Konfiguracja sieci. wer. 1.2. Wojciech Myszka 6 stycznia 2009

Konfiguracja sieci wer. 1.2 Wojciech Myszka 6 stycznia 2009

Projekt sieci Sieć (struktura) fizyczna Okablowanie strukturalne Sieci bezprzewodowe Sieć (struktura) logiczna Sieci wirtualne

Konfiguracja interfejsów Dla każdego interfejsu zdefiniować trzeba: Adres IP Maskę sieciową (netmask) (Czasami) adres drugiego końca (Czasami) formę adresu rozgłoszeniowego (broadcast) (Czasami) metrykę (czyli odległość potrzebną do wyznaczania tras w sieci)

Konfiguracja interfejsów ifconfig HP-UX NAME ifconfig - configure network interface parameters SYNOPSIS ifconfig interface address_family [address [dest_address]] ifconfig interface [address_family] # ifconfig lan0 lan0: flags=863<up,broadcast,notrailers,running,multicast> inet 156.17.8.8 netmask ffffffe0 broadcast 156.17.8.31 # ifconfig lo0 lo0: flags=1849<up,loopback,running,multicast,cko> inet 127.0.0.1 netmask ff000000

Konfiguracja interfejsów ifconfig Linux eth0 Link encap:ethernet HWaddr 00:0F:B0:A4:22:8F inet addr:192.168.1.5 Bcast:192.168.1.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:21 errors:0 dropped:0 overruns:0 frame:0 TX packets:8 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:2404 (2.3 KiB) TX bytes:1184 (1.1 KiB) Interrupt:177 eth1 Link encap:ethernet HWaddr 00:13:CE:C0:D4:A6 inet addr:192.168.1.4 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fe80::213:ceff:fec0:d4a6/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:351 errors:5 dropped:5 overruns:0 frame:0 TX packets:274 errors:0 dropped:4 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:191010 (186.5 KiB) TX bytes:21232 (20.7 KiB) Interrupt:50 Base address:0xa000 Memory:b8006000-b8006fff lo Link encap:local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:7 errors:0 dropped:0 overruns:0 frame:0 TX packets:7 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:372 (372.0 b) TX bytes:372 (372.0 b)

Konfiguracja interfejsów ifconfig Linux (wiele interfejsów) eth0 Link encap:ethernet HWaddr 00:80:AD:7A:2B:A9 inet addr:156.17.6.30 Bcast:156.17.6.31 Mask:255.255.255.224 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:65413441 errors:9 dropped:0 overruns:9 frame:9 TX packets:78301520 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:1782138976 (1.6 GiB) TX bytes:4227095615 (3.9 GiB) Interrupt:11 Base address:0x1400 eth1 Link encap:ethernet HWaddr 00:80:AD:7A:26:8B inet addr:156.17.6.126 Bcast:156.17.6.127 Mask:255.255.255.224 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:214040693 errors:5 dropped:0 overruns:0 frame:5 TX packets:195947715 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:1124975048 (1.0 GiB) TX bytes:3276412892 (3.0 GiB) Interrupt:10 Base address:0x1800

Konfiguracja interfejsów ifconfig Linux (wiele interfejsów) cd eth2 Link encap:ethernet HWaddr 00:80:AD:02:21:C2 inet addr:156.17.6.94 Bcast:156.17.6.95 Mask:255.255.255.224 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:28144530 errors:6 dropped:0 overruns:2 frame:6 TX packets:27711573 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:1605640002 (1.4 GiB) TX bytes:4177602728 (3.8 GiB) Interrupt:7 Base address:0x2400 eth3 Link encap:ethernet HWaddr 00:D0:B7:A7:35:2A inet addr:156.17.8.11 Bcast:156.17.8.31 Mask:255.255.255.224 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:330683489 errors:478 dropped:0 overruns:247 frame:0 TX packets:341367338 errors:0 dropped:0 overruns:12 carrier:0 collisions:0 txqueuelen:100 RX bytes:1397621782 (1.3 GiB) TX bytes:4097275352 (3.8 GiB) Interrupt:5 Base address:0xf000

Konfiguracja interfejsów DHCP DHCP Dynamic Host Configuration Protocol Na podstawie adresu MAC karty sieciowej przydziela adresy IP) oraz inne, podstawowe parametry interfejsu sieciowego) ważne przez jakiś czas. Po upływie zadanego czasu informacje muszą być odnowione. Serwer DHCP (w miarę możliwości) stara się przydzielać tej samej karcie sieciowej ten sam adres. BOOTP Boot Protocol: przydział adresów następuje w sposób statyczny! RARP Reverse ARP: nieco prostsze

default-lease-time 259200; max-lease-time 259200; subnet 156.17.6.64 netmask 255.255.255.224 { range 156.17.6.65; range 156.17.6.66 156.17.6.74; range 156.17.6.75; range 156.17.6.76 156.17.6.92; option domain-name "immt.pwr.wroc.pl"; option domain-name-servers 156.17.6.94, 156.17.8.1; option routers 156.17.6.94; option netbios-name-servers 156.17.6.94; } host beryl { hardware ethernet 4c:00:10:54:97:c7; fixed-address 156.17.8.2; } DHCP Plik konfiguracyjny

