcza jeden adres publiczny IP - adres zewnętrznego interfejsu routera. Od strony Internetu cała sieć prywatna widziana jest pod tym jednym (lub kilkoma) adresem. Dalej opisano dwie główne odmiany NAT: translację adresów źródłowych SNAT (ang. Source NAT) i adresów docelowych DNAT (ang. Destination NAT). SNAT Translacja SNAT umożliwia komputerom w sieci prywatnej dostęp do Internetu, a dokładniej - do usług oferowanych przez różne serwery. Oznacza to, że pakiety, których źródłem są komputery sieci prywatnej, powinny docierać do tych serwerów, a odpowiedzi - wracać z powrotem. Proces translacji SNAT przebiega w dwóch krokach: gdy pakiet opuszcza sieć źródłową, router zamienia prywatny adres IP źródła na adres swojego publicznego interfejsu oraz numer portu źródłowego na inny, nie zajęty numer portu. Zapamiętuje tę zmianę w tablicy translacji w postaci odwzorowania oryginalny_adres_ip:oryginalny_port nowy_adres_ip:nowy_port. Dzięki zamianie adresu źródłowego na publiczny można dla pakietu z odpowiedzią jednoznacznie określić trasę. Nowy numer portu zaś pozwala dodatkowo rozróżniać poszczególne adresy prywatne, dzięki czemu z usług Internetu może jednocześnie korzystać wiele komputerów w sieci prywatnej. 7

10 gdy router otrzymuje pakiet-odpowiedź, publiczny adres docelowy (będący adresem źródłowym w poprzednim pakiecie) wraz z numerem portu docelowego są zamieniane z powrotem na oryginalne wartości zgodnie z zapamiętanym wcześniej odwzorowaniem. Dzięki temu odpowiedź dociera do właściwego procesu na właściwym komputerze. DNAT Translacja DNAT umożliwia komputerom z sieci publicznej dostęp do usług oferowanych przez serwery znajdujące się w sieci prywatnej. Oznacza to, że pakiety, których źródłem są komputery sieci publicznej, powinny docierać do tych serwerów, a odpowiedzi - wracać z powrotem. Usługi sieci prywatnej dostępne są dla sieci zewnętrznej pod publicznym adresem interfejsu routera. Translacja DNAT przebiega w dwóch krokach: gdy pakiet dociera do sieci prywatnej, jego adres IP docelowy jest ustawiony na publiczny adres zewnętrznego interfejsu routera; pod tym adresem bowiem usługa jest dostępna. Router zamienia ten adres na właściwy adres serwera w sieci lokalnej; w najprostszym przypadku numer portu docelowego nie ulega zmianie. gdy pakiet-odpowiedź wysłany z serwera w sieci lokalnej dociera do routera, z powrotem zamienia on prywatny adres źródłowy na adres publiczny swojego zewnętrznego interfejsu. Zbiory adresów IPSet Jest to narzędzie pozwalające użyć tablic (umiejscowionych w obszarze jądra) wypełnionych danymi z których można korzystać w regułach iptables. Narzędzie to nie jest standardowo dostępne w dystrybucji Debian/GNU Linux, a do działania, na chwilę obecną, wymaga zastosowania patcha na jądrze systemu i jego rekompilacji. Składnia ipset [ OPCJE ] POLECENIA [ OPCJE-POLECENIA ] POLECENIA := { create add del test destroy list save restore flush rename swap help version - } OPCJE := { -exist -output { plain save xml } -quiet -resolve - sorted } ipset create NAZWAZBIORU NAZWATYPU [ STWÓRZ-OPCJE ] ipset add NAZWAZBIORU DODAJ-WPIS [DODAJ-OPCJE ] ipset del NAZWAZBIORU USUŃ-WPIS [USUŃ-OPCJE ] ipset test NAZWAZBIORU SPRAWDŹ-WPIS [SPRAWDŹ-OPCJE ] ipset destroy [ NAZWAZBIORU ] ipset list [ NAZWAZBIORU ] ipset save [ NAZWAZBIORU ] ipset restore ipset flush [ NAZWAZBIORU ] ipset rename NAZWAZBIORU-Z NAZWAZBIORU-NA ipset swap NAZWAZBIORU-Z NAZWAZBIORU-NA ipset help [ NAZWATYPU ] 8

11 ipset version Typy struktur i tablic w IPSet. ipmap przechowuje adresy IP (max 65535), tworząc podajemy klasę lub przedział adresów macimap przechowuje adresy IP + adresy MAC tworzymy tak jak ipmap portmap przechowujemy w niej porty bądź zestawy portów iphash przechowuje adresy IP, ale w odróżnieniu od ipmap jest to dynamiczna tablica hashowana nethash hash zawierający maski sieci (CIDR) ipporthash hash dla pary : adres IP + port ipportiphash hash dla tripletu: adres IP + port + adres IP ipportnethash hash dla tripletu: adres IP + port + maska sieci (CIDR) iptree drzewo adresów IP (opcjonalnie możemy podać czas przechowywania wpisu w drzewie) iptreemap podobnie do iptree używa drzew do przechowywania jednak ostatni oktet adresu zapisany jest za pomocą mapy bitowej setlist lista w której trzymamy inne zestawy Zbiory IPSet mogą być używane w IPTables do opisu wzorców (set) oraz celów (SET), w pierwszym przypadku możliwe jest ich użycie zarówno jako źródła jak i celu, w zależności od przełącznika (src, dst) np.: iptables -A INPUT -m set --set blacklist src -j DROP 9

12 Zajęcia 3 Konfiguracja zapory sieciowej w oparciu o IPTables Wprowadzenie Programowe zapory sieciowe (ang. firewall) wykorzystywane mogą być do różnych celów w zależności od ich złożoności. Zapora sieciowa ma za zadanie filtrować ruch przychodzący, wychodzący oraz przechodzący przez dane urządzenie sieciowe (na przykład komputera). Dzięki filtrowaniu ruchu możemy poprawić bezpieczeństwo sieciowe urządzenia, należy jednak pamiętać, iż nigdy nie zapewnimy całkowitego bezpieczeństwa sieciowego, chyba że odłączymy komputer od sieci. Implementacja Jako, że konfiguracja IPTables nie jest trwale zapamiętywana, należy stworzyć skrypt uruchamiający firewall. Jako root tworzymy plik firewall w katalogu /etc/init.d: touch /etc/init.d/firewall chmod +x /etc/init.d/firewall nano -w /etc/init.d/firewall Następnie wypełniamy go niżej przedstawioną treścią, stanowiącą szkielet skryptu (UWAGA wywołanie skryptu w takiej postaci odetnie komputer od dostępu do Internetu): #!/bin/bash if [ "$1" = "start" ]; then echo "Uruchamiam firewall..." # czyszczenie reguł i łańcuchów iptables -F iptables X # ustalanie polityki domyślnej iptables -P INPUT DROP iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT # reguły filtrowania ruchu #... elif [ "$1" = "stop" ]; then echo "Zatrzymuję firewall..." # czyszczenie reguł i łańcuchów iptables -F iptables X # przywrócenie standardowej polityki domyślnej iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT fi Od tego momentu możliwe jest uruchamianie i zatrzymywanie firewalla poleceniem /etc/init.d/firewall z parametrem start lub stop. Aby reguły filtrowania były stosowane automatycznie po uruchomieniu systemu konieczne jest dopisanie w/w skryptu do skryptu startowego systemu, możemy tego dokonać wydając polecenie: update-rc.d firewall defaults 90 10

