OpenBSD.

Podobne dokumenty
FreeBSD czyli nie taki diabeł straszny cz. 2 TLUG

7. Konfiguracja zapory (firewall)

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Wprowadzenie 5 Rozdział 1. Lokalna sieć komputerowa 7

PODSTAWOWA OBSŁUGA PROGRAMU PROGRAMU PACKET TRACER TRYB REAL TIME

System operacyjny Linux

Firewall bez adresu IP

Dodatek C RAS-790. Dostep do Internetu wspóldzielony dostep do Internetu dla max 253 uzytkowników

ABA-X3 PXES v Podręczna instrukcja administratora. FUNKCJE SIECIOWE Licencja FDL (bez prawa wprowadzania zmian)

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

SYSTEMY OPERACYJNE I SIECI KOMPUTEROWE. Opracowany na podstawie

Main Menu. ---> Informacje ---> Ustawienia Wireless. ---> Mode

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Aneks do instrukcji obsługi routera Asmax Br-804v II

Ćwiczenie Nr 7 Instalacja oraz konfiguracja wskazanego systemu operacyjnego

Test. Administrowanie sieciowymi systemami operacyjnymi

Instrukcje dotyczące funkcji zarządzania pasmem w urządzeniach serii ZyWALL.

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Zakresy prywatnych adresów IPv4: / / /24

Programowanie sieciowe

Rozdzial 5 Ustawienia dla uzytkownika IAS, RAS

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

Router programowy z firewallem oparty o iptables

Graficzny terminal sieciowy ABA-X3. część druga. Podstawowa konfiguracja terminala

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

OpenBSD. Tworzenie firewalli za pomoc¹ PF

DHCP + udostępnienie Internetu

Sieci Komputerowe Translacja adresów sieciowych

Linux Elementy instalacji. 1 Podział dysku na partycje. 2 Konfiguracja sprzętu (automatycznie) 3 Założenie użytkowników

pasja-informatyki.pl

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

Instalacja i konfiguracja pakietu iptables

Bazy Danych i Usługi Sieciowe

Przygotowanie komputera do pracy w trybie LAN-LAN

Zarządzanie rolami jakie może pełnić serwer System prosi o wybór roli jaklą ma spełniać serwer.

DOKUMENTACJA TECHNICZNA DO PROJEKTU:

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej (firewall) oraz oprogramowania iptables.

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe

Ping. ipconfig. getmac

Instalacja Linuksa i podstawowa konfiguracja. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Połączenia. Instalowanie drukarki lokalnie (Windows) Co to jest drukowanie lokalne?

ZiMSK NAT, PAT, ACL 1

Zarządzanie bezpieczeństwem w sieciach

Projektowanie bezpieczeństwa sieci i serwerów

Czym jest router?... 3 Vyatta darmowy router... 3 Vyatta podstawowe polecenia i obsługa... 3 Zarządzanie użytkownikami... 3 Uzupełnianie komend...

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX

WAŻNE: Słowo 'auto' oznacza, że konfigurujemy interfejs fizyczny. Wymienione po nim nazwy

MASKI SIECIOWE W IPv4

Instrukcja dotycząca funkcji zarządzania pasmem w urządzeniach serii Prestige 660HW.

Konfigurowanie interfejsu sieciowego może być wykonane na wiele sposobów.

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PRZYKŁADOWE PYTANIA NA PRÓBNY EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE ZAWODOWE

E.13.1 Projektowanie i wykonywanie lokalnej sieci komputerowej / Piotr Malak, Michał Szymczak. Warszawa, Spis treści

Narzędzia diagnostyczne protokołów TCP/IP

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

Sieci komputerowe. Wstęp

Opis instalacji i konfiguracji programu HW Virtual Serial Port z kasą PS3000Net

Połączenia. Obsługiwane systemy operacyjne. Instalowanie drukarki przy użyciu dysku CD Oprogramowanie i dokumentacja

Iptables informacje ogólne

4. Podstawowa konfiguracja

Opis ogólny ustawień NAT na podstawie Vigora serii 2700

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

Sieci komputerowe. Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008. Michał Cieśla

ZiMSK. mgr inż. Artur Sierszeń mgr inż. Łukasz Sturgulewski ZiMSK 1

Uniwersytet Mikołaja Kopernika w Toruniu. Profilowanie ruchu sieciowego w systemie GNU/Linux

Wykaz zmian w programie SysLoger

PBS. Wykład Organizacja zajęć. 2. Podstawy obsługi urządzeń wykorzystywanych podczas laboratorium.