DHCP Baza danych serwera lease 156.17.6.67 { starts 3 2006/12/20 08:03:08; ends 6 2006/12/23 08:03:08; hardware ethernet 4c:00:10:54:83:94; } lease 156.17.8.24 { starts 5 2006/12/15 08:30:11; ends 0 2006/12/17 08:30:11; hardware ethernet 00:02:44:43:bf:ae; uid 01:00:02:44:43:bf:ae; client-hostname "bouli"; } lease 156.17.6.84 { starts 3 2006/03/22 11:18:27; ends 3 2006/03/22 11:20:27; hardware ethernet 00:90:4b:08:94:d6; }

DHCP Baza danych klienta lease { interface "eth1"; fixed-address 192.168.1.4; option subnet-mask 255.255.255.0; option routers 192.168.1.254; option dhcp-lease-time 86400; option dhcp-message-type 5; option domain-name-servers 217.30.129.149,192.168.1.254; option dhcp-server-identifier 192.168.1.254; option netbios-name-servers 192.168.1.2; renew 2 2007/12/11 03:17:16; rebind 2 2007/12/11 13:02:26; expire 2 2007/12/11 16:02:26; }

DHCP Konfiguracja klienta # Configuration file for /sbin/dhclient, which is included in Debian's # dhcp3-client package. # send host-name "myszka-laptop"; #send dhcp-client-identifier 1:0:a0:24:ab:fb:9c; #send dhcp-lease-time 3600; #supersede domain-name "fugue.com home.vix.com"; #prepend domain-name-servers 127.0.0.1; request subnet-mask, broadcast-address, time-offset, routers, domain-name, domain-name-servers, host-name, netbios-name-servers, netbios-scope; #require subnet-mask, domain-name-servers; #timeout 60; #retry 60; #reboot 10; #select-timeout 5; #initial-interval 2; #script "/etc/dhcp3/dhclient-script"; #media "-link0 -link1 -link2", "link0 link1"; #reject 192.33.137.209;

ARP ARP Address Resolution Protocol protokół komunikacyjny przekształcania adresów IP (ustalanych autorytarnie przez użytkownika/administratora) na fizyczne, 48-bitowe adresy MAC (przypisane fizycznie m.in. do kart sieciowych) w komputerowych sieciach lokalnych typu Ethernet. Niezbędny do komunikacji w ramach segmentu sieci.

ARP Tablica ARP myszka@myszka-laptop:~$ arp -a norka-router.eu.org (192.168.1.1) at 00:17:31:47:AB:5E [ether] on et norka (192.168.1.2) at 00:30:4F:17:18:9F [ether] on eth1 myszka@myszka-laptop:~$ ping 192.168.1.3 PING 192.168.1.3 (192.168.1.3) 56(84) bytes of data. 64 bytes from 192.168.1.3: icmp_seq=1 ttl=128 time=4.97 ms 64 bytes from 192.168.1.3: icmp_seq=2 ttl=128 time=0.998 ms --- 192.168.1.3 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1002ms rtt min/avg/max/mdev = 0.998/2.985/4.973/1.988 ms myszka@myszka-laptop:~$ arp -a norka-router.eu.org (192.168.1.1) at 00:17:31:47:AB:5E [ether] on et? (192.168.1.3) at 00:0D:87:34:D2:F5 [ether] on eth1 norka (192.168.1.2) at 00:30:4F:17:18:9F [ether] on eth1 myszka@myszka-laptop:~$

Sieć na desktopie 1. NetworkManager http://www.gnome.org/projects/networkmanager/

Sieć na desktopie 1. NetworkManager http://www.gnome.org/projects/networkmanager/ 2. HAL http://www.freedesktop.org/wiki/software/hal

Sieć na desktopie 1. NetworkManager http://www.gnome.org/projects/networkmanager/ 2. HAL http://www.freedesktop.org/wiki/software/hal 3. dbus http://www.freedesktop.org/wiki/software/dbus

Sieć na desktopie 1. NetworkManager http://www.gnome.org/projects/networkmanager/ 2. HAL http://www.freedesktop.org/wiki/software/hal 3. dbus http://www.freedesktop.org/wiki/software/dbus

Sieć na desktopie 1. NetworkManager http://www.gnome.org/projects/networkmanager/ 2. HAL http://www.freedesktop.org/wiki/software/hal 3. dbus http://www.freedesktop.org/wiki/software/dbus ale karty sieciowe (zwłaszcza radiowe)

Sieć na desktopie 1. NetworkManager http://www.gnome.org/projects/networkmanager/ 2. HAL http://www.freedesktop.org/wiki/software/hal 3. dbus http://www.freedesktop.org/wiki/software/dbus ale karty sieciowe (zwłaszcza radiowe) obsługiwane uwierzytelnienia: nic, WAP czasami WPA i WPA2

Sieć na desktopie 1. NetworkManager http://www.gnome.org/projects/networkmanager/ 2. HAL http://www.freedesktop.org/wiki/software/hal 3. dbus http://www.freedesktop.org/wiki/software/dbus ale karty sieciowe (zwłaszcza radiowe) obsługiwane uwierzytelnienia: nic, WAP czasami WPA i WPA2

Sieć na desktopie 1. NetworkManager http://www.gnome.org/projects/networkmanager/ 2. HAL http://www.freedesktop.org/wiki/software/hal 3. dbus http://www.freedesktop.org/wiki/software/dbus ale karty sieciowe (zwłaszcza radiowe) obsługiwane uwierzytelnienia: nic, WAP czasami WPA i WPA2 Zero wpisów w /etc/network/interfaces (za wyjątkiem l0)

