2015-01-30
1084
Часто файервол, как специализированный дистрибутив, поддерживает технологию VPN (Virtual Private Network — виртуальная локальная сеть). Существует несколько реализаций VPN, но в общем все они сводятся к созданию так называемого туннеля между двумя сетевыми интерфейсами, в качестве которых как правило используются красные сетевые интерфейсы файерволов. Через туннель передается зашифрованный пакет IP-уровня. Таким образом локальные сети, подключенные к зеленым интерфейсам, видят вместо двух файерволлов и глобальной сети между ними маршрутизатор с двумя зелеными сетевыми интерфейсами. Через VPN возможно подключение к серверам vtp, http, СУБД и т.д. Хосты с ОС Linux могут напрямую общаться между собой через VPN, используя протоколы ssh(fish) и nfs. Для Windows возможно использование Remote Desktop (удаленный рабочий стол), а также имеются специальные дополнения, позволяющие использовать общие сетевые папки и принтеры рабочей группы через VPN.
Endian Firewall поддерживает две разновидности VPN: Open VPN и VPN IPsec.
Рассмотрим настройку соединения двух локальных сетей через VPN IPseс.
|
|
|
В главном меню выбираем VPN и в локальном меню слева — IPsec. Делаем отметку, что сервер включен, и нажимаем на кнопку «Сохранить».
После этого выбираем тип подключения Сеть-Сеть и нажимаем на кнопку «Добавить».
Затем в открывшемся окне вводим имя соединения, если нужно исправляем данные локальной подсети, и задаем удаленный узел (IP-адрес красного интерфейса соседнего Endian Firewall) и адрес удаленной локальной сети.
Помимо этого требуется задать общий ключ, в качестве которого должна использоваться одна и та же строка на обеих сторонах VPN соединения. Подобную настройку следует выполнить и на другой стороне VPN соединения — соседнем Endian Firewall.
После нажатия на кнопку «Сохранить» в нижней части формы, в таблице соединений появится соответствующая строка. Если все данные введены корректно, то спустя некоторое время статус соединения на обеих сторонах изменится с «Закрыто» на «Открыто». Это значит, что теперь локальные сети могут взаимодействовать между собой так, как будто между ними расположен только один маршрутизатор.
34. Сетевая служба времени. Два варианта коррекции времени.
Сетевая служба времени или ntp (network time protocol) помимо утилитарной, лежащей на поверхности причины, — одинаковое время на всех клиентских компьютерах — играет большую роль в функционировании серверов dns (доменной системы имен) и магистральных маршрутизаторов, являющихся основой как глобальной сети wan (world area network), так и корпоративных сетей больших предприятий man (metropolitan area network). В глобальной сети Интернет имеется несколько эталонных серверов времени, к которым подключаются сервера нижних уровней. Предприятия также могут иметь свои собственные сервера времени, подключенные к серверам нижнего уровня в Инетернет.
|
|
|
1.Для клиентского компьютера коррекция времени осуществляется при помощи следующей команды, выполняемой от имени администратора:
# ntpdate <ntp-сервер>
где ntp-сервер — это IP-адрес или имя одного из доступных серверов времени.
Если же клиентский компьютер не выключается сутками, то данную команду следует выполнять автоматически каждые 2-3 часа. Дело в том, что системные часы на любом компьютере из-за возникающих время от времени блокировок аппаратных прерываний постоянно отстают, и это отставание потихоньку набегает до нескольких минут, что может оказаться существенным при проведении банковских транзакций или операций с ценными бумагами. Однако коррекция системных часов при помощи рассмотренной командыntpdate пригодна только для клиентских рабочих мест, где требования к синхронизации часов не очень высоки. Дело в том, что в данном случае не учитывается время прохождения пакета между ntp-сервером и компьютером, запросившем точное время.
Это время прохождения пакета может достигать, если ntp-сервер нелокальный, 1-2 сек. И, соответственно, системное время на клиентском компьютере никогда не будет точным. Такая ситуация вполне приемлема на рабочих местах в офисе и недопустима в глобальных системах мониторинга сложных технических объектов, современном высокотехнологичном производстве, а также при совместной работе dns-серверов. Последние при рассогласовании часов просто не будут нормально функционировать.
2.Где требуется точное время, должна быть запущенntp-демон (ntpd) — такая же служба, как и на ntp-серверах. В коде данной службы реализован изощренный алгоритм, позволяющий учитывать время прохождения пакета между узлами сети, поэтому ntp-сервера различных уровней, постоянно общаясь между собой, синхронизируют время с точностью до миллисекунд. Кроме того для коррекции времени после первоначальной синхронизации часов производится замедление или ускорение часов на ntp-серверах нижнего уровня. Трафик между серверами сетевого времени очень мал по сравнению с http-трафиком, а сама служба ntpd потребляет немного ресурсов, поэтому на каждом предприятии есть смысл иметь по крайней мере один ntp-сервер.
Конфигурационный файл службы ntpd - /etc/ntp.conf - позволяет задавать различные варианты функционирования ntp-сервера:
– только раздача времени по указанным направлениям;
– только прием времени от указанных серверов;
– совместное поддержание времени с указанными серверами;
– любая комбинация из вышеперечисленного.
Конфигурация задается при помощи так называемых ограничений или правил, начинающихся с ключевого слова restrict, за которым следует адрес сети или хоста и набор флагов, специфицирующих правило, относящееся к заданному адресу: restrictaddress [mask<mask>] [flag...]
Основные флаги
ignore - игнорировать все запросы для заданного адреса;
notrust - не рассматривать как источник информации, только передавать свое время;
noquery - не передавать свое время по запросам, а только получать;
notrup - не обрабатывать события на удаленном сервере;
nomodify - не давать изменять свои конфигурационные параметры в ходе работы.
Ограничения строятся по следующему принципу: вначале все запрещается, а потом вносятся необходимые разрешения.
После этого идет список серверов, от которых наш сервер может получать время. Если эти сервера не указаны в ограничении с флагом noquery, то теоретически они могут обращаться к нам в ходе поддержания единого сетевого времени.
server [key] <имя или адрес> [prefer]
key - ключ, используемый для аутентификации;
prefer - указывает на то, что данный сервер является предпочтительным, и может встречаться только один раз.
Текущее состояния ntp-сервера можно узнать при помощи команды ntpq –p