Tomasz Greszata - Koszalin

Akademia Techniczno-Humanistyczna w Bielsku-Białej

Bezpieczeństwo systemów informatycznych

Bramka IP 2R+L szybki start.

Sieci komputerowe. Wykład 5: Warstwa transportowa: TCP i UDP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Serwer DHCP (dhcpd). Linux OpenSuse.

System komputerowy. Sprzęt. System komputerowy. Oprogramowanie

System kontroli dostępu ACCO NET Instrukcja instalacji

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci

Zadania do wykonania Firewall skrypt iptables

Telefon IP 620 szybki start.

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Windows Serwer 2008 R2. Moduł 5. Zarządzanie plikami

NAT/NAPT/Multi-NAT. Przekierowywanie portów

Pytania i odpowiedzi FAQ u

Ćwiczenie 5b Sieć komputerowa z wykorzystaniem rutera.

Telefon AT 530 szybki start.

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat usługi DHCP.

Model warstwowy Warstwa fizyczna Warstwa łacza danych Warstwa sieciowa Warstwa transportowa Warstwa aplikacj. Protokoły sieciowe

Przyjrzyjmy się z bliska możliwością konfiguracji ruchu sieciowego. 1. Na początek pole Bandwidth Management z trzema zakładkami:

ZADANIE.10 Cisco.&.Juniper DHCP (Router, Firewall)

KROK 1. KONFIGURACJA URZĄDZEŃ KOŃCOWYCH (SERWERÓW)

Transkrypt:

OpenBSD www.openbsd.org Uniksopodobny system operacyjny Opracowany na Uniwersytecie kalifornijskim w Berkley Bazuje na BSD (Berkley Software Distribution) z lat 80 Wieloplatformowy (PC, Macintosh, Sun Sparc, Compaq Alpha) System dostepny nieodplatnie

System mozna uruchomic na komputerach klasy 386 jak i na nowoczesnych serwerach Przez wielu uznawany za najbezpieczniejszy system operacyjny Twórcy stawiaja na niezawodnosc, stabilnosc, bezpieczenstwo Inne systemy BSD: NetBSD, FreeBSD, Mac OS X, BSD/OX

Literatura: Ksiazka dostepna jest w bibliotece instytutowej (zakup na prosbe naszego Kola)

Zagadnienia: Instalacja Podstawowa konfiguracja Przykladowa siec Firewall konfiguracja, filtrowanie pakietów za pomoca systemu PF Proces kolejkowania

powody stosowanie kilku partycji: Partycja bezpiecznie ogranicza wielkosc plików dziennika Uniemozliwienie zapelnienia calego dysku Zapelnienie jednej partycji umozliwia latwe rozwiazanie problemu Partycje izoluja obszary z uszkodzonym systemem plików

Partycje: / (root) Partycja podstawowa, przechowuje pliki konfiguracyjne Umieszczona jako pierwsza(najszybszy dostep) Nie musi byc bardzo pojemna (np. 500MB)

/swap Partycja wymiany Przestrzen dyskowa traktowana jako pamiec wirtualna Pojemnosc 2 x pojemnosc pamieci fizycznej Przenoszenie bezuzytecznych danych z pamieci na dysk

Pozostale partycje: /temp - systemowa przestrzen na pliki tymczasowe /var zawiera czesto zmieniajace sie dzienniki serwera www, kolejki poczty, tymczasowe pliki uruchamialne, domyslna strone www itd.

Pozostale partycje: /usr przechowywane sa programy systemu operacyjnego, systemowy kod zródlowy, kompilatory, biblioteki /home prywatne pliki uzytkowników

Instalacja Kazdy z wymienionych katalogów tj. /root, /home, /tmp, /var, /usr, /swap zostal zamontowany na odzielnej partycji Caly system zaintalowany na odzielnej rozszerzonej partycji dysku Program GAG umozliwial nam wybór systemu operacyjnego

Konfiguracja interfejsu Ethernet: Z kazda z kart sieciowych zwiazany jest osobny plik konfiguracyjny: /etc/hostname.nazwa_interfejsu Komputer LAB_C z zainstalowanym OpenBSD posiadal 2 karty: xl0 oraz rl0, tak wiec pliki konfiguracyjne: /etc/hostname.xl0 /etc/hostname.rl0

Konfiguracja sieci w pracowni:

Konfiguracja interfejsu Ethernet: Wpis do /etc/hostname.nazwa_interfejsu: inet adres_ip maska_sieci adres_rozgloszeniowy opcje /etc/hostname.rl0: inet 192.168.0.1 255.255.255.0 NONE NONE etc/hostname.xl0: inet 192.168.1.1 255.255.255.0 NONE NONE

Konfiguracja interfejsu Ethernet: Wpisanie NONE w miejsce adresu rozgloszeniowego oznacza, ze system wyznaczy adres rozgloszeniowy na podstawie podanego adresu IP oraz maski Jesli komputer ma dzialac jako klient DHCP to w pliku /etc/hostname.rl0: nalezy wpisac slowo dhcp

Konfiguracja interfejsu Ethernet: Adres bramy domyslnej mozna podac w jednym wierszu w pliku /etc/mygate Konfiguracja DNS: edytujemy plik: etc/resolv.conf wpis: domain nazwa_domeny_do_której_podlaczony_jest_komputer nameserver adres_serwera_nazw

Filtrowanie pakietów firewall: system PF PF uruchamiany po starcie systemu po ustawieniu 2 zmiennych w pliku /etc/rf.conf: pf=yes pf_rules=/etc/pf.conf Wszystkie funkcje PF konfiguruje sie w pliku /etc/pf.conf

Funkcje pojawiajace sie w PF: Makra Tabele Opcje Normalizacja ruchu Sterowanie przepustowoscia Translacja Przekierowania Filtracja pakietów

Firewall format wprowadzanej reguly: pass in on nazwa_interfejsu proto protokól from any to adres port numer_portu keep state pass/block- slowo kluczowe, filtracja pakietów (przepusc, zablokuj) in/out kierunek przeplywu pakietów (in oznacza ruch wchodzacy do chronionej sieci) on nazwa_interfejsu wskazuje interfejs przez który przechodza pakiety (np. rl0, xl0) przyklad dalszej czesci: protokól TCP, UDP from any to 192.168.1.1 port 22 keep state wskazanie iz nalezy przechowywac informacje o stanie tego polaczenia

Konfiguracja firewalla: W pliku /etc/services mamy zawarty spis uslug wraz z numerami portów np.:ssh 22 telnet 23 smtp 25 www 80 pop3 110 Zaladowanie regul z pliku /etc/pf.conf poleceniem: #pfctl f /etc/pf.conf (control the packet filter and network address translation)

Przykladowy wpis do PF: pass in on xl0 proto tcp from 192.168.1.2 to any port 22 Powyzszy zapis oznacza, ze firewall bedzie przepuszczal pakiety do routera (z Lab_D) zwiazane z protokolem ssh, przez interfejs xl0 (192.168.1.1) na porcie 22

PF Operatory logiczne: =,!=, <,<=,>,<=,<>,>< np. pass in proto tcp from any to any port 5000><6000 regula zezwala na przesylanie pakietów TCP do dowolnego portu powyzej 5000, ale ponizej 6000. Nawiasy klamrowe sluza do laczenia wpisów w jeden np. pass in proto {tcp, udp} from any to any port 53

PF makra To zmienne, które mozna definiowac na potrzeby regul Korzystajac z makra ewentualne zmiany wprowadzamy tylko w jednym miejscu Przyklad: External_if= xl0 Internal_ip= rl0 Block in on $External_if from $Internal_ip

PF tabele: Przechowuja dlugie listy adresów sieciowych (np. róznych zródel spamu) Dzialaja szybciej niz wpisy w nawiasach klamrowych Mozna je uruchamiac takze podczas pracy systemu Definicja tabeli: table <nazwa_tabeli> {adresy}

PF tabele: Przyklad: table <spam> {234.32.3.4/16, 243.45.23.2/24} Liste adresów do umieszczenia w tabeli mozna zapisac w pliku zewnetrznym; pobranie listy z pliku: table<spam> file /etc/plik1 (w pliku kazdy adres zapisujemy w oddzielnej linii, znaki # oznaczaja komentarz)

Regulacja przepustowoscia Jedna z funkcji zapór sieciowych Udostepnianie czesc pasma dla okreslonego zadania Rezerwowanie miejsca dla szczególnie waznych funkcji System PF zawiera system zarzadzania przepustowoscia ALTQ

Kolejki ALTQ zarzadza dostepnym pasmem za pomoca kolejek Kolejka jest jakby lista pakietów oczekujacych na przetworzenie Caly ruch sieciowy mozna podzielic na rózne kolejki, które reguluja przepustowosc serwera Korzystaja z algorytmu FIFO Mozliwosc kolejkowania opartego o priorytety (PRIQ) lub kolejkowania opartego o klasy (CBQ) PRIQ i CBQ wzajemnie sie wykluczaja i nie mozna ich jednoczesnie uaktywnic na jednym interfejsie