Routing Routing (trasowanie, ruting) to wyznaczanie trasy dla pakietu danych w sieci komputerowej, a następnie wysłanie go tą trasą. Routing odbywa się na podstawie informacji zawartej w warstwie trzeciej modelu OSI. Każdy pakiet ma ustawiony licznik TTL (time to live), przejście przez każdy router powoduje zmniejszenie licznika o 1; pakiety o wartości TTL 1 są gubione, a do nadawcy wysyłana jest informacja TTL Exceeded. Decyzje o wyborze trasy podejmowane są na podstawie tablic rotingu ; Tablice mogą być tworzone w sposób statyczny lub dynamiczny. Protokoły routingu dynamicznego, to RIP, IGRP, EIGRP, OSPF, BGP, IS-IS

Parametry interfejsu Adres IP: 156.17.8.1 Maska: 255.255.255.224 Adres docelowy1: 156.17.8.3 Adres źródłowy & Maska sieciowa = 156.17.8.0 156.17.8.00000001 & 255.255.255.11100000 = 156.17.8.00000000 Adres docelowy & Maska sieciowa = 156.17.8.0 Ta sama sieć! Adres docelowy2: 156.17.8.200 Adres źródłowy & Maska sieciowa = 156.17.8.0 156.17.8.11001000 & 255.255.255.11100000 = 156.17.8.11000000 Adres docelowy & Maska sieciowa = 156.17.8.192 Różne sieci! Routing Maska sieciowa

Routing Tablica routingu myszka@kufel:~\$ netstat -rn Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 156.17.6.64 0.0.0.0 255.255.255.224 U 0 0 0 eth2 156.17.8.0 0.0.0.0 255.255.255.224 U 0 0 0 eth3 156.17.6.96 0.0.0.0 255.255.255.224 U 0 0 0 eth1 156.17.6.0 0.0.0.0 255.255.255.224 U 0 0 0 eth0 0.0.0.0 156.17.8.30 0.0.0.0 UG 0 0 0 eth3

Routing Tablica routingu (ldhp715)1024: netstat -rn Routing tables Destination Gateway Flags Refs Use Interface Pmtu PmtuTime 83.29.153.213 156.17.8.30 UGHD 0 93 lan0 1500 83.238.208.226 156.17.8.30 UGHD 0 4 lan0 1500 89.174.229.66 156.17.8.30 UGHD 0 32 lan0 1500 127.0.0.1 127.0.0.1 UH 0 7665 lo0 4608 156.17.8.8 127.0.0.1 UH 224352551 lo0 4608 192.100.162.106 156.17.8.30 UGHD 0 8 lan0 1500 213.188.22.180 156.17.8.30 UGHD 0 21 lan0 1500 217.31.169.40 156.17.8.30 UGHD 0 825 lan0 1500 217.99.67.52 156.17.8.30 UGHD 0 0 lan0 1500 217.99.144.207 156.17.8.30 UGHD 0 10 lan0 1500 default 156.17.8.30 UG 1873098057 lan0 1500 156.17.8.0 156.17.8.8 U 1069628556 lan0 1500

Routing Tablica routingu (ldhpux)1837: netstat -rn Routing tables Destination Gateway Flags Refs Use Interface Pmtu PmtuTime 127.0.0.1 127.0.0.1 UH 0 151589 lo0 4608 156.17.8.1 127.0.0.1 UH 1139965616 lo0 4608 156.17.8.34 156.17.8.29 UGHD 0 95 lan0 1500 156.17.8.35 156.17.8.29 UGHD 0 113 lan0 1500 156.17.8.36 156.17.8.29 UGHD 0 170 lan0 1500 156.17.8.37 156.17.8.29 UGHD 0 10 lan0 1500 156.17.8.40 156.17.8.29 UGHD 0 299 lan0 1500 156.17.8.42 156.17.8.29 UGHD 0 197 lan0 1500 156.17.8.51 156.17.8.29 UGHD 0 3189 lan0 1500 156.17.8.52 156.17.8.29 UGHD 0 125 lan0 1500 156.17.8.58 156.17.8.29 UGHD 0 272 lan0 1500 156.17.8.100 156.17.8.29 UGHD 0 7 lan0 1500 156.17.8.101 156.17.8.29 UGHD 0 647 lan0 1500 156.17.8.102 156.17.8.29 UGHD 0 28 lan0 1500 156.17.8.123 156.17.8.29 UGHD 0 60 lan0 1500 default 156.17.8.30 UG 10217179365 lan0 1500 156.17.8.0 156.17.8.1 U 621792490 lan0 1500

Routing Aktualizacja tablic Nie jest łatwo! Kiedyś były pomysły, żeby robić to statycznie (DFN!) Teraz statycznie określa się tylko default route. Jeżeli w sieci są jeszcze inne routery pierwszy pakiet idzie przez router domyślny, który jeżeli tylko wie zwraca pakiet ICMP Host Redirect: odpowiednia pozycja zostanie wpisana do tablicy Najprostszy protokół to RIP (Routing Information Protocol) specjalne pakiety informujące o routerach w sieci lokalnej. Wygodny, ale... Jest też wiele innych protokołów stosowanych w większych sieciach... W sieci WASK...

ICMP Internet Control Message Protocol internetowy protokół komunikatów kontrolnych protokół wykorzystywany w diagnostyce sieci oraz routingu. Najpopularniejszymi programami użytkowymi wykorzystującymi protokół ICMP są ping oraz traceroute. Protokół ICMP opisany jest w RFC 792.

ICMP I 0 Echo Reply (zwrot echa odpowiedź na ping ) 1 Zarezerwowane 2 Zarezerwowane 3 Destination Unreachable (nieosiągalność miejsca przeznaczenia) 4 Source Quench (tłumienie nadawcy) 5 Redirect Message (zmień trasowanie) 6 Alternate Host Address (alternatywny adres hosta) 7 Zarezerwowane

ICMP II 8 Echo Request (żądanie echa) 9 Router Advertisement (ogłoszenie routera) 10 Router Solicitation (wybór routera) 11 Time Exceeded (przekroczenie limitu czasu) 12 Parameter Problem (Problem z parametrem) 13 Timestamp (żądanie sygnatury czasowej) 14 Timestamp Reply (zwrot sygnatury czasowej) 15 Information Request (żądanie informacji) 16 Information Reply (zwrot informacji) 17 Address Mask Request (żądanie maski adresowej)

ICMP III 18 Address Mask Reply (zwrot maski adresowej) 19 Zarezerwowane dla bezpieczeństwa 20-29 Zarezerwowane 30 Traceroute (śledzenie trasy) 31 Datagram Conversion Error (błąd konwersji datagramu) 32 Mobile Host Redirect (zmiana adresu ruchomego węzła) 33 IPv6 Where-Are-You (Pytanie IPv6 gdzie jesteś ) 34 IPv6 Here-I-Am (Odpowiedź IPv6 tu jestem )

ICMP IV 35 Mobile Registration Request (prośba o rejestrację węzła ruchomego) 36 Mobile Registration Reply (odpowiedź na prośbę o rejestrację węzła ruchomego 37 Domain Name Request (żądanie nazwy domeny) 38 Domain Name Reply (zwrot nazwy domeny) 39 SKIP Algorithm Discovery Protocol 40 Photuris, Security failures 41-255 Zarezerwowane

Routing Śledzenie pakietów w sieci traceroute traceroute to 156.17.30.101 (156.17.30.101), 30 hops m # traceroute 156.17.30.101 1 wazniak (156.17.8.30) 1 m 2 156.17.18.210 (156.17.18.210) 1 m 3 156.17.18.246 (156.17.18.246) 1 m 4 156.17.18.221 (156.17.18.221) 1 m 5 hip.ict.pwr.wroc.pl (156.17.30.101) 1 m

Routing Śledzenie pakietów w sieci ping # ping -o 156.17.30.101 PING 156.17.30.101: 64 byte packets 64 bytes from 156.17.30.101: icmp_seq=0. time=3. ms 64 bytes from 156.17.30.101: icmp_seq=1. time=4. ms 64 bytes from 156.17.30.101: icmp_seq=2. time=3. ms 64 bytes from 156.17.30.101: icmp_seq=3. time=3. ms ----156.17.30.101 PING Statistics---- 4 packets transmitted, 4 packets received, 0% packet loss round-trip (ms) min/avg/max = 3/3/4 4 packets sent via: 156.17.18.209 - [ name lookup failed ] 156.17.18.245 - [ name lookup failed ] 156.17.18.222 - [ name lookup failed ] 156.17.30.126 - elek.wask.wroc.pl 156.17.30.101 - hip.ict.pwr.wroc.pl 156.17.18.221 - [ name lookup failed ] 156.17.18.246 - [ name lookup failed ] 156.17.18.210 - [ name lookup failed ] 156.17.8.30 - wazniak

DNS DNS (Domain Name System, system nazw domenowych) to system serwerów oraz protokół komunikacyjny zapewniający zamianę adresów znanych użytkownikom Internetu na adresy zrozumiałe dla urządzeń tworzących sieć komputerową. Dzięki wykorzystaniu DNS nazwa mnemoniczna, np. pl.wikipedia.org, może zostać zamieniona na odpowiadający jej adres IP, czyli 91.198.174.2.

DNS myszka@myszka-laptop:~$ host pl.wikipedia.org pl.wikipedia.org is an alias for rr.wikimedia.org. rr.wikimedia.org is an alias for rr.knams.wikimedia.or rr.knams.wikimedia.org has address 91.198.174.2 myszka@myszka-laptop:~$ host www.pwr.wroc.pl www.pwr.wroc.pl has address 156.17.193.13 myszka@myszka-laptop:~$ host 156.17.193.13 Host 13.193.17.156.in-addr.arpa not found: 3(NXDOMAIN)

DNS Struktura hierarchiczna. Domena główna (root). Domeny regionalne (pl, de, us, uk, ie,... ) Domeny funkcjonalne (net, gov, com, org, mil,... ) W domenach krajowych wolna amerykanka: regionalne (wroc.pl), funkcjonalne (edu.pl),... Każdy serwer ma co najmniej jeden serwer zapasowy. Domena główna ma 13 serwerów: [A-M].ROOT-SERVERS.NET ale tylko jeden jest główny.

DNS Aplikacje na komputerze zadają pytania resolwerowi (zestaw procedur standardowej biblioteki); ten kontaktuje się z jednym (lub więcej) serwerami DNS obsługującymi sieć. Resztę pracy załatwia serwer DNS. Jeżeli zna odpowiedź odpowiada natychmiast. Jeżeli nie zna wyszukuje serwer mogący odpowiedzi udzielić (autorytatywny) i przekazuje mu pytanie (rekurencja); uzyskaną odpowiedź zwraca. W pewnych przypadkach zwraca pytającemu tylko informacje o serwerze autorytatywnym (brak rekurencji).

DNS Uzyskane odpowiedzi serwer przechowuje w pamięci (kesz). Każdy rekord w bazie danych ma okres ważności. Rekordy przeterminowane są usuwane z kesza. Każdy serwer DNS może być serwerem autorytatywnym dla jakiejś domeny (pierwotnym lub wtórnym) albo tylko spełniać rolę usługową keszując informacje albo nie. Protokół DNS opisuje również zasady replikacji baz danych i powiadamiania o zmianach.

DNS Przykład bazy $TTL 1D @ 1D IN SOA ldhpux.immt.pwr.wroc.pl. hostmaster.ldhpux.immt.pwr.wroc.pl. ( 2006120701 ; Serial 86400 ; Refresh (28800) 3600 ; Retry (3600) 604800 ; Expire 86400 ; Minimum TTL 1 day ) IN NS ldhpux.immt.pwr.wroc.pl. IN NS kufel.immt.pwr.wroc.pl. ldhp715 IN A 156.17.8.8 ; IN HINFO "hp 9000/715" "hp-ux" IN MX 0 ldhp715.immt.pwr.wroc.pl. www IN CNAME ananke faq IN CNAME ananke ananke IN A 156.17.8.3 IN MX 0 ananke.immt.pwr.wroc.pl. IN MX 10 ldhpux.immt.pwr.wroc.pl.

DNS Przykład bazy $TTL 1D @ IN SOA ldhpux.immt.pwr.wroc.pl. hostmaster.ldhpux.immt.pwr.wroc.pl. ( 2004010907 ; Serial 86400 ; Refresh 3 hours (28800) 3600 ; Retry 604800 ; Expire 86400 ; Minimum TTL ) IN NS ldhpux.immt.pwr.wroc.pl. IN NS kufel.immt.pwr.wroc.pl. 1 IN PTR ldhpux.immt.pwr.wroc.pl. 2 IN PTR beryl.immt.pwr.wroc.pl. 3 IN PTR ananke.immt.pwr.wroc.pl. 4 IN PTR chaos.immt.pwr.wroc.pl.

DNS Resolver Resolver (resolwer, rezolwer??) to zestaw procedur w bibliotece (libc) zajmujących się translacją adresów symbolicznych na numeryczne i odwrotnie. Do translacji używane są (oprócz systemu DNS) również inne bazy danych /etc/hosts, ldap,... Plik konfiguracyjny (zazwyczaj nsswitch.conf) zawiera wskazówki w jakiej kolejności maja być kierowane pytani i do jakich źródeł hosts: files [NOTFOUND=continue UNAVAIL=continue] dns [NOTFOUND=return UNAVAIL protocols: files[notfound=return UNAVAIL=return] services: files[notfound=return UNAVAIL=return] networks: files[notfound=return UNAVAIL=return] netgroup: files[notfound=return UNAVAIL=return] rpc: files[notfound=return UNAVAIL=return]

inetd Wszystkie usługi sieciowe realizowane są przez aplikacje (programy), które otwierają porty i nasłuchują nadchodzących z sieci zapytań oraz reagują na napływające informacje. W przypadku bardzo wielu usług sieciowych nie opłaca się uruchamiać aplikacji...... w takim przypadku konstruuje się odpowiedni program, który otwiera porty i nadsłuchuje, ale nie realizuje usługi tylko uruchamia w tym celu aplikację. To inetd (lub jakiś jego nowocześniejszy następca: xinetd, rlinetd, ucspi-tcp,... ) Często nazywany super-serwer.

inetd Korzysta z pliku konfiguracyjnego (a właściwie dwu plików): /etc/inetd.conf i /etc/services W drugim jest zapis taki: telnet a w pierwszym: 23/tcp telnet stream tcp nowait root /usr/sbin/t Pierwszy wpis informuje, że usługa telnet powiązana jest z portem 23 Drugi mówi, że uruchomić należy program /usr/sbin/telnetd z parametrem -a

inetd tftp dgram udp wait root /usr/lbin/tcpd tftpd bootps dgram udp wait root /usr/lbin/bootpd bootp #finger stream tcp nowait bin /usr/lbin/fingerd fing login stream tcp nowait root /usr/lbin/rlogind rlog daytime stream tcp nowait root internal daytime dgram udp nowait root internal time stream tcp nowait root internal time dgram udp nowait root internal #echo stream tcp nowait root internal #echo dgram udp nowait root internal pop3 stream tcp nowait root /usr/lbin/popper popp imap stream tcp nowait root /usr/lbin/imapd imapd

TCP wrapper...... czyli security by abscurity? Bardzo ładna konstrukcja programu inetd pozwala na wykonanie następującego manewru. Zanim uruchomimy usługę sprawdźmy, czy może być ona uruchomiona. W tym celu został utworzony programik o nazwie tcpwrapper Odpowiedni wpis w inetd.conf wygląda tak: pop3 stream tcp nowait root /usr/lbin/tcpd popper czyli do wykonania usługi uruchamiany jest zamiast poppera program tcpd, który w swoich plikach konfiguracyjnych sprawdza czy usługa może być uruchomiona i uruchamia ją w przypadku odpowiedzi pozytywnej.

TCP wrapper...... czyli security by abscurity? Pliki konfiguracyjne to /etc/hosts.allow i /etc/hosts.deny Pierwszy definiuje komu (adresy, domeny) wolno, a drugi komu nie wolno W sumie dosyć sprawne narzędzie

Poczta elektroniczna Jeszcze niedawno bardzo fajna usługa pozwalająca na sprawną i (w miarę) szybką komunikację. Dziś utrapienie. Zasady funkcjonowania opisuje kilka RFC: SMTP (Simple Mail Transfer Protocol) (RFC 5321) opisuje protokół używany przez serwery pocztowe do komunikacji między sobą. format wiadomości e-mail opisuje RFC 5322 (Internet Message Format) Sposób przesyłania multimediów opisuje RFC 2045 (Multipurpose Internet Mail Extensions (MIME) Part One: Format of Internet Message Bodies) oraz skojarzone RFC2046, RFC2047, RFC2048, RFC2049

Poczta I RFC 0821 Simple Mail Transfer Protocol. J. Postel. August 1982. (Format: TXT=124482 bytes) (Obsoletes RFC0788) (Obsoleted by RFC2821) (Also STD0010) (Status: STANDARD) 0822 STANDARD FOR THE FORMAT OF ARPA INTERNET TEXT MESSAGES. D. Crocker. August 1982. (Format: TXT=106299 bytes) (Obsoletes RFC0733) (Obsoleted by RFC2822) (Updated by RFC1123, RFC2156, RFC1327, RFC1138, RFC1148) (Also STD0011) (Status: STANDARD)

Poczta II RFC 2821 Simple Mail Transfer Protocol. J. Klensin, Ed.. April 2001. (Format: TXT=192504 bytes) (Obsoletes RFC0821, RFC0974, RFC1869, STD0010) (Obsoleted by RFC5321) (Updated by RFC5336) (Status: PROPOSED STANDARD) 2822 Internet Message Format. P. Resnick, Ed.. April 2001. (Format: TXT=110695 bytes) (Obsoletes RFC0822) (Obsoleted by RFC5322) (Updated by RFC5335, RFC5336) (Status: PROPOSED STANDARD)

Poczta III RFC 5321 Simple Mail Transfer Protocol. J. Klensin. October 2008. (Format: TXT=225929 bytes) (Obsoletes RFC2821) (Updates RFC1123) (Status: DRAFT STANDARD) 5322 Internet Message Format. P. Resnick, Ed.. October 2008. (Format: TXT=122322 bytes) (Obsoletes RFC2822) (Updates RFC4021) (Status: DRAFT STANDARD)

Poczta elektroniczna Nomenklatura: MTA Mail Transfer Agent (Agent Transferowy? sendmail, qmail, postfix, exim,... ) UA (MUA) User Agent (agent użytkownika?) program pocztowy DA (MDA) Delivery Agent (agent doręczający na przykład lmail, procmail, uux)

Poczta elektroniczna Dodatkowo protokoły: SMTP (komunikacja serwerów i zazwyczaj dostarczanie poczty z UA do MTA POP (Post Office protocol) odbiór poczty z konta pocztowego do UA IMAP (Internet Message Access Protocol) odbiór poczty z konta pocztowego do UA (znacznie bardziej zaawansowany niż POP)

Poczta elektroniczna Problemy Uprawnienie do korzystania z serwera (relaying poczty) autoryzacja, listy dostępu Wirusy oprogramowanie antywirusowe współpracujące albo z serwerem albo z klientem pocztowym Spam oprogramowanie antyspamowe współpracujące albo z serwerem albo z klientem pocztowym, listy dostępu (RBL) Przesyłanie wielkich plików ograniczenia (wielkości przesyłki, skrzynki pocztowej) szkolenie użytkowników, oddzielanie załączników i udostępnianie ich na stronach WWW Wszystko powyższe zżera zasoby głównie czas

Poczta elektroniczna Walka ze spamem Filtrowanie adresów Black list White list Filtrowanie serwerów Black list White list Mieszanka powyższego Analiza zawartości listu Porównywanie funkcji skrótu ze zgromadzoną zawartością bazy danych Analiza statystyczna słów treści Uczenie (dobry/zły) OCR (???)

NFS Mocno stary pomysł. Umożliwia dzielenie zasobów dyskowych między komputerami Główne zastosowania: kartoteki domowe użytkowników wspólne zasoby oprogramowania thin client Prawa dostępu oparte na identyfikatorze użytkownika (i jednokrotnym potwierdzeniu tożsamości) Serwer bezstanowy (sesja jest w stanie przetrwać restart serwera NFS). Ale NFS ver 3! Złożoność konfiguracji (niuanse transmisji sieciowej, praw dostępu itd.)

NFS kufel root@kufel:~# cat /etc/exports # /etc/exports: the access control list for filesystems which may be exported # to NFS clients. See exports(5). #/cdrom (ro) #/usr/local 156.17.6.64/255.255.255.224 #/usr/tex 156.17.6.64/255.255.255.224 #/hdb1/usr/local 156.17.6.64/255.255.255.224 #/hdb1/sco 156.17.6.64/255.255.255.224 #/var chmiel taxis #/home 156.17.6.64/255.255.255.224 adac ldhpux fractal chmiel /home 156.17.6.64/255.255.255.224(rw) 156.17.6.0/255.255.255.224(rw) /var/spool/mail 156.17.6.64/255.255.255.224(rw)

NFS root@kufel:~# showmount -e ldhpux Export list for ldhpux: / ldhp715,chaos,fractal /uuu ldhp715,kufel,chaos /opt ldhp715,xterm1,wavelet,xterm2,xterm3,xterm4,w /opt/tex ldhp715 /home ldhp715

NFS root@kufel:~# showmount -e arka.wcss.wroc.pl Export list for arka.wcss.wroc.pl: /HSM_TSM/UniTree/NFS/PANDA panda /HSM_TSM/UniTree/NFS/LETYCJA grom-nfs,tezro-nfs /HSM_TSM/UniTree/IMMT ananke,ldhpux,kufel

NFS Konfiguracja klienta Albo odpowiednie wpisy do fstab Albo aoutomonter (lub jakiś jego wariant) Obie metody mało wygodne awaria serwera powoduje (może powodować) nieprzyjemne zwisy...

Network Time Protocol Czyli synchronizacja czasu Rozbudowany protokół pozwalający w precyzyjny sposób synchronizować zegary komputerów. Podstawa: serwery wyposażone w jakiś dokładny zegar (GPS, DCF, zegar atomowy,... ) Stratum 1 komputery serwujące czas na podstawie dokładnego zegara sprzętowego. Stratum 2 komputery synchronizujące się z serwerami Stratum 1 Stratum 3...

NTP ntpq (ldhpux)1849: /usr/sbin/ntpq -p remote refid st t when poll reach delay offset disp ============================================================================== LOCAL(1) LOCAL(1) 4 l 48 64 377 0.00 0.000 10.01 156.17.8.31 0.0.0.0 16 - - 64 0 0.00 0.000 16000.0 -smtp.certum.pl.pps. 1 u 403 1024 377 24.43-2.254 0.17 -Time1.Stupi.SE.PPS. 1 u 49 64 377 52.44 2.245 0.09 -Time2.Stupi.SE.PPS. 1 u 32 64 377 52.60 1.819 0.37 +anna.mat.uni.to ntps1-0.cs.tu-b 2 u 34 64 377 17.81-0.273 0.14 cyber.ict.pwr.w anna.mat.uni.to 16 u 470 1024 0 3.08 0.885 16000.0 ntp.task.gda.pl info.cyf-kr.edu 3 u 30 256 377 13.60 0.892 0.27 *vega.cbk.poznan.pps. 1 u 29 64 377 7.22-0.386 0.14 +recesja.icm.edu ntps1-0.cs.tu-b 2 u 17 64 377 9.80-0.429 0.43 -dns2.rz.uni-kar ntp-s1.rz.uni-k 2 u 18 64 377 33.20-1.032 0.26 -ntp04.oal.ul.pt ntp01.oal.ul.pt 2 u 377 1024 377 71.50 4.214 0.49 +tempus1.gum.gov.pps. 1 u 20 64 377 19.33-0.116 0.14

NTP ntpdate Serwer NTP (xntpd) nie potrafi skorygować zbyt wielkich odchyleń zegara. W związku z tym przed uruchomieniem należy wstępnie, w miarę precyzyjnie ustawić czas. Służy do tego program ntpdate. Można użyć też programu rdate. Można też użyć jakiegoś innego wynalazku, który odczytywał będzie czas z jakiegoś (w miarę) wiarygodnego źródła (port 13, serwer WWW, cokolwiek... )

NTP xntpd konfiguracja plik ntpd.conf Przykładowa zawartość # /etc/ntp.conf, configuration for ntpd driftfile /var/lib/ntp/ntp.drift statsdir /var/log/ntpstats/ statistics loopstats peerstats clockstats filegen loopstats file loopstats type day enable filegen peerstats file peerstats type day enable filegen clockstats file clockstats type day enable # You do need to talk to an NTP server or two (or three). server ntp.ubuntu.com #... and use the local system clock as a reference if all else fails # NOTE: in a local network, set the local stratum of *one* stable server # to 10; otherwise your clocks will drift apart if you lose connectivity. fudge 127.127.1.0 stratum 13 # By default, exchange time with everybody, but don't allow configuration. # See /usr/share/doc/ntp-doc/html/accopt.html for details. restrict default kod notrap nomodify nopeer noquery

Zarządzanie siecią Wykrywanie błędów (sieć, routery, urządzenia aktywne, serwery) Informowania administratora Monitorowanie ruchu Wykrywanie zagrożeń i nadużyć Dokumentowanie Zarządzanie z jednego miejsca

SNMP Protokół SNMP (Simple Network Managing Protocol) pozwala na wykonanie większości z przedstawionych zadań. SNMP nie jest jedynym narzędziem bardzo efektywne mogą być programy ping, traceroute, netstat, które ujawnią symptomy (netstat) lub efekty awarii (ping, traceroute). Kupując urządzenie aktywne bardzo często dostajemy oprogramowanie do zarządzania, które wykorzystuje właśnie SNMP (ale się tym nie chwali). Bardzo często całe zarządzanie dokonywane jest za pomocą wbudowanego w urządzenie serwera WWW; prostsze mają serwer WWW nie mają (agenta) SNMP.

SNMP Baza MIB Baza MIB (Management Information Base) hierarchiczny zbiór zmiennych (do odczytu i czasami zapisu) zawierający informacje o stanie urządzenia. Jeżeli można wartość jakiejś zmiennej ustawiać z zewnątrz pozwala to na sterowanie jego pracą i właściwościami. Jest bardzo wiele programów do zarządzania siecią z użyciem SNMP; najbardziej znane to HP OpenView,...

SNMP Przykład SNMPv2-MIB::sysDescr.0 = STRING: Cisco Internetwork Operating System Software IOS (tm) C2900XL Software (C2900XL-C3H2S-M), Version 12.0(5.2)XU, MAINTENANCE Copyright (c) 1986-2000 by cisco Systems, Inc. Compiled Mon 17-Jul-00 17:35 by ayounes SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.220 SNMPv2-MIB::sysUpTime.0 = Timeticks: (2906433395) 336 days, 9:25:33.95 SNMPv2-MIB::sysContact.0 = STRING: Wojciech Myszka <w.myszka@immt.pwr.wroc.pl> SNMPv2-MIB::sysName.0 = STRING: immt-swe1.immt.pwr.wroc.pl SNMPv2-MIB::sysLocation.0 = STRING: 110 B1 SNMPv2-MIB::sysServices.0 = INTEGER: 2 SNMPv2-MIB::sysORLastChange.0 = Timeticks: (0) 0:00:00.00 IF-MIB::ifNumber.0 = INTEGER: 31 IF-MIB::ifIndex.1 = INTEGER: 1

SNMP Przykład IF-MIB::ifDescr.1 = STRING: VLAN1 IF-MIB::ifDescr.2 = STRING: FastEthernet0/1 IF-MIB::ifDescr.3 = STRING: FastEthernet0/2 IF-MIB::ifDescr.4 = STRING: FastEthernet0/3 IF-MIB::ifDescr.5 = STRING: FastEthernet0/4 IF-MIB::ifDescr.6 = STRING: FastEthernet0/5 IF-MIB::ifDescr.7 = STRING: FastEthernet0/6 IF-MIB::ifDescr.8 = STRING: FastEthernet0/7 IF-MIB::ifDescr.9 = STRING: FastEthernet0/8 IF-MIB::ifDescr.25 = STRING: FastEthernet0/24 IF-MIB::ifDescr.26 = STRING: FastEthernet1/1 IF-MIB::ifDescr.27 = STRING: FastEthernet1/2 IF-MIB::ifDescr.28 = STRING: FastEthernet1/3 IF-MIB::ifDescr.29 = STRING: FastEthernet1/4 IF-MIB::ifDescr.30 = STRING: Null0 IF-MIB::ifDescr.31 = STRING: VLAN219

SNMP Przykład IF-MIB::ifSpeed.1 = Gauge32: 10000000 IF-MIB::ifSpeed.2 = Gauge32: 100000000 IF-MIB::ifSpeed.3 = Gauge32: 0 IF-MIB::ifSpeed.29 = Gauge32: 100000000 IF-MIB::ifSpeed.30 = Gauge32: 4294967295 IF-MIB::ifSpeed.31 = Gauge32: 10000000 IF-MIB::ifAdminStatus.1 = INTEGER: up(1) IF-MIB::ifAdminStatus.2 = INTEGER: up(1) IF-MIB::ifAdminStatus.3 = INTEGER: up(1) IF-MIB::ifOperStatus.1 = INTEGER: up(1) IF-MIB::ifOperStatus.2 = INTEGER: up(1) IF-MIB::ifOperStatus.3 = INTEGER: down(2) IF-MIB::ifLastChange.1 = Timeticks: (4281) 0:00:42.81 IF-MIB::ifLastChange.2 = Timeticks: (4953) 0:00:49.53 IF-MIB::ifLastChange.3 = Timeticks: (1304890640) 151 days, 0:41:46.40

SNMP Przykład IF-MIB::ifInOctets.1 = Counter32: 980869431 IF-MIB::ifInOctets.2 = Counter32: 52159315 IF-MIB::ifInOctets.3 = Counter32: 127576794 IF-MIB::ifInUcastPkts.1 = Counter32: 2302685 IF-MIB::ifInUcastPkts.2 = Counter32: 2254248453 IF-MIB::ifInUcastPkts.3 = Counter32: 627976 IF-MIB::ifInNUcastPkts.1 = Counter32: 9058972 IF-MIB::ifInNUcastPkts.2 = Counter32: 3112187 IF-MIB::ifInNUcastPkts.3 = Counter32: 4103 IF-MIB::ifInDiscards.1 = Counter32: 35 IF-MIB::ifInDiscards.2 = Counter32: 546 IF-MIB::ifInErrors.1 = Counter32: 0 IF-MIB::ifInErrors.2 = Counter32: 512 IF-MIB::ifOutOctets.1 = Counter32: 331831808 IF-MIB::ifOutOctets.2 = Counter32: 1181684003 IF-MIB::ifOutOctets.3 = Counter32: 3105575646

SNMP Przykład RFC1213-MIB::atIfIndex.31.1.156.17.8.1 = INTEGER: 31 RFC1213-MIB::atIfIndex.31.1.156.17.8.3 = INTEGER: 31 RFC1213-MIB::atIfIndex.31.1.156.17.8.11 = INTEGER: 31 RFC1213-MIB::atIfIndex.31.1.156.17.8.28 = INTEGER: 31 RFC1213-MIB::atIfIndex.31.1.156.17.8.30 = INTEGER: 31 RFC1213-MIB::atPhysAddress.31.1.156.17.8.1 = Hex-STRING: 08 00 09 18 3C 6A RFC1213-MIB::atPhysAddress.31.1.156.17.8.3 = Hex-STRING: 00 D0 B7 B6 E7 A8 RFC1213-MIB::atPhysAddress.31.1.156.17.8.11 = Hex-STRING: 00 D0 B7 A7 35 2A RFC1213-MIB::atPhysAddress.31.1.156.17.8.28 = Hex-STRING: 00 04 4D D8 87 40