Прокси сервер судалж, тохируулах • IPTABLES судалж ...

ЛАБОРАТОРИ 4 ЗОРИЛГО

Прокси сервер судалж, тохируулах IPTABLES судалж, тохируулах

ЛАБОРАТОРИ ХИЙХЭД ШААРДАГДАХ ТОНОГ ТӨХӨӨРӨМЖҮҮД UBUNTU 12.04 үйлдлийн систем суусан 2 сүлжээний карттай компьютер. Бүх

даалгаварыг BASH шелл дээр хийнэ.

ОНОЛЫН ХЭСЭГ

Прокси сервер гэж юу? Прокси сервер гэдэг нь клеинт дээр ажиллаж байгаа аппликешн, жишээ нь веб

броузер болон бодит серверийн хооронд байрлах сервер юм. Өөрөөр хэлбэл бодит сервер

рүү явж байгаа бүх хүсэлт энэ серверээр дамжина гэсэн үг. Хэрвээ хүсэлтийг энэ

серверээр дамжуулан биелүүлэх боломжтой бол биелүүлнэ, боломжгүй бол бодит сервер

рүү дамжуулна. Прокси нь үндсэн 2 зорилготой.

* Гүйцэтгэлийг сайжруулна: Энэ сервер хэрэглэгчийн хүсэлтийг тодорхой

хугацааны туршид хадгалж байдаг. Жишээ нь хэрэглэгч A болон B нь прокси

серверээр дамжиж веб хуудас үздэг гэж үзье. Хэрэглэгч А

http://en.wikipedia.org/wiki/ энэ вебийг үзэхийг хүссэн гэж бодъё. Хэсэг хугацааны

дараа хэрэглэгч Б мөн тухайн хуудсыг үзэх хүсэлт илгээсэн гэвэл энэ хүсэлтийг

бодит сервер лүү дамжуулахгүй, прокси сервер нөөшилсөн учраас прокси сервер

хариу илгээнэ. Ингэснээр хугацаа хэмнэнэ гэсэн үг.

* Хүсэлтүүдийг шүүнэ. Хүсэлтүүдийг шүүхэд хэрэглэнэ. Жишээ нь прокси

серверийг ашиглаад зарим нэг веб хуудас руу хандах хандалтыг хязгаарлаж болно.

Мөн сүлжээний IP хаягаар, хэрэглэгчийн нэрээр, цаг хугацаагаар нь хэрэглэгчдийн

хандалтыг нь хязгаарлаж болно. Проксиг яаж ажиллуулахаар тохируулахыг мэдээж

админ шийднэ.

Веб нөөш хийдэг прокси сервер: SQUID

Сүлжээний зурвасын өргөнийг үр ашигтайгаар удирдах аргууд

Зурвасын өргөний ач холбогдол Жилээс жилд интернэтийн хэрэглээ өсөн нэмэгдсээр байна. Өндөр хурдны интернэтийн

холболтоор хангагдсан аль ч төрлийн бизнесийн байгууллагын хувьд өдөр тутмын үйл

ажиллагаагаа явуулахад олон давуу талуудыг авчрах нь тодорхой. Ихэнх бизнесийн

байгууллагууд үүнийг ойлгон, өндөр үнээр зурвасыг худалдан авдаг хэдий ч тэр болгон үр

ашигтайгаар, бүрэн дүүрэн хэрэглэж чаддаггүй. Энэ нь тухайн байгууллагын сүлжээний

мэргэжилтний мэдлэг чадварын байдал, тоног төхөөрөмж зэрэг олон хүчин зүйлүүдтэй холбоотой. Зурвасын өргөн болон сүлжээний траффикийг үр ашигтай зохицуулах олон аргууд

байдаг. Ерөнхийдөө траффик болон зурвасын өргөнөө зохицуулах нь нэвтрүүлэх

чадамж(throughput), delay(хоцрол), чичиргээ(jitter) гэсэн хүчин зүйлүүдийг удирдахтай

холбогдоно. Зурвасын өргөнийг үр ашигтай зохицуулах үндсэн 3 төрлийн, харилцан хамааралтай

аргууд байна. Үүнд: * Ачааллын удирдлагын арга - Traffic Management/Qos * Нөөшлөх арга – Caching * Шахах арга – Compression * Бусад арга

Нөөшлөх арга Ихэнх веб броузерүүд нь өмнө нь хандсан веб хуудсуудыг нөөцлөн дотоод нөөшийг

үүсгэдэг. Proxy cache нь үүнтэй адилхан ажилладаг ба WAN сүлжээний хил(edge) дээр

байрлаж нэг биш олон хэрэглэгчийн хүсэлтийг биелүүлдэг. Ингэснээр өмнө хандсан веб

хуудсууд руу яг дотоод сүлжээний сервер лүү хандаж байгаа юм шиг илүү хурдан хандах

боломжийг олгодог. Энэ утгаараа энэ нь өгөгдлийг илүү хурдан дамжуулах ухаалаг арга

болсон байна. Ерөнхий ажиллагааны зарчим

1. Хэрэглэгч веб хуудас үзэх хүсэлт илгээнэ. 2. Сүлжээ нь хүсэлтэнд анализ хийж, дотоод proxy сервер лүү илгээх эсэхээ шийднэ. 3. Хэрвээ тухайн хүссэн веб Proxy сервер дээр хадгалагдаагүй бол оргиналь веб сервер

лүү дамжуулна. 4. Оргиналь веб сервер нь proxy cache рүү хуудсыг дамжуулна. Тэгээд хэрэглэгчийн

хүсэлтийг биелүүлнэ.

SQUID нөөшлөх сервер Squid нь HTTP, HTTPS, FTP болон бусад протоколыг дэмжин ажилладаг вебэд зориулсан

нөөшлөх прокси(зуучлагч) сервер юм. Энэ нь тухайн сүлжээнд олон дахин үзсэн веб

хуудсыг нөөшилж авсанаар веб хүсэлтэнд хариу өгөх хугацааг багасгаж, зурвасын

өргөний үр ашгийг дээшлүүлдэг. Интернэт үйлчилгээ үзүүлэгч нь интернэтийнхээ

урсгалыг хэмнэх үүднээс вэб нөөш ашигладаг. Хэрвээ ханддаг вебүүд ардаа өгөгдлийн сан ашигладаг бол өгөгдлийн сан луу хандсан

хандалтыг мөн нөөшилж болно. Систем хөгжүүлэлтэд ихэвчлэн өгөгдлийн сан руу хандах

хандалтыг нөөшилдөг. Дараах хоёр янз байдаг: • өгөгдлийн сан руу хандах холболтыг нөөшлөх • өгөгдлийн сангаас уншсан мэдээллийг нөөшлөх.

Өгөгдлийн сан руу шинэ холболт үүсгэх нь нилээд төвөгтэй байдаг учраас нэг үүсгэсэн

холболтоо ахин дахин ашиглахын тулд нөөшилж хадгалахыг холболтыг нөөцлөх гэдэг. Олон дахин хэрэглэгдэх мэдээллийг өгөгдлийн сангаас уншаад апликэшний түвшинд

нөөшлөх нь хурдыг нэмэгдүүлэх хамгийн шалгарсан арга байдаг. Өгөгдөл ер нь

хэрэглэгдэх газартаа ойрхон нөөшлөгдөх тусмаа үр ашиг нь төдий чинээ их байдаг. Squid

нь Windows болон GNU лицензтэй үйлдлийн системүүд дээр ажиллах боломжтой. Мөн

squid-ийг веб рүү хандах хандалтыг хязгаарладаг байдлаар тохируулж болно.

Squid сервер суулгахад шаардагдах зүйлс

* 2 LAN карттай Linux үйлдлийн системтэй компьютер. Эсвэл виртуаль машин дээр

2 хост тавьж хэрэгжүүлж болно. * Дараах байдлаар сүлжээг зохион байгуулна.

Сүлжээг доорх байдлаар тохируул.

vi /etc/network/interfaces auto lo iface lo inet loopback auto eth0 ----------------------------Гадаад интерфейс iface eth0 inet static address 10.10.100.2 netmask 255.255.255.0

gateway 10.10.100.1 auto eth1 -------------------------Дотоод интерфейс iface eth1 inet static address 192.168.1.1 netmask 255.255.255.0 gateway 192.168.1.2

ТУРШИЛТЫН ХЭСЭГ

Squid server суулгах, тохируулах # apt -get install squid3 (apt- ийг ашиглаж squid3-ийг суулгах)

# vi /etc/squid3/squid.conf Үндсэн тохиргооны файлд дараах өөрчлөлтийг хийнэ.

acl CONNECT method CONNECT (Acl-ээр холбогдох) # line 706: define ACL for internal (Дотоод сүлжээг заасан lan нэртэй ACL-ийг тодорхойлох)

acl lan src 10.0.0.0/24 http_access allow localhost (http хандалтыг зөвшөөрөх)

# line 830: add (set ACL for internal) (Дотоод ACL нэмэх) http_access allow lan ( lan нэртэй дотоод сүлжээг заасан acl-ийн хувьд http буюу веб

хандалтыг зөвшөөрөх) # line 1117: change http_port 8080 (Squid нь 3128 портыг дефаултаар сонсдог. Үүнийг өөрчилж болно. Жишээ

нь: 8080 ) # line 3368: add follows (Сүүлд нэмэх)

request_header_access Referer deny all (Бүх хамаарлыг үгүйсгэх) request_header_access X-Forwarded-For deny all (X-forward-ийг бүгдийг үгүйсгэх)

request_header_access Via deny all (Бүх Замыг үгүйсгэх ) request_header_access Cache-Control deny all (Бүх нөөцлөх удирдлагыг үгүйсгэх ) # line 3653: add (define hostname) (host-ийн нэрийн утгыг нэмэх) visible_hostname lan.server.world (клеинт тал дээр харагдах хостын нэр)

# forwarded_for on (forward хийх нээгдэх) # line 5384:: add (hide IP address) (hide- ip хаяг өгөх) forwarded_for off (forward yнтраах) #/etc/init.d/squid3 stop #/etc/init.d/squid3 start(squid-ээ restart хийх) Ингэснээр дараах процесс ажиллах болно.

* Restarting Squid HTTP Proxy 3.x squid3

* Waiting...

...done.

* Creating Squid HTTP Proxy 3.x cache structure

2011/05/05 03:31:41| Creating Swap Directories

...done. Клеинт буюу веб броузер дээр proxy серверийг идэвхжүүлэх тохиргоо Ихэвчлэх Tools-Options гэхэд дараах цонх нээгдэнэ. Зураг 1

Эндээс Setup гэж ороод proxy серверээ зааж өгнө. Тухайлбал серверийн хостын нэр эсвэл

IP хаяг, портын дугаар(8080) гэж заана. Ингэснээр proxy серверээр интернэтэд гарах

боломжтой.

Iptables/NAT

Linux-ийн серверийг firewall, router маягаар жижиг сүлжээнд тохируулан

ажиллуулах боломжтой байдаг.

Iptable гэдэг нь Linux-ийн ихэнх хувилбар дээр автоматаар суусан байдаг firewall/NAT

пакеж юм. Энд янз бүрийн дүрмүүдийг тодорхойлж болох ба тухайлбал зарим нэг вэб

хандалтыг хаах гэх мэт. Мөн NAT тохируулах боломжтой(ингэснээр router маягаар

ажиллаж байна). IPTABLES-үүдийн коммандуудыг хэрэглэн бий болсон дүрмүүдийг

“ruleset” эсвэл “chain” гэдэг. Proxy сервер iptables-ийг хамтад нь ашиглавал илүү үр ашигтай байдаг. Яагаад гэвэл Proxy

серверийн хувьд зөвхөн веб хүсэлтүүдийг шүүдэг бол iptables-ийн хувьд олон төрлийн

хүсэлтүүдийг шүүж чадна. Тухайлбал icmp, ssh, telnet, http гэх мэт.

Суусан байгаа iptable пакежийн хувилбарыг харах

#dpkg -l iptables

#iptable -L коммандаар яг одоо iptable-д тохируулсан байгаа дүрмүүдийг харна.

root@gerelee-OptiPlex-360:~# iptables -L

Chain INPUT (policy ACCEPT)

target prot opt source destination

Chain FORWARD (policy ACCEPT)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

Пакет хэрхэн боловсруулагдах вэ?

IPTABLES нь өөр рүү нь орж байгаа, өөрөөр нь гарч байгаа болон өөрөөр нь forwarding

буюу дамжин гарч байгаа пакетуудтай хэрхэн ажиллах талаарх дүрмүүдийн цогцуудыг

агуулсан хүснэгт буюу table-үүдээс бүрддэг. Пакетууд firewall/NAT тохируулсан серверээр дамжин өнгөрөхдөө iptales-ийн хүснэгтэнд

тодорхойлсон дүрмүүдийн дагуу боловсруулагдана. Үндсэндээ Filter, Nat болон Mangle

гэсэн 3 төрлийн хүснэгт байдаг.

- Filter буюу шүүлтүүр хүснэгт нь пакетад шүүлт хийх 3 дараалалтай. 1. Оролтын дараалал нь тухайн линукс систем рүү орж байгаа пакетанд, 2. Гаралтын дараалал нь тухайн линукс системээс гарч байгаа пакетанд, 3. Forwarding буюу дамжуулалт дараалал нь тухайн линукс системээр дамжин өнгөрч

байгаа пакетуудад шүүлт хийх үүрэгтэй. - NAT хүснэгт нь пакетын хаяганд хөрвүүлэлт хийх үүрэгтэй бөгөөд PREROUTING,

POSTROUTING, OUTPUT гэсэн 3 дарааллаас бүрдэнэ. 1. PREROUTING дараалал нь routing буюу замчлал хийхээс өмнө хүлээн авагчийн хаягийг

солих, 2. POSTROUTING дараалал нь замчлал хийгдсэний дараа илгээгч хаягийг солих, харин 3. OUTPUT дарааалал нь өөрөөсөө гарч байгаа пакетад хаягын хөрвүүлэлт хийх үүрэгтэй. Хүснэгтээр нэгтгэн харуулбал Хүснэгт 1

Хүснэгт Үүрэг Пакетийг боловсруулах

дүрмүүд Дүрмийн тайлбар

Filter Пакет

шүүх/филтерлэх/ FORWARD Filters packets to servers accessible

by another NIC on the firewall.

INPUT Filters packets destined to the

firewall.

OUTPUT Filters packets originating from the

firewall Nat Хаягийг

хувиргах/Network

address translation/

PREROUTING Address translation occurs before

routing. Facilitates the

transformation of the destination IP

address to be compatible with the

firewall's routing table. Used with

NAT of the destination IP address,

also known as destination NAT or

DNAT. POSTROUTING Address translation occurs after

routing. This implies that there was

no need to modify the destination

IP address of the packet as in pre-

routing. Used with NAT of the

source IP address using either one-

to-one or many-to-one NAT. This

is known as source NAT, or

SNAT. OUTPUT Network address translation for

packets generated by the firewall.

(Rarely used in SOHO

environments) Mangle TCP header

өөрчлөлт PREROUTING POSTROUTING OUTPUT INPUT FORWARD

Modification of the TCP packet

quality of service bits before

routing occurs. (Rarely used in

SOHO environments)

Iptables коммандын бичлэг iptables command [option....option] jump гэсэн хэлбэртэй байдаг. Command талбарт байх боломжит утгууд: 1.iptables -A - Шинэ дүрмийг, өмнө тодорхойлсон дүрмүүдийн төгсгөлд нэмнэ. INPUT ruleset-ий дүрмүүдийн төгсгөлд бүх пакетыг хориглох дүрмүүдийг нэмэхийн тулд

дараах коммандыг бичнэ. iptables -A INPUT -j DROP 2. iptables -I -ruleset-ий өгөгдсөн байрлалд дүрмийг нэмнэ. INPUT ruleset-ий дүрмүүдийн 2-р мөрөнд бүх пакетыг хориглох дүрмийг нэмэхийн тулд

дараах коммандыг бичнэ. iptables -I INPUT 2 -j DROP Хэрэв дүрмийн нэмэх байрлалыг тусгайлан зааж өгөөгүй бол ruleset-дэх дүрмүүдийн

эхэнд нэмнэ. 3.iptables –D -ruleset-c өгөгдсөн дүрмийг устгана. #iptables -D <Chain_name> <rule_Num> : Chain_name нь INPUT, OUTPUT, FORWARD-ийн

аль нэг байх ба rule_Num нь дүрмийн дугаар байна. Chain байх дүрмүүд нь 1-ээс эхлэн

автоматаар дугаарлагдана. Энэ нь filter table-ээс устгаж байгаа гэсэн үг харин бусад table-

ээс жишээ нь NAT table-ээс устгахдаа iptables -t nat -D <Chain_name> <rule_Num> гэж

бичнэ. Жнь: FORWARD rulset-ээс хамгийн эхний дүрмийг устгахдаа

iptables –D FORWARD 1

Дугаараар устгахаас гадна, INPUT ruleset-ээс бүх пакетын хориглох дүрмийг устгахын

тулд дараах коммандыг бичнэ. iptables -D INPUT -j DROP 4.iptables -F -өгөгдсөн ruleset дэх бүх дүрмийг устгана. Filter table-ийн INPUT ruleset дэх дүрмүүдийг устгахын тулд дараах коммандыг бичнэ. iptables -F INPUT 5. iptables -L -өгөгдсөн ruleset дэх дүрмүүдийг харуулна. Filter table-ийн INPUT ruleset дэх дүрмүүдийг харахын тулд дараах коммандыг бичнэ. iptables -L INPUT 6. iptables -P -default дүрмийг тодорхойлно. Filter table-ийн INPUT ruleset-ий default дүрмийг хаягдана гэж тодорхойлохын тулд дараах

коммандыг бичнэ. iptables -P INPUT DROP 8. iptables-д бичигдсэн дүрмүүдийг iptablerules нэртэй текст файл үүсгэн хадгалахдаа #iptables-saves > iptablerules 9. Хадгалсан дүрмээс буцааж table рүү оруулахдаа #iptables-restore < iptablerules Option талбар Хүснэгт 2

iptables

коммандууд Тайлбар

-t <-table-> Iptable дэх хүснэгтийг сонгоход хэрэглэнэ. Ямар нэгэн хүснэгт

тодорхойлоогүй бол filter хүснэгтийг сонгоно. Боломжит хүснэгтүүд

нь filter, nat, mangle, raw, security. -j <target> Бичсэн дүрэмд пакет нийцэж байвал пакетийг ACCEPT, DROP,

REJECT хийх үү гэдгийг шийднэ. Жнь: -j ACCEPT --sport тухайн протоколын source портыг тодорхойлно. -dport тухайн протоколын destination портыг тодорхойлно. -p <protocol-type> icmp, tcp, udp, гэх мэт бүх протоколууд. -s <ip-address> Source IP хаяг-т тохирох -d <ip-address> Destination IP хаягт тохирох -i <interface-name> Пакет орж ирж байгаа интефейс. -o <interface-name> Пакетийн гаралтын интефейс.

Жишээ нь : 1. eth0 интерфэйсээр орж ирсэн уг компьютор луу чиглэсэн вэб хандалтуудыг зөвшөөрнө. iptables -A INPUT -p tcp --dport 80 -i eth0 -j ACCEPT 2.Тухайн компьютерээс 3305 гэсэн эх портноос tcp протоколоор хандаж буй хандалтыг

хориглоно. iptables -A INPUT -p tcp --sport 3305 -i eth0 -j DROP 3.Тухайн компьютерээр дамжин өнгөрч байгаа 10.1.1.0 255.255.255.0 сүлжээнээс ирсэн

пакетуудын эх хаягийг eth0 интерфэйсийн хаягаар солих.

iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -o eth0 -j MASQUERADE

NAT тохируулах

NAT-ийг 2 төрөлд хувааж болно: Source NAT (SNAT) болон Destination NAT (DNAT).

Source NAT гэдэг нь замчлал хийгдсэний дараа хийгдэнэ. Өөрөөр хэлбэл пакет яг

сүлжээгээр дамжихийн өмнө гэсэн үг. Masquerading гэдэг нь SNAT-ийн нэг хувилбар.

DNAT нь замчлал хийгдэхээс өмнө хийгдэнэ. Port forwarding, load sharing, and transparent

proxying гэдэг ойлголтууд нь DNAT-ийн хэлбэрүүд юм.

Iptable-д агуулагдах NAT table-ийг шалгах

iptables -L -t nat # -t сонголт бичсэнээр nat хүснэгтийг сонгож байна.

Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain INPUT (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination

Жишээ нь DNAT-ийг хүснэгтэнд нэмж оруулахдаа:

#iptables -t nat -A PREROUTING -i eth1(дотоод интерфейс) -j DNAT --to 5.6.7.8-

5.6.7.10(гаралтын интерфейс дээрх хаяг)

IPTABLES дээр тохируулсан дүрмүүд систем унтарч ассаны дараа бүгд устана. Тиймээс

бичсэн коммандаа shell script-д хийгээд, систем унтарч ассаны дараа ажиллуулдаг байх

хэрэгтэй. fw.sh нэртэй shell script үүсгэе.

#vi fw.sh #!/bin/bash # iptables/NAT ажиллахад шаардлагатай кернелийн модулийг дуудаж байна.

/sbin/depmod -a /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_conntrack_irc /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_nat_irc #iptable-д тодорхойлсон дүрмүүдийг бүгдийг устгаж байна.

iptables -P INPUT ACCEPT

iptables -F INPUT

iptables -P OUTPUT ACCEPT

iptables -F OUTPUT

iptables -P FORWARD DROP

iptables -F FORWARD

iptables -t nat -F

# Одоо өөрийн бичих дүрмүүдээ бичиж болно.

iptables -t nat -A PREROUTING -i eth1 -j DNAT --to 5.6.7.8-5.6.7.10

iptables -A INPUT -p tcp --dport 80 -i eth0 -j ACCEPT

iptables -A INPUT -p tcp --sport 3305 -i eth0 -j DROP

:wq

гээд shell script-д шаардлагатай эрхийг өгч ажиллуулна.

ДААЛГАВАР

Доорх дүрмүүдийг iptables-д нэмж бич.

1. DNAT тохируулах

2. Тодорхой нэг IP хаягийг блоклох.

3. Зөвхөн нэг хостоос SSH хандалтыг зөвшөөрөх.

4. Орж ирж байгаа HTTP болон HTTPS хүсэлтийг хүлээн зөвшөөрөх.

5. Дотоод сүлжээнээс proxy сервер лүү чиглэсэн ping хүсэлтийг хаах

6. 1 дүрмийг өөрсдөө бодож хэрэгжүүлнэ үү!

7. Дээрх дүрмүүдийг shell script болгон бич. Бичсэн shell script-ээ зөвхөн систем

унтарч ассаны дараа ажиллахаар crontab бич.

Squid даалгавар

1. Squid дээр нөөш хийдэг дир үүсгэх

2. Нөөц дир-ийн агуулгыг тогтмол хугацаанд устгаж байх шелл скрипт бич

3. https://www.facebook.com/ болон https://www.facebook.com/ веб хуудсуудыг

блоклох.

Лабораторийн ажлыг дүгнэх Оюутан бүр тайлан бичиж, хамгаална. Тайлан нь онолын хэсэг, хийсэн даалгавар(маш

сайн тайлбарлана), товч дүгнэлт гэсэн бүтэцтэй байна. Тайлангаа бичиж хамгаалвал

нийт 20 оноо авна. Хамгаалах гэдэг нь хийсэн даалгавартай холбоотой нэмэлт

асуултанд хариулах эсвэл төстэй даалгавар хийх. Тухайн лаборатори орсоноос хойш 14

хоногийн дотор тайлан бичиж хамгаална.