13 Reguły zapory sieciowej, czyli inaczej filtra pakietów, umieszczane są w tablicy filter, jest to tablica domyślna i nie trzeba jej jawnie wskazywać przy definiowaniu reguł. Jak wcześniej wspomniano reguły mogą dotyczyć pakietów przychodzących, wychodzących oraz przechodzących przez hosta na którym są zdefiniowane. Ważne jest aby konfigurując filtr pakietów w zdalnej sesji, zmieniając politykę domyślną na odrzucanie pakietów, pamiętać o wprowadzeniu reguł umożliwiających dostęp do konfigurowanego hosta przez SSH lub telnet przed zmianą polityki domyślnej. Z uwagi na fakt iż pakiety są dopasowywane do reguł z zachowaniem ich kolejności, zamiast polityki domyślnej, na końcu łańcucha, można dodać regułę bez wzorca, pełniącą funkcję polityki domyślnej. Zaporę można projektować według zasady przepuszczaj wszystko co nie jest zabronione lub odrzucaj wszystko co nie jest dozwolone. Bezpieczniejszym wariantem jest ten drugi i aby go osiągnąć należy zmodyfikować politykę domyślną łańcucha INPUT (oraz FORWARD), dla pakietów wychodzących zazwyczaj wystarczające jest wybiórcze blokowanie: iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP Najprostszym wariantem zapory jest zapora bezstanowa jej reguły zawierają wzorce oparte jedynie o adresy, protokoły i usługi (porty), np. aby zaakceptować odpowiedzi z serwera DNS oraz WWW należy dodać następujące reguły: iptables -A INPUT -p udp sport 53 j ACCEPT iptables -A INPUT -p tcp sport 80 j ACCEPT Nieco bardziej rozbudowanym wariantem jest zapora stanowa uwzględniająca dodatkowo stan połączenia, w tym przypadku, nie jest konieczne definiowanie usług od których odpowiedzi mają być przepuszczane przez zaporę, istnieje możliwość dopuszczenia całego ruchu zwrotnego (odpowiedzi ze zdalnych serwerów na żądania zainicjowane przez hosty w sieci lokalnej): iptables -A INPUT -d /24 -m state --state ESTABLISHED,RELATED -j ACCEPT 11

14 Zajęcia 4 Konfiguracja udostępniania dostępu do Internetu w oparciu o IPTables Wprowadzenie Mechanizm NAT, zwany również maskaradą stworzono aby umożliwić dostęp do Internetu komputerom w sieciach lokalnych. Pierwotnie, kiedy problem ograniczonej liczby adresów IP v4 jeszcze nie istniał, mechanizm ten służył głównie jako zabezpieczenie sieci przed dostępem z zewnątrz i do ukrywania struktury wewnętrznej sieci (stąd nazwa maskarada). Obecnie pełni nie tylko funkcję podnoszącą bezpieczeństwo ale również pozwala oszczędzać publiczne adresy IP. Mechanizm ten polega na translacji adresów (źródłowych bądź docelowych), tak aby cały ruch pomiędzy siecią lokalną, a Internetem mógł się odbywać z wykorzystaniem pojedynczego (lub kilku) publicznego adresu IP. Translacja adresów źródłowych (Source NAT) służy zapewnieniu dostępu do zasobów Internetu komputerom w sieci lokalnej, natomiast translacja adresów docelowych (Destination NAT) służy udostępnieniu usług działających na komputerach w sieci lokalnej do Internetu. Implementacja Konfigurację NATu można dopisać do skryptu firewalla bądź stworzyć osobny skrypt, gdyż podobnie jak w przypadku zapory sieciowej wszelkie ustawienia IPTables zostaną utracone po restarcie komputera. Internet eth1 Linux Box eth eth0 Host A eth0 Host B Przed przystąpieniem do konfiguracji maskarady konieczne jest ustawienie flagi zezwalającej na przekazywanie pakietów (pomiędzy interfejsami sieciowymi), wpis ten należy umieścić na początku skryptu: echo 1 > /proc/sys/net/ipv4/ip_forward oraz statycznego adresu IP dla interfejsu pełniącego funkcję bramy dla sieci lokalnej (zwyczajowo przyjmuje się, że jest to pierwszy, rzadziej ostatni, adres w tej sieci: ifconfig eth /24 up Następnie można przystąpić do konfiguracji maskarady. W IPTables istnieją dwa cele służące do translacji adresów źródłowych SNAT i MASQUERADE. Zasadnicza różnica pomiędzy nimi polega na tym, że w przypadku SNAT należy określić adres na jaki ma być dokonywana translacja, konieczne jest 12

15 więc posiadanie statycznego adresu IP na interfejsie sieciowym do Internetu. W przypadku celu MASQUERADE adres ten jest określany dynamicznie i może się zmieniać w trakcie działania. iptables -t nat -A POSTROUTING -s /24 -j MASQUERADE lub iptables -t nat -A POSTROUTING -s /24 -j SNAT To w zasadzie cała konfiguracja, w bardziej złożonych konfiguracjach można dodatkowo określić interfejs sieciowy (lub jego adres) dla którego reguła ma działać. Oczywiście w tym najprostszym przypadku konfiguracja komputerów w sieci lokalnej musi zostać przeprowadzona ręcznie konieczne jest nadanie adresów IP ich interfejsom sieciowym, wprowadzenie adresu bramy oraz adresów serwerów DNS: ifconfig eth /24 up route add default gw vi /etc/resolv.conf Ostatnie polecenie otwiera w edytorze plik resolv.conf, w którym istnieje możliwość dodania maksymalnie trzech wpisów nameserver: nameserver nameserver Konfiguracja translacji adresów docelowych, zwana też przekserowaniem portów, wygląda analogicznie: iptables -t nat -I PREROUTING -p tcp -dport j DNAT --to-destination :80 Jeśli dodatkowo aktywna jest zapora sieciowa, konieczne jest dodanie reguły przepuszczającej pakiety przychodzące na przekierowany port (tzw. odblokowanie lub otwarcie portu): iptables -A FORWARD -p tcp -d dport 80 -j ACCEPT jeśli korzystamy z zapory stanowej mającej wpis pozwalający na utrzymanie nawiązanych połączeń: iptables -A FORWARD -d /24 -m state --state ESTABLISHED,RELATED -j ACCEPT możemy użyć następującej składni: iptables -A FORWARD -p tcp -d dport 80 -m state --state NEW -j ACCEPT 13

16 Zajęcia 5 Konfiguracja podziału pasma w oparciu o HTB Wprowadzenie HTB (Hierarchical Token Bucket) jest algorytmem pozwalającym na zarządzanie przepływem pakietów przez interfejs sieciowy. W oparciu o ten mechanizm możliwa jest realizacja tzw. zarządzania pasmem (Bandwidth Management). Ograniczeniem HTB jest możliwość sterownia jedynie ruchem wychodzącym z interfejsu, co w praktyce oznacza, że w przypadku sieci wykorzystującej maskaradę w prosty sposób można zarządzać jedynie ruchem przychodzącym (downlink). Implementacja Podobnie jak w przypadku IPTABLES, również HTB nie posiada mechanizmu zapamiętywania ustawień, konieczne jest więc stworzenie skryptu. Jako root tworzymy plik bandmgmt w katalogu /etc/init.d: touch /etc/init.d/bandmgmt chmod +x /etc/init.d/bandmgmt nano -w /etc/init.d/bandmgmt Następnie wypełniamy go niżej przedstawioną treścią, stanowiącą szkielet: #!/bin/bash if [ "$1" = "start" ]; then echo "Uruchamiam HTB..." # czyszczenie reguł tc qdisc del root dev eth0 # definicje reguł tc qdisc add dev eth0 root handle 1:0 htb # definicje klas tc class add dev eth0 parent 1:0 classid 1:1 htb rate 10000kbit ceil 10000kbit # # definicje filtrów # elif [ "$1" = "stop" ]; then echo "Zatrzymuję HTB..." # czyszczenie reguł tc qdisc del root dev eth0 fi W zamieszczonych tu przykładach, przyjęto że łącze jakim dysponujemy ma przepustowość 10Mbps, a interfejs do którego jest podłączona sieć LAN to eth0. W poniższym przykładzie dokonamy podziału pasma dla dwóch klientów A i B, zapewniając im pasmo gwarantowane 2Mbps z możliwością wykorzystania do 5Mbps. Należy też pamiętać aby do klasy głównej nie przypisywać maksymalnej przepustowości łącza, tak aby mieć pewność, że kolejkowanie pakietów będzie się odbywać na naszym hoście, a nie po stronie dostawcy usług internetowych (ISP) stąd 10000kbps, a nie 10Mbps (10240kbps). 14

17 Dla każdego z klientów definiujemy klasy pochodne od klasy głównej, gdyż pakiety przypisane do danej klasy współdzielą jej limit: tc class add dev eth0 parent 1:1 classid 1:2 htb rate 2mbit ceil 5mbit tc class add dev eth0 parent 1:1 classid 1:3 htb rate 2mbit ceil 5mbit Następnie tworzymy filtry przypisujące pakiety do wybranych klas na podstawie ich docelowych adresów IP (możliwe jest przypisanie różnych pakietów do jednej klasy): tc filter add dev eth0 protocol ip parent 1: u32 match ip dst /24 flowid 1:2 tc filter add dev eth0 protocol ip parent 1: u32 match ip dst /24 flowid 1:3 Możemy jeszcze określić inną niż domyślna (FIFO) metodę kolejkowania pakietów tutaj użyjemy SFQ który pomoże zapobiec zatkaniu łącza np. przez program typu p2p: tc qdisc add dev eth0 parent 1:2 handle 2:0 sfq perturb 10 tc qdisc add dev eth0 parent 1:3 handle 3:0 sfq perturb 10 Jeśli potrzebny jest bardziej szczegółowy podział, z rozbiciem na usługi, zachodzi potrzeba zdefiniowania odrębnej klasy dla każdej usługi na każdym z hostów: Internet eth1 Linux Box eth host A (2Mbps) telnet (128kbps) www (512kbps) reszta (896kbps) host B (2Mbps) tc class add dev eth0 parent 1:2 classid 1:21 htb rate 128kbit ceil 5mbit tc class add dev eth0 parent 1:2 classid 1:22 htb rate 512kbit ceil 5mbit tc class add dev eth0 parent 1:2 classid 1:23 htb rate 896kbit ceil 5mbit tc class add dev eth0 parent 1:3 classid 1:31 htb rate 128kbit ceil 5mbit tc class add dev eth0 parent 1:3 classid 1:32 htb rate 512kbit ceil 5mbit tc class add dev eth0 parent 1:3 classid 1:33 htb rate 896kbit ceil 5mbit Wtedy reguły filtra dotyczą klas pochodnych (128kbps na Telnet, 512kbps na WWW i pozostałe): tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip dst /24 match ip sport 23 0xffff flowid 1:21 tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip dst /24 match ip sport 80 0xffff flowid 1:22 tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip dst /24 flowid 1:23 tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip dst /24 match ip sport 23 0xffff flowid 1:31 15 telnet (128kbps) www (512kbps) reszta (896kbps)

18 tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip dst /24 match ip sport 80 0xffff flowid 1:32 tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip dst /24 flowid 1:33 W tym przypadku nie ma konieczności wykorzystania SFQ: tc qdisc add dev eth0 parent 1:21 handle 210:0 pfifo limit 10 tc qdisc add dev eth0 parent 1:22 handle 220:0 pfifo limit 10 tc qdisc add dev eth0 parent 1:23 handle 230:0 pfifo limit 10 tc qdisc add dev eth0 parent 1:31 handle 310:0 pfifo limit 10 tc qdisc add dev eth0 parent 1:32 handle 320:0 pfifo limit 10 tc qdisc add dev eth0 parent 1:33 handle 330:0 pfifo limit 10 Z filtrów można korzystać wspólnie z IPTables poprzez markowaniem pakietów. Cel MARK jest tzw. celem niekończącym, to znaczy, że po dopasowaniu do niego pakietu pozostaje on w łańcuchu: iptables -t mangle -A POSTROUTING -s o eth0 -p tcp sport 23 -j MARK set-mark 0 21 iptables -t mangle -A POSTROUTING -s o eth0 -p tcp sport 23 -j RETURN iptables -t mangle -A POSTROUTING -s o eth0 -p tcp sport 80 -j MARK set-mark 0 22 iptables -t mangle -A POSTROUTING -s o eth0 -p tcp sport 80 -j RETURN tc filter add dev eth2 protocol ip parent 1:0 handle 21 fw flowid 1:21 tc filter add dev eth2 protocol ip parent 1:0 handle 22 fw flowid 1:22 bądź całkowicie wyeliminować filtry przy pomocy celu CLASSIFY, który podobnie jak MARK jest celem niekończącym: iptables -t mangle -A POSTROUTING -s o eth0 -p tcp sport 23 -j CLASIFY --set-class 1:21 iptables -t mangle -A POSTROUTING -s o eth0 -p tcp sport 23 -j RETURN iptables -t mangle -A POSTROUTING -s o eth0 -p tcp sport 80 -j CLASSIFY --set-class 1:22 iptables -t mangle -A POSTROUTING -s o eth0 -p tcp sport 80 -j RETURN 16

19 Źródła owych_-_laboratorium_12:systemy_programowych_zap%c3%b3r_sieciowych

20 Spis treści Zajęcia Konfiguracja wirtualnej maszyny z systemem Debian GNU Linux... 1 Zajęcia Wprowadzenie do IPTables... 2 Wprowadzenie... 2 Konfiguracja... 2 Składnia... 3 Opis modułów... 4 Opis celów... 6 Zbiory adresów IPSet... 8 Składnia... 8 Zajęcia Konfiguracja zapory sieciowej w oparciu o IPTables Wprowadzenie Implementacja Zajęcia Konfiguracja udostępniania dostępu do Internetu w oparciu o IPTables Zajęcia Konfiguracja podziału pasma w oparciu o HTB Wprowadzenie Implementacja Źródła

Iptables. Krzysztof Rykaczewski. mozgun@mat.uni.torun.pl http://www.mat.uni.torun.pl/~mozgun/ 15/11/06 1

Iptables. Krzysztof Rykaczewski. mozgun@mat.uni.torun.pl http://www.mat.uni.torun.pl/~mozgun/ 15/11/06 1 Iptables Krzysztof Rykaczewski mozgun@mat.uni.torun.pl http://www.mat.uni.torun.pl/~mozgun/ 15/11/06 1 Co to takiego filtr pakietów? Filtr pakietów to oprogramowanie, które sprawdza nagłówki (ang. header)

Bardziej szczegółowo

Systemy programowych zapór sieciowych (iptables)

Systemy programowych zapór sieciowych (iptables) Systemy programowych zapór sieciowych (iptables) 1. Wprowadzenie Programowe zapory sieciowe (ang. firewall) wykorzystywane mogą być do przeróżnych celów w zależności od złożoności takiej zapory programowej.

Bardziej szczegółowo

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP FILTROWANIE IP mechanizm decydujący, które typy datagramów IP mają być odebrane, które odrzucone. Odrzucenie oznacza usunięcie, zignorowanie datagramów, tak jakby nie zostały w ogóle odebrane. funkcja

Bardziej szczegółowo

Pakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe

Pakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe Pakiet Iptables Mgr inż. Łukasz Jopek Katedra Informatyki Stosowanej Politechniki Łódzkiej ljopek@kis.p.lodz.pl Filtrowanie pakietów i filtrowanie stanowe Filtrowanie pakietów oraz filtrowania stanowe

Bardziej szczegółowo

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych Sieci komputerowe Zajęcia 4 Bezpieczeństwo w sieciach komputerowych Translacja adresów (NAT) NAT (ang. Network Address Translation) umożliwia używanie adresów nierutowalnych (niepublicznych) Polega na

Bardziej szczegółowo

Instalacja i konfiguracja pakietu iptables

Instalacja i konfiguracja pakietu iptables Instalacja i konfiguracja pakietu iptables Tomasz Nowocień Zespół Bezpieczeństwa PCSS security@man.poznan.pl 1 Zawartość Czyli o czym to będzie... Podstawy wiedzy... Co to jest iptables? Skąd się bierze

Bardziej szczegółowo

Zapory sieciowe i techniki filtrowania danych

Zapory sieciowe i techniki filtrowania danych Zapory sieciowe i techniki filtrowania danych Robert Jaroszuk Where you see a feature, I see a flaw... Zimowisko TLUG Harcerski Ośrodek Morski w Pucku, styczeń 2008 Spis Treści 1 Wprowadzenie

Bardziej szczegółowo

Sieci Komputerowe Translacja adresów sieciowych

Sieci Komputerowe Translacja adresów sieciowych 1. Wstęp teoretyczny Sieci Komputerowe Translacja adresów sieciowych Network Address Translation (NAT) - technika translacji adresów sieciowych. Wraz ze wzrostem ilości komputerów w Internecie, pojawiła

Bardziej szczegółowo

Warsztaty z Sieci komputerowych Lista 9

Warsztaty z Sieci komputerowych Lista 9 Warsztaty z Sieci komputerowych Lista 9 1 Uwagi ogólne Pracę rozpocznij poleceniem netmode lab, a następnie skonfiguruj interfejs eth0 za pomocą protokołu DHCP (dhclient eth0). Sprawdź, że otrzymany adres

Bardziej szczegółowo

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo 1 > /proc/sys/net/ipv4/ip_forward Zarządzanie bezpieczeństwem w sieciach Router programowy z firewallem oparty o iptables Celem ćwiczenia jest stworzenie kompletnego routera (bramki internetowej), opartej na iptables. Bramka umożliwiać

Bardziej szczegółowo

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej Marcin Kłopocki /170277/ Przemysła Michalczyk /170279/ Bartosz Połaniecki /170127/ Tomasz Skibiński /170128/ Styk

Bardziej szczegółowo

Zadania do wykonania Firewall skrypt iptables

Zadania do wykonania Firewall skrypt iptables Firewall skrypt iptables 1 Zadania do wykonania Firewall skrypt iptables Nr 1 Jesteś administratorem sieci osiedlowej z 20 klientami. W sieci wykorzystujemy komputer, który pełni rolę routera, serwera

Bardziej szczegółowo

Bezpieczeństwo w M875

Bezpieczeństwo w M875 Bezpieczeństwo w M875 1. Reguły zapory sieciowej Funkcje bezpieczeństwa modułu M875 zawierają Stateful Firewall. Jest to metoda filtrowania i sprawdzania pakietów, która polega na analizie nagłówków pakietów

Bardziej szczegółowo

SYSTEMY OPERACYJNE I SIECI KOMPUTEROWE. Opracowany na podstawie http://dug.net.pl/tekst/31/udostepnienie_polaczenia_internetowego_%28masq%29/

SYSTEMY OPERACYJNE I SIECI KOMPUTEROWE. Opracowany na podstawie http://dug.net.pl/tekst/31/udostepnienie_polaczenia_internetowego_%28masq%29/ Opracowany na podstawie http://dug.net.pl/tekst/31/udostepnienie_polaczenia_internetowego_%28masq%29/ Typy przykład udostępnienia sieci Gdzie na schemacie oznaczono: eth0 interfejs wyjścia na świat eth1

Bardziej szczegółowo

Zarządzanie ruchem w sieci małego ISP Michał Prokopiuk

Zarządzanie ruchem w sieci małego ISP Michał Prokopiuk Zarządzanie ruchem w sieci małego ISP Michał Prokopiuk Trochę informacji - Sloneczko.net to lokalny ISP - działa w Krakowie na Starym Mieście i Kazimierzu - Ilość użytkowników dobiega do 1000 - ruch dobija

Bardziej szczegółowo

Kształtowanie ruch w sieciach Linux

Kształtowanie ruch w sieciach Linux Kształtowanie ruch w sieciach Lux 1. Wprowadzenie Wymagania wstępne: wykonanie ćwiczenia Statyczny wybór trasy w systemie Lux. Potrzeba sterowania ruchem w sieciach komputerowych wynika głównie z faktu,

Bardziej szczegółowo

Linux. iptables, nmap, DMZ

Linux. iptables, nmap, DMZ Strona1 Linux iptables, nmap, DMZ Strona2 Spis treści. Spis treści.... 2 iptables wprowadzenie.... 3 Tabele iptables wraz z łaocuchami, oraz najczęściej definiowanymi akcjami.... 3 iptables droga pakietu...

Bardziej szczegółowo

CONFidence 13/05/2006. Jarosław Sajko, PCSS Jaroslaw.sajko@man.poznan.pl

CONFidence 13/05/2006. Jarosław Sajko, PCSS Jaroslaw.sajko@man.poznan.pl IPTables Hacking CONFidence 13/05/2006 Jarosław Sajko, PCSS Jaroslaw.sajko@man.poznan.pl 1 Zamiast planu 2 ZB PCSS Praca operacyjna w ramach ogólnopolskiej szerokopasmowej sieci PIONIER oraz zasobów Centrum

Bardziej szczegółowo

NAT/NAPT/Multi-NAT. Przekierowywanie portów

NAT/NAPT/Multi-NAT. Przekierowywanie portów Routery Vigor mogą obsługiwać dwie niezależne podsieci IP w ramach sieci LAN (patrz opis funkcji związanych z routingiem IPv4). Podsieć pierwsza przeznaczona jest dla realizacji mechanizmu NAT, aby umożliwić

Bardziej szczegółowo

Wprowadzenie 5 Rozdział 1. Lokalna sieć komputerowa 7

Wprowadzenie 5 Rozdział 1. Lokalna sieć komputerowa 7 Wprowadzenie 5 Rozdział 1. Lokalna sieć komputerowa 7 System operacyjny 7 Sieć komputerowa 8 Teoria sieci 9 Elementy sieci 35 Rozdział 2. Sieć Linux 73 Instalowanie karty sieciowej 73 Konfiguracja interfejsu

Bardziej szczegółowo

7. Konfiguracja zapory (firewall)

7. Konfiguracja zapory (firewall) 7. Konfiguracja zapory (firewall) Konfiguracja firewalla w rozwiązaniach NETASQ podzielona jest na dwie części. Pierwszą z nich są reguły domyślne a drugą polityki konfigurowane przez administratora. W

Bardziej szczegółowo

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych Wykład 2: Budowanie sieci lokalnych 1 Budowanie sieci lokalnych Technologie istotne z punktu widzenia konfiguracji i testowania poprawnego działania sieci lokalnej: Protokół ICMP i narzędzia go wykorzystujące

Bardziej szczegółowo

DHCP + udostępnienie Internetu

DHCP + udostępnienie Internetu Str. 1 Ćwiczenie 5 DHCP + udostępnienie Internetu Cel ćwiczenia: sieci LAN. Zapoznanie się z instalacją i konfiguracją serwera DHCP. Udostępnienie Internetu Przed przystąpieniem do ćwiczenia uczeń powinien

Bardziej szczegółowo

Opis ogólny ustawień NAT na podstawie Vigora serii 2700

Opis ogólny ustawień NAT na podstawie Vigora serii 2700 Routery Vigor mogą obsługiwać dwie niezależne podsieci IP w ramach sieci LAN. Podsieć pierwsza przeznaczona jest dla realizacji mechanizmu NAT, aby umożliwić komputerom korzystanie z tzw. prywatnych adresów

Bardziej szczegółowo

Instrukcje dotyczące funkcji zarządzania pasmem w urządzeniach serii ZyWALL.

Instrukcje dotyczące funkcji zarządzania pasmem w urządzeniach serii ZyWALL. Instrukcje dotyczące funkcji zarządzania pasmem w urządzeniach serii ZyWALL. Niniejsza instrukcja zawiera wskazówki dotyczące konfiguracji funkcji BW MGMT dostępnej w urządzeniach serii ZyWALL. Dość często

Bardziej szczegółowo

Wykład Nr 4. 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Wykład Nr 4. 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia Sieci komputerowe Wykład Nr 4 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia Sieci bezprzewodowe Sieci z bezprzewodowymi punktami dostępu bazują na falach radiowych. Punkt dostępu musi mieć

Bardziej szczegółowo

Adresy w sieciach komputerowych

Adresy w sieciach komputerowych Adresy w sieciach komputerowych 1. Siedmio warstwowy model ISO-OSI (ang. Open System Interconnection Reference Model) 7. Warstwa aplikacji 6. Warstwa prezentacji 5. Warstwa sesji 4. Warstwa transportowa

Bardziej szczegółowo

Instrukcja dotycząca funkcji zarządzania pasmem w urządzeniach serii Prestige 660HW.

Instrukcja dotycząca funkcji zarządzania pasmem w urządzeniach serii Prestige 660HW. Instrukcja dotycząca funkcji zarządzania pasmem w urządzeniach serii Prestige 660HW. Niniejsza instrukcja zawiera wskazówki dotyczące konfiguracji funkcji BW MGMT dostępnej w urządzeniach serii Prestige

Bardziej szczegółowo

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R. Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R. Topologia sieci: Lokalizacja B Lokalizacja A Niniejsza instrukcja nie obejmuje konfiguracji routera dostępowego

Bardziej szczegółowo

Firewall bez adresu IP

Firewall bez adresu IP Firewall bez adresu IP Jak to zrobić Janusz Janiszewski Janusz.Janiszewski@nask.pl Agenda Wstęp Jak to działa? FreeBSD Kiedy stosować? Wady i zalety Inne rozwiązania Pytania? Typy firewalli Filtry pakietów

Bardziej szczegółowo

ABA-X3 PXES v. 1.5.0 Podręczna instrukcja administratora. FUNKCJE SIECIOWE Licencja FDL (bez prawa wprowadzania zmian)

ABA-X3 PXES v. 1.5.0 Podręczna instrukcja administratora. FUNKCJE SIECIOWE Licencja FDL (bez prawa wprowadzania zmian) Grupa Ustawienia Sieciowe umożliwia skonfigurowanie podstawowych parametrów terminala: Interfejs ETH0 Umożliwia wybór ustawień podstawowego interfejsu sieciowego. W przypadku wyboru DHCP adres oraz inne

Bardziej szczegółowo

Strona1. Suse LINUX. Konfiguracja sieci

Strona1. Suse LINUX. Konfiguracja sieci Strona1 Suse LINUX Konfiguracja sieci Strona2 Spis treści Konfiguracja sieci - uwagi wstępne.... 3 Prezentacja interfejsów sieciowych w systemie Linux.... 3 Konfiguracja IP w programie Yast... 3 Pliki

Bardziej szczegółowo

Firewall'e. Cele firewalli

Firewall'e. Cele firewalli Firewall'e Pojęcie firewall pochodzi z przemysłu, zapora chroniąca przed rozprzestrzenianiem się ognia. W przypadku sieci komputerowych zastosowanie jest analogiczne, firewall ma na celu możliwie najdokładniejsze

Bardziej szczegółowo

Przekierowanie portów w routerze - podstawy

Przekierowanie portów w routerze - podstawy Przekierowanie portów w routerze - podstawy Wyobraźmy sobie, że posiadamy sieć domową i w tej sieci pracują dwa komputery oraz dwie kamery IP. Operator dostarcza nam łącze internetowe z jednym adresem

Bardziej szczegółowo

Tworzenie maszyny wirtualnej

Tworzenie maszyny wirtualnej Tworzenie maszyny wirtualnej 1. Aby utworzyć nową maszynę wirtualną, z menu Maszyna wybieramy opcję Nowa. Zostanie uruchomiony kreator tworzenia maszyny wirtualnej. 2. Wpisujemy nazwę maszyny oraz wybieramy

Bardziej szczegółowo

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński Temat 8.9. Wykrywanie i usuwanie awarii w sieciach komputerowych. 1. Narzędzia

Bardziej szczegółowo

4. Podstawowa konfiguracja

4. Podstawowa konfiguracja 4. Podstawowa konfiguracja Po pierwszym zalogowaniu się do urządzenia należy zweryfikować poprawność licencji. Można to zrobić na jednym z widżetów panelu kontrolnego. Wstępną konfigurację można podzielić

Bardziej szczegółowo

Akademia Techniczno-Humanistyczna w Bielsku-Białej

Akademia Techniczno-Humanistyczna w Bielsku-Białej Akademia Techniczno-Humanistyczna w Bielsku-Białej Wydział Budowy Maszyn i Informatyki Laboratorium z sieci komputerowych Ćwiczenie numer: 3 Temat ćwiczenia: Narzędzia sieciowe w systemie Windows 1. Wstęp

Bardziej szczegółowo

Zapora systemu Windows Vista

Zapora systemu Windows Vista Zapora systemu Windows Vista Zapora sieciowa (ang. firewall) jest to jeden ze sposób zabezpieczania systemu operacyjnego poprzez uniemożliwienie uzyskania dostępu do komputera przez hakerów lub złośliwe

Bardziej szczegółowo

Projektowanie bezpieczeństwa sieci i serwerów

Projektowanie bezpieczeństwa sieci i serwerów Projektowanie bezpieczeństwa sieci i serwerów Konfiguracja zabezpieczeń stacji roboczej 1. Strefy bezpieczeństwa przeglądarki Internet Explorer. W programie Internet Explorer można skonfigurować ustawienia

Bardziej szczegółowo

MODEL OSI A INTERNET

MODEL OSI A INTERNET MODEL OSI A INTERNET W Internecie przyjęto bardziej uproszczony model sieci. W modelu tym nacisk kładzie się na warstwy sieciową i transportową. Pozostałe warstwy łączone są w dwie warstwy - warstwę dostępu

Bardziej szczegółowo

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet Sieci Komputerowe Wykład 1: TCP/IP i adresowanie w sieci Internet prof. nzw dr hab. inż. Adam Kisiel kisiel@if.pw.edu.pl Pokój 114 lub 117d 1 Kilka ważnych dat 1966: Projekt ARPANET finansowany przez DOD

Bardziej szczegółowo

Problem kolejkowania dostępu czyli zarządzanie przepustowością sieci

Problem kolejkowania dostępu czyli zarządzanie przepustowością sieci Problem kolejkowania dostępu czyli zarządzanie przepustowością sieci Piotr Misiuda 4FD L08 Wstęp Chciałbym aby mój projekt nie był czystym teoretycznym rozważaniem na temat jak to działa, a po co, a dlaczego.

Bardziej szczegółowo

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) W latach 1973-78 Agencja DARPA i Stanford University opracowały dwa wzajemnie uzupełniające się protokoły: połączeniowy TCP

Bardziej szczegółowo

Wireshark analizator ruchu sieciowego

Wireshark analizator ruchu sieciowego Wireshark analizator ruchu sieciowego Informacje ogólne Wireshark jest graficznym analizatorem ruchu sieciowego (snifferem). Umożliwia przechwytywanie danych transmitowanych przez określone interfejsy

Bardziej szczegółowo

Laboratorium podstaw telekomunikacji

Laboratorium podstaw telekomunikacji Laboratorium podstaw telekomunikacji Temat: Pomiar przepustowości łączy w sieciach komputerowych i podstawowe narzędzia sieciowe. Cel: Celem ćwiczenia jest przybliżenie studentom prostej metody pomiaru

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS

Bardziej szczegółowo

Internet Protocol v6 - w czym tkwi problem?

Internet Protocol v6 - w czym tkwi problem? NAUKOWA I AKADEMICKA SIEĆ KOMPUTEROWA Internet Protocol v6 - w czym tkwi problem? dr inż. Adam Kozakiewicz, adiunkt Zespół Metod Bezpieczeństwa Sieci i Informacji IPv6 bo adresów było za mało IPv6 co to

Bardziej szczegółowo

Laboratorium 6.7.2: Śledzenie pakietów ICMP

Laboratorium 6.7.2: Śledzenie pakietów ICMP Topologia sieci Tabela adresacji Urządzenie Interfejs Adres IP Maska podsieci Domyślna brama R1-ISP R2-Central Serwer Eagle S0/0/0 10.10.10.6 255.255.255.252 Nie dotyczy Fa0/0 192.168.254.253 255.255.255.0

Bardziej szczegółowo

System operacyjny Linux

System operacyjny Linux Paweł Rajba pawel.rajba@continet.pl http://kursy24.eu/ Zawartość modułu 15 DHCP Rola usługi DHCP Proces generowania dzierżawy Proces odnawienia dzierżawy Konfiguracja Agent przekazywania DHCP - 1 - Rola

Bardziej szczegółowo

Firewalle, maskarady, proxy

Firewalle, maskarady, proxy Firewalle, maskarady, proxy Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2010/11 Kontrola dostępu Polityka kontroli dostępu określa sposób dostępu do poszczególnych zasobów organizacji. Może

Bardziej szczegółowo

Sieci komputerowe. Router. Router 2012-05-24

Sieci komputerowe. Router. Router 2012-05-24 Sieci komputerowe - Routing 2012-05-24 Sieci komputerowe Routing dr inż. Maciej Piechowiak 1 Router centralny element rozległej sieci komputerowej, przekazuje pakiety IP (ang. forwarding) pomiędzy sieciami,

Bardziej szczegółowo

praktyczne zastosowania mechanizmów QoS, Linuxowe HTB paweł kudzia

praktyczne zastosowania mechanizmów QoS, Linuxowe HTB paweł kudzia praktyczne zastosowania mechanizmów QoS, Linuxowe HTB paweł kudzia QoS czyli.. racjonalne wykorzystanie dostpnego zasobu poprzez wyrónienie klas ruchu traktowanych w róny sposób. dostosowanie przepływnoci

Bardziej szczegółowo

Konfigurowanie interfejsu sieciowego może być wykonane na wiele sposobów.

Konfigurowanie interfejsu sieciowego może być wykonane na wiele sposobów. Co to jest interfejs sieciowy? Najogólniej interfejsem sieciowym w systemach linux nazywamy urządzenia logiczne pozwalające na nawiązywanie połączeń różnego typu. Należy jednak pamiętać iż mówiąc interfejs

Bardziej szczegółowo

Laboratorium sieci komputerowych Firewall

Laboratorium sieci komputerowych Firewall Laboratorium sieci komputerowych Firewall Wprowadzenie Firewall jest w dzisiejszej dobie jednym z bardziej popularnych terminów w bran y sieci komputerowych. Popularno t mo na łatwo wytłumaczy. Bierze

Bardziej szczegółowo

Telefon AT 530 szybki start.

Telefon AT 530 szybki start. Telefon AT 530 szybki start. Instalacja i dostęp:... 2 Konfiguracja IP 530 do nawiązywania połączeń VoIP.....4 Konfiguracja WAN... 4 Konfiguracja serwera SIP... 5 Konfiguracja IAX... 6 1/6 Instalacja i

Bardziej szczegółowo

Przykłady wykorzystania polecenia netsh

Przykłady wykorzystania polecenia netsh Przykłady wykorzystania polecenia netsh Polecenie netsh jest polecenie wiersza poleceń. Zarządza ono ustawieniami usług sieciowych takich jak protokół TCP/IP, firewall, itp. Polecenie to może pracować

Bardziej szczegółowo

MASKI SIECIOWE W IPv4

MASKI SIECIOWE W IPv4 MASKI SIECIOWE W IPv4 Maska podsieci wykorzystuje ten sam format i sposób reprezentacji jak adresy IP. Różnica polega na tym, że maska podsieci posiada bity ustawione na 1 dla części określającej adres

Bardziej szczegółowo

Uniwersytet Mikołaja Kopernika w Toruniu. Profilowanie ruchu sieciowego w systemie GNU/Linux

Uniwersytet Mikołaja Kopernika w Toruniu. Profilowanie ruchu sieciowego w systemie GNU/Linux Uniwersytet Mikołaja Kopernika w Toruniu Wydział Matematyki i Informatyki Wydział Fizyki, Astronomii i Informatyki Stosowanej Michał Ferliński Nr albumu: 187386 Praca magisterska na kierunku Informatyka

Bardziej szczegółowo

Zestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak

Zestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak Protokół TCP/IP Protokół TCP/IP (Transmission Control Protokol/Internet Protokol) to zestaw trzech protokołów: IP (Internet Protokol), TCP (Transmission Control Protokol), UDP (Universal Datagram Protokol).

Bardziej szczegółowo

Unicast jeden nadawca i jeden odbiorca Broadcast jeden nadawca przesyła do wszystkich Multicast jeden nadawca i wielu (podzbiór wszystkich) odbiorców

Unicast jeden nadawca i jeden odbiorca Broadcast jeden nadawca przesyła do wszystkich Multicast jeden nadawca i wielu (podzbiór wszystkich) odbiorców METODY WYMIANY INFORMACJI W SIECIACH PAKIETOWYCH Unicast jeden nadawca i jeden odbiorca Broadcast jeden nadawca przesyła do wszystkich Multicast jeden nadawca i wielu (podzbiór wszystkich) odbiorców TRANSMISJA

Bardziej szczegółowo

Telefon IP 620 szybki start.

Telefon IP 620 szybki start. Telefon IP 620 szybki start. Instalacja i dostęp:... 2 Konfiguracja IP 620 do nawiązywania połączeń VoIP.....4 Konfiguracja WAN... 4 Konfiguracja serwera SIP... 5 Konfiguracja IAX... 6 1/6 Instalacja i

Bardziej szczegółowo

Konfigurowanie interfejsu sieciowego może być wykonane na wiele sposobów.

Konfigurowanie interfejsu sieciowego może być wykonane na wiele sposobów. Co to jest interfejs sieciowy? Najogólniej interfejsem sieciowym w systemach linux nazywamy urządzenia logiczne pozwalające na nawiązywanie połączeń różnego typu. Należy jednak pamiętać iż mówiąc interfejs

Bardziej szczegółowo

Programowanie sieciowe

Programowanie sieciowe Programowanie sieciowe Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2014/2015 Michał Cieśla pok. D-2-47, email: michal.ciesla@uj.edu.pl konsultacje: środy 10-12 http://users.uj.edu.pl/~ciesla/

Bardziej szczegółowo

Laboratorium Ericsson HIS NAE SR-16

Laboratorium Ericsson HIS NAE SR-16 Laboratorium Ericsson HIS NAE SR-16 HIS WAN (HIS 2) Opis laboratorium Celem tego laboratorium jest poznanie zaawansowanej konfiguracji urządzenia DSLAM Ericsson HIS NAE SR-16. Konfiguracja ta umożliwi

Bardziej szczegółowo

Zarządzanie Jakością Usług w Sieciach Teleinformatycznych

Zarządzanie Jakością Usług w Sieciach Teleinformatycznych Zarządzanie Jakością Usług w Sieciach Teleinformatycznych do sieci R. Krzeszewski 1 R. Wojciechowski 1 Ł. Sturgulewski 1 A. Sierszeń 1 1 Instytut Informatyki Stosowanej Politechniki Łódzkiej http://www.kis.p.lodz.pl

Bardziej szczegółowo

Laboratorium Sieci Komputerowych - 2

Laboratorium Sieci Komputerowych - 2 Laboratorium Sieci Komputerowych - 2 Analiza prostych protokołów sieciowych Górniak Jakub Kosiński Maciej 4 maja 2010 1 Wstęp Zadanie polegało na przechwyceniu i analizie komunikacji zachodzącej przy użyciu

Bardziej szczegółowo

Internet Control Messaging Protocol

Internet Control Messaging Protocol Protokoły sieciowe ICMP Internet Control Messaging Protocol Protokół komunikacyjny sterowania siecią Internet. Działa na warstwie IP (bezpośrednio zaimplementowany w IP) Zastosowanie: Diagnozowanie problemów

Bardziej szczegółowo

Instrukcja korzystania z systemu IPbaza. oraz konfiguracji urządzeń

Instrukcja korzystania z systemu IPbaza. oraz konfiguracji urządzeń Instrukcja korzystania z systemu IPbaza oraz konfiguracji urządzeń -1- Spis treści 1 Wstęp...3 2 Aktywacja usługi udostępniania portów u dostawcy...3 3 Rejestracja nowego konta i logowanie...4 4 Dodawanie

Bardziej szczegółowo

Sieci komputerowe. Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008. Michał Cieśla

Sieci komputerowe. Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008. Michał Cieśla Sieci komputerowe Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008 Michał Cieśla pok. 440a, email: ciesla@if.uj.edu.pl konsultacje: wtorki 10-12 http://users.uj.edu.pl/~ciesla/

Bardziej szczegółowo

Ściana ogniowa w systemie operacyjnym LINUX. Autor: Gładysz Krystian IVFDS

Ściana ogniowa w systemie operacyjnym LINUX. Autor: Gładysz Krystian IVFDS Ściana ogniowa w systemie operacyjnym LINUX Autor: Gładysz Krystian IVFDS 1 STRESZCZENIE Codziennie do sieci Internet podłącza się około kilku do kilkudziesięciu tysięcy nowych komputerów. Sieć Internet

Bardziej szczegółowo

Plan wykładu. Warstwa sieci. Po co adresacja w warstwie sieci? Warstwa sieci

Plan wykładu. Warstwa sieci. Po co adresacja w warstwie sieci? Warstwa sieci Sieci komputerowe 1 Sieci komputerowe 2 Plan wykładu Warstwa sieci Miejsce w modelu OSI/ISO unkcje warstwy sieciowej Adresacja w warstwie sieciowej Protokół IP Protokół ARP Protokoły RARP, BOOTP, DHCP

Bardziej szczegółowo

Moduł Ethernetowy. instrukcja obsługi. Spis treści

Moduł Ethernetowy. instrukcja obsługi. Spis treści Moduł Ethernetowy instrukcja obsługi Spis treści 1. Podstawowe informacje...2 2. Konfiguracja modułu...4 3. Podłączenie do sieci RS-485 i LAN/WAN...9 4. Przywracanie ustawień fabrycznych...11 www.el-piast.com

Bardziej szczegółowo

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE Politechnika Gdańska Wydział Elektrotechniki i Automatyki Katedra Inżynierii Systemów Sterowania SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE Temat: Identyfikacja właściciela domeny. Identyfikacja tras

Bardziej szczegółowo

1 2004 BRINET Sp. z o. o.

1 2004 BRINET Sp. z o. o. W niektórych routerach Vigor (np. serie 2900/2900V) interfejs WAN występuje w postaci portu Ethernet ze standardowym gniazdem RJ-45. Router 2900 potrafi obsługiwać ruch o natężeniu kilkudziesięciu Mbit/s,

Bardziej szczegółowo

Przyjrzyjmy się z bliska możliwością konfiguracji ruchu sieciowego. 1. Na początek pole Bandwidth Management z trzema zakładkami:

Przyjrzyjmy się z bliska możliwością konfiguracji ruchu sieciowego. 1. Na początek pole Bandwidth Management z trzema zakładkami: Routery DrayTek charakteryzują się bogatym zestawem narzędzi służącym do kształtowania ruchu w sieci LAN. Funkcje Bandwidth Management oraz aplikacje w zakładce Firewall umożliwiają w bardzo prosty a jednocześnie

Bardziej szczegółowo

Zdalne logowanie do serwerów

Zdalne logowanie do serwerów Zdalne logowanie Zdalne logowanie do serwerów Zdalne logowanie do serwerów - cd Logowanie do serwera inne podejście Sesje w sieci informatycznej Sesje w sieci informatycznej - cd Sesje w sieci informatycznej

Bardziej szczegółowo

Ping. ipconfig. getmac

Ping. ipconfig. getmac Ping Polecenie wysyła komunikaty ICMP Echo Request w celu weryfikacji poprawności konfiguracji protokołu TCP/IP oraz dostępności odległego hosta. Parametry polecenie pozwalają na szczegółowe określenie

Bardziej szczegółowo

Problemy techniczne SQL Server

Problemy techniczne SQL Server Problemy techniczne SQL Server Co zrobić, jeśli program Optivum nie łączy się poprzez sieć lokalną z serwerem SQL? Programy Optivum, które korzystają z bazy danych umieszczonej na serwerze SQL, mogą być

Bardziej szczegółowo

Model sieci OSI, protokoły sieciowe, adresy IP

Model sieci OSI, protokoły sieciowe, adresy IP Model sieci OSI, protokoły sieciowe, adresy IP Podstawę działania internetu stanowi zestaw protokołów komunikacyjnych TCP/IP. Wiele z używanych obecnie protokołów zostało opartych na czterowarstwowym modelu

Bardziej szczegółowo

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek poniżej:

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek poniżej: Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek poniżej: Router jest podłączony do sieci Internet, natomiast od dostawcy

Bardziej szczegółowo

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek Router jest podłączony do sieci Internet, natomiast od dostawcy zostaje

Bardziej szczegółowo

Bramka IP 2R+L szybki start.

Bramka IP 2R+L szybki start. Bramka IP 2R+L szybki start. Instalacja i dostęp:... 2 Konfiguracja IP 2R+L do nawiązywania połączeń VoIP... 4 Konfiguracja WAN... 4 Konfiguracja serwera SIP... 5 Konfiguracja IAX... 6 IP Polska Sp. z

Bardziej szczegółowo

Aby lepiej zrozumieć działanie adresów przedstawmy uproszczony schemat pakietów IP podróżujących w sieci.

Aby lepiej zrozumieć działanie adresów przedstawmy uproszczony schemat pakietów IP podróżujących w sieci. Struktura komunikatów sieciowych Każdy pakiet posiada nagłówki kolejnych protokołów oraz dane w których mogą być zagnieżdżone nagłówki oraz dane protokołów wyższego poziomu. Każdy protokół ma inne zadanie

Bardziej szczegółowo

PBS. Wykład 6. 1. Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy

PBS. Wykład 6. 1. Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy PBS Wykład 6 1. Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy mgr inż. Roman Krzeszewski roman@kis.p.lodz.pl mgr inż. Artur Sierszeń asiersz@kis.p.lodz.pl mgr inż. Łukasz Sturgulewski

Bardziej szczegółowo

Przypisywanie adresów IP do MAC-adresów

Przypisywanie adresów IP do MAC-adresów Przypisywanie adresów IP do MAC-adresów Aby skutecznie korzystać z reguł Firewalla, należy najpierw przypisać adresy IP do MACadresów kart sieciowych komputerów w sieci LAN. Załóżmy, że router posiada

Bardziej szczegółowo

Listy dostępu systemu Cisco IOS

Listy dostępu systemu Cisco IOS Listy dostępu systemu Cisco IOS 1. Obsługa routera Cisco Konsola zarządzania routera firmy Cisco pracującego pod kontrolą systemu operacyjnego IOS może pracować w trybie zwykłym lub uprzywilejowanym, sygnalizowanymi

Bardziej szczegółowo

DOKUMENTACJA TECHNICZNA DO PROJEKTU:

DOKUMENTACJA TECHNICZNA DO PROJEKTU: DOKUMENTACJA TECHNICZNA DO PROJEKTU: SERWER AUTORYZUJĄCY + WYDAJNY ROUTER ISP Niniejszy podręcznik stanowi dokumentację techniczną do projektu umieszczonego pod adresem www.vberry.net i jest jego integralną

Bardziej szczegółowo

Narzędzia do diagnozowania sieci w systemie Windows

Narzędzia do diagnozowania sieci w systemie Windows Narzędzia do diagnozowania sieci w systemie Windows Polecenie ping Polecenie wysyła komunikaty ICMP Echo Request w celu weryfikacji poprawności konfiguracji protokołu TCP/IP oraz dostępności odległego

Bardziej szczegółowo

Menu Status routera to pojedyncze okno, prezentujące aktualny stan oraz statystykę interfejsów z uwzględnieniem łącza dostępu do Internetu:

Menu Status routera to pojedyncze okno, prezentujące aktualny stan oraz statystykę interfejsów z uwzględnieniem łącza dostępu do Internetu: Routery DrayTek dysponują rozbudowanym środowiskiem narzędzi pomocnych w utrzymaniu i diagnozowaniu ich pracy. Różnorodność takich narzędzi oddaje w pewnym stopniu bogactwo funkcji zaimplementowanych w

Bardziej szczegółowo

Zabezpieczenia w systemach Linux. Autorzy: Krzysztof Majka, Mirosław Mika IVFDS

Zabezpieczenia w systemach Linux. Autorzy: Krzysztof Majka, Mirosław Mika IVFDS Zabezpieczenia w systemach Linux Autorzy: Krzysztof Majka, Mirosław Mika IVFDS 1 STRESZCZENIE Problemem tej pracy było pokazanie w jaki sposób można skonfigurować zaporę sieciową na systemie operacyjnym

Bardziej szczegółowo

Komunikacja w sieciach komputerowych

Komunikacja w sieciach komputerowych Komunikacja w sieciach komputerowych Dariusz CHAŁADYNIAK 2 Plan prezentacji Wstęp do adresowania IP Adresowanie klasowe Adresowanie bezklasowe - maski podsieci Podział na podsieci Translacja NAT i PAT

Bardziej szczegółowo

Aneks do instrukcji obsługi routera Asmax Br-804v II

Aneks do instrukcji obsługi routera Asmax Br-804v II Aneks do instrukcji obsługi routera Asmax Br-804v II 1. Aneks do filtrowania WAN (firmware V0.05) 2. Aneks do filtrowania LAN IP Filters (firmware A0.05) 3. Aneks do filtrowania LAN MAC Filters (firmware

Bardziej szczegółowo

9. System wykrywania i blokowania włamań ASQ (IPS)

9. System wykrywania i blokowania włamań ASQ (IPS) 9. System wykrywania i blokowania włamań ASQ (IPS) System Intrusion Prevention w urządzeniach NETASQ wykorzystuje unikalną, stworzoną w laboratoriach firmy NETASQ technologię wykrywania i blokowania ataków

Bardziej szczegółowo

Laboratorium 6.7.1: Ping i Traceroute

Laboratorium 6.7.1: Ping i Traceroute Laboratorium 6.7.1: Ping i Traceroute Topologia sieci Tabela adresacji Urządzenie Interfejs Adres IP Maska podsieci Domyślna brama R1-ISP R2-Central Serwer Eagle S0/0/0 10.10.10.6 255.255.255.252 Nie dotyczy

Bardziej szczegółowo

Załącznik D. Iproute2 i Wireless Tools

Załącznik D. Iproute2 i Wireless Tools Załącznik D Iproute2 i Wireless Tools 1 Pakiet iproute2... 2 1.1 Moduł link... 2 1.2 Moduł addr... 3 1.3 Moduł neigh... 4 1.4 Moduł route... 6 1.5 Moduł rule... 7 1.6 Moduł tunnel... 9 2 Pakiet Wireless

Bardziej szczegółowo

Wykaz zmian w programie SysLoger

Wykaz zmian w programie SysLoger Wykaz zmian w programie SysLoger Pierwsza wersja programu 1.0.0.1 powstała we wrześniu 2011. Funkcjonalność pierwszej wersji programu: 1. Zapis logów do pliku tekstowego, 2. Powiadamianie e-mail tylko

Bardziej szczegółowo

SIP Studia Podyplomowe Ćwiczenie laboratoryjne Instrukcja

SIP Studia Podyplomowe Ćwiczenie laboratoryjne Instrukcja SIP Studia Podyplomowe Ćwiczenie laboratoryjne Instrukcja Instytut Telekomunikacji Wydział Elektroniki i Technik Informacyjnych Politechnika Warszawska, marzec 2015 Wprowadzenie Ćwiczenie jest wykonywane

Bardziej szczegółowo

Sieci komputerowe laboratorium

Sieci komputerowe laboratorium Sieci komputerowe laboratorium Temat ćwiczenia: Konfiguracja zapory ogniowej. Cel ćwiczenia Celem ćwiczenia jest zapoznanie się z podstawowymi metodami ataków na system komputerowy, z metodami wykrywania

Bardziej szczegółowo