Kolejkowanie oparte o klasy W przypadkach, kiedy trzeba wplywac na dostepnosc pasma Alokowanie okreslonych przedzialów pasma dla pakietów róznego typu poprzez system hierarchicznych klas Kazda klasa ma swoja wlasna kolejke o niezaleznej charakterystyce Róznego rodzaju ruch sieciowy mozna przypisywac do róznych klas (np. ruch zwiazany z ssh do jednej klasy, z http do innej klasy) Mozliwosc pozyczania pasma od klas znajdujacych sie wyzej w hierarchii (jesli jest dostepne)

Opcje kolejek Default Control RED ECN Borrow Obydwa systemy: PRIQ oraz CBQ wymagaja utworzenia kolejki nadrzednej definiujacej podstawowe parametry regulacji przeplywu danych

Opcje kolejek Default i Control Kolejka nadrzedna moze miec tylko jedna kolejke podrzedna default funkcja domyslnej kolejki, gdy dany pakiet nie jest przydzielony do zadnej innej kolejki Kolejka typu Control uzywana jest przez pakiety kontrolne jak ICMP, IGMP

RED jest mechanizmem wczesnego wykrywania przepelnienia kolejki; gdy kolejka sie zapelni, pakiety zaczna byc pomijane ECN jest uzupelnieniem RED jest mechanizmem jawnego powiadomienia o przeciazeniu; wysylanie do urzadzen znajdujacych sie na drodze pomiedzy serwerem a klientem informacji o przeciazeniach wystepujacych w sieci i koniecznosci zmniejszenia ilosci przesylanych miedzy nimi pakietów Opcje kolejek RED oraz ECN

Opcje kolejek Borrow Tylko w powiazaniu z CBQ, dzieki tej opcji kolejka moze pozyczyc pasmo z kolejki nadrzednej (jesli dostepne) Pozyczona nadwyzka jest zwracana w momencie ponownego zwiekszenia natezenia ruch w kolejce nadrzednej

altq on slowo kluczowe bandwidth calkowita przepustowosc kolejki nadrzednej qlimit liczba pakietów przetrzymywanych w kolejce (domyslnie 50) tbrsize (opcjonalnie) jak szybko pakiety maja byc usuwane z kolejki queue lista kolejek podrzednych Konfiguracja kolejki nadrzednej altq on nazwa_intrerfejsu typ_kolejki bandwidth pasmo qlimit limit tbrsize rozmiar_tbr queue {kolejka2, kolejka3}

Definiowanie kolejek priorytetowych PRIQ Przyklad: Kolejka nadrzedna: altq on rl0 priq bandwidth 100Mb queue {ssh, other} Definicje kolejek podrzednych: queue nazwa_kolejki priority priorytet priq (opcje) priority od 0 do 15 (0-brak priorytetu, 15 max. priorytet) opcje np. RED, default

Definiowanie kolejek opartych na klasach Przyklad: Kolejka nadrzedna: altq on rl0 cbq bandwidth 100Mb queue {kolejka, kolejka2} Definicje kolejek podrzednych: queue nazwa_kolejki bandwidth pasmo priority priorytet cbq (opcje) {kolejka_podrzedna4, kolejka_podrzedna5} queue kolejka_podrzedna_4 bandwidth 5% prioryty 7 cbq(borrow) Priority(opcjonalnie) od 0 do 7 (0-brak priorytetu, 7 max. priorytet) Opcje(opcjonalnie) np. RED, default

Kolejkowanie przyklad w laboratorium Przydzielenie przepustowosci dwu sieciom LAN Kolejkowanie oparte o klasy

Kolejkowanie przyklad w laboratorium zawartosc PF Definicje kolejek: altq on rl0 cbq bandwidth 896Kb queue {lab_b, lab_h} queue lab_b bandwidth 768Kb cbq (red ecn) queue lab_h bandwidth 128Kb cbq (default red ecn)

Kolejkowanie przyklad w laboratorium zawartosc PF Przypisanie ruchu do kolejek: Pass in proto tcp from any to 192.168.0.2 keep state queue lab_b Pass in proto tcp from any to 192.168.0.3 keep state queue lab_h

DZIEKUJE ZA UWAGE Przygotowal: Lukasz Ogrodowczyk

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres