- Frank Casino (Франк казино) - это новое онлайн заведение только Франк казино предоставляет возможность бесплатной игры за счет 10. Да и с вводом и выводом средств проблем не было – благо, вариантов предостаточно. После регистрации бонус приветственный кидают на счет, условия.
- Выберите наиболее удобный для вас способ активации бонуса: наберите *115 * «код бонуса» #1;; отправьте код бонуса в SMS-сообщении на номер .
- Работа и заработок в интернет. Дополнительный источник дохода в сети интернет. Бонус за регистрацию с выводом. Лучший ПОДАРОК - это ДЕНЬГИ! Зарегистрировался очень быстро и на счет мгновенно получил обещание 200 долларов. Аудио поздравления прикольные.
Казино с бонусами за регистрацию — это онлайн клубы игровых автоматов, . Бездепозитный бонус 1000 рублей с быстрым выводом без документов. Получить бонус за регистрацию с выводом. Самый узнаваемый бренд игорной тематики теперь и в Интернете. Игровые автоматы, проверенные временем. Frank Casino (Франк казино) - это новое онлайн заведение только. Франк казино предоставляет возможность бесплатной игры за счет 10. Да и с вводом и выводом средств проблем не было – благо, вариантов предостаточно. После регистрации бонус приветственный кидают на счет, условия .
Сети для самых маленьких. ACL и NAT / Хабрахабр. Продолжаем развитие нашей маленькой уютной сети Лифт ми Ап.
Мы уже обсудили вопросы маршрутизации и стабильности, и теперь, наконец, выросли для подключения к Интернету. Довольно заточения в рамках нашей корпоративной среды! Но с развитием появляются и новые проблемы. Сначала вирус парализовал веб- сервер, потом кто- то притаранил червя, который распространился в сети, заняв часть полосы пропускания. А ещё какой- то злодей повадился подбирать пароли на ssh к серверу. А представляете, что начнётся, когда мы подключимся к Интернету?!
Итак, сегодня: 1) учимся настраивать различные списки контроля доступа (Access Control List)2) пытаемся понять разницу между ограничением входящего и исходящего трафика. NAT, его плюсы, минусы и возможности. Интернету через NAT и увеличим безопасность сети, используя списки доступа. Access Control List. Итак, что мы имеем сказать по спискам доступа?
Вообще- то тема относительно простая и только ленивыми из курса CCNA не скопипащена. Но не разрывать же нам наше удивительное повествование из- за каких то предрассудков? Каково предназначение списков доступа? Казалось бы, совершенно очевидный ответ — для ограничения доступа: кому- то что- то запретить, например. Вообще — это верно, но понимать нужно в более широком смысле: речь не только о безопасности. То есть, изначально, вероятно, так оно и было, отсюда permit и deny при настройке. Но на самом деле ACL — это универсальный и мощный механизм фильтрации.
С их помощью можно определить на кого навешивать определённые политики, а на кого нет, кто будет участвовать в неких процессах, а кто нет, кого ограничиваем в скорость до 5. M. Чтобы было чуть- чуть понятнее, приведём простой пример. Опираясь на списки доступа, работает Policy- Based Routing (PBR). Можно сделать здесь так, чтобы пакеты приходящие из сети 1.
В конце статьи пример настройки PBR и ограничения скорости на основе ACL. Виды ACL. Ладно, забудем на время эту лирику.
Что понимать под входящим и исходящим трафиком? Это нам в будущем понадобится. Входящий трафик — этот тот, который приходит на интерфейс извне. Расширенный- адрес отправителя, адрес получателя, а также порт.
Стандартные ACL рекомендуется ставить как можно ближе к получателю (чтобы не порезать больше, чем нужно), а расширенные- ближе к отправителю (чтобы как можно раньше дропнуть нежелательный трафик). Практика. Давайте сразу к практике. Что бы нам такого наограничивать в нашей маленькой сети “Лифт ми Ап”? WEB- сервер. Разрешить доступ всем по порту TCP 8. HTTP). Для того устройства, с которого будет производиться управление (у нас же есть админ) нужно открыть telnet и ftp, но ему мы дадим полный доступ. Всем остальным отбой.
Файловый сервер. На него у нас должны попадать резиденты Лифт ми Ап по портам для общих папок, а все остальные по FTP. Почтовый сервер. Тут у нас запущены SMTP и POP3, то есть порты TCP 2. Так же для админа открываем доступ на управление.
Других блокируем. Для будущего DNS- сервера нужно открыть порт UDP 5.
В сеть серверов разрешить ICMP- сообщенияе) Поскольку сеть Other у нас для всех беспартийных, кто не вошёл в ФЭО, ПТО и Бухгалтерию, то мы их всех ограничим, а некоторым только дадим доступ (в числе них мы и админ)ё) В сеть управления нужно пускать опять же только админа, ну и конечно себя любимого. Не будем строить препоны общению между собой сотрудников отделов. Доступ на WEB- сервер. Тут у нас работает политика запрещено всё, что не разрешено. Поэтому нам сейчас надо кое- что открыть, а всё остальное закрыть.
Если мы не хотим пускать пакеты в сторону серверов, которые уже оказались на маршрутизаторе, то это будет исходящий трафик. То есть адреса назначения (destination) у нас будут в сети серверов (из них мы будем выбирать на какой именно сервер идёт трафик), а адреса источников (source) могут быть любыми — как из нашей корпоративной сети, так и из интернета.
Как только одно из правил сработало, независимо от того permit это или deny, проверка прекращается и обработка трафика происходит на основе сработавшего правила. То есть если мы хотим защитить WEB- сервер, то в первую очередь нам нужно дать разрешение, потому что, если мы в первой же строке настроим deny ip any any — то оно всегда будет срабатывать и трафик не будет ходить вообще. Any — это специальное слово, которое означает адрес сети и обратную маску 0. Другое специальное слово — host — оно означает маску 2. Итак, первое правило: разрешить доступ всем по порту 8. Servers- outmsk- arbat- gw.
WEBmsk- arbat- gw. Разрешаем (permit) TCP- трафик от любого узла (any) на хост (host — именно один адрес) 1. Что для нас это означает? Любой пакет, выходящий с интерфейса и не отвечающий ни одному правилу из ACL, подпадает под implicit deny и отбрасывается. То есть хоть пинг, хоть фтп, хоть что угодно здесь уже не пройдёт.
Идём дальше: надо дать полный доступ компьютеру, с которого будет производиться управление. Это будет компьютер нашего админа с адресом 1.
Other. Каждое новое правило добавляется автоматически в конец списка, если он уже существует: msk- arbat- gw. Servers- outmsk- arbat- gw. Вот и всё. Проверяем с нужного узла (поскольку серверами в РТ не поддерживается телнет, проверяем на FTP): То есть FTP- сообщение пришло на маршрутизатор и должно уйти с интерфейса FE0/0.
Маршрутизатор проверяет и видит, что пакет подходит под добавленное нами правило и пропускает его. А с постороннего узлапакет FTP не попадает ни под одно из правил, кроме неявного deny ip any any и отбрасывается. Конечно, это те, кто имеет адрес из сети 1. В большинстве современных систем уже используется для этого протокол SMB, которому нужен порт TCP 4. На более старых версиях использовался Net. Bios, который кормился аж через три порта: UDP 1. TCP 1. 39. Договорившись с нашим админом, настроим 4.
РТ, конечно, не получится). Но кроме этого, нам понадобятся порты для FTP — 2.
Servers- outmsk- arbat- gw. Тут мы повторно применили конструкцию range 2.
Для FTP, вообще говоря, недостаточно только 2. Дело в том, что если вы откроете только его, то авторизация у вас будет проходить, а передача файлов нет. О том, что это такое, поговорим чуточку позжев) Доступ на почтовый сервер.
Продолжаем нарабатывать практику — теперь с почтовым сервером. В рамках того же списка доступа добавляем новые нужные нам записи. Ничего страшного нет в том, чтобы добавить правила в конец списка, но как- то эстетически приятнее будет увидеть их вначале. Для это можно воспользоваться текстовым редактором, например. Скопируйте туда из show run кусок про ACL и добавьте следующие строки: no ip access- list extended Servers- outip access- list extended Servers- out permit icmp any anyremark WEBpermit tcp any host 1. FILEpermit tcp 1.
MAILpermit tcp any host 1. DNSpermit udp 1. 72. Первой строкой мы удаляем существующий список, далее создаём его заново и перечисляем все новые правила в нужном нам порядке. Командой в третьей строке мы разрешили проход всех ICMP- пакетов от любых хостов на любые хосты.
Далее просто копируем всё скопом и вставляем в консоль. Интерфейс интерпретирует каждую строку как отдельную команду и выполняет её.
Таким образом, мы заменили старый список новым. Проверяем, что пинг есть: Прекрасно. Данный “чит” хорош для первоначальной конфигурации или если вы точно понимаете, что делаете. На рабочей сети, когда вы настраиваете удалённо ACL, вы рискуете остаться без доступа на настраиваемую железку. Чтобы вставить правило в начало или в любое другое нужное место, вы можете прибегнуть к такому приёму: ip access- list extended Servers- out.
Каждое правило в списке пронумеровано с определённым шагом и если перед словом permit/deny вы поставите число, то правило будет добавлено не в конец, а в нужное вам место. К сожалению, такая фича не работает в РТ. Если будет вдруг необходимо (заняты все подряд идущие числа между правилами) вы всегда можете перенумеровать правила (в этом примере назначается номер первого правила 1. Servers- out 1. 0 1. В итоге Access List на серверную сеть будет выглядеть так: ip access- list extended Servers- outpermit icmp any anyremark WEBpermit tcp any host 1. FILEpermit tcp 1.
MAILpermit tcp any host 1. DNSpermit udp 1. 72. Сейчас наш админ имеет доступ только на WEB- сервер. Откройте ему полный доступ на всю сеть. Это первое домашнее задание. Ну, конечно, кроме тех, которые мы специально разрешим. На этот раз на вход: msk- arbat- gw.
Other- in in. то есть все IP- пакеты от хоста с адресом 1. Почему мы тут используем тоже расширенный список доступа? Ведь, казалось бы, мы проверяем только адрес отправителя. Потому что админу мы дали полный доступ, а вот гостю компании “Лифт ми Ап”, например, который попадёт в эту же сеть совсем ни к чему доступ куда- либо, кроме как в Интернет.ё) Сеть управления.
Ничего сложного. Правило будет выглядеть так: msk- arbat- gw. Management- outmsk- arbat- gw. IAMmsk- arbat- gw. ADMINmsk- arbat- gw. Данный ACL применяем на out на интерфейс FE 0/0.
Management- out outж) Более никаких ограничений. Готово. Маска и обратная маска.
До сих пор мы без объяснения давали странный параметр вида 0. Что означает эта запись? А означает она ровно следующее. IP- адрес. Десятичная запись. IP- адрес. Двоичная запись.
Маска подсети. Двоичная запись. Маска подсети. Десятичная запись. IP- адрес — это параметр длиною 3. Маска подсети также имеет длину 3. Там, где в маске стоят единицы, значение меняться не может, то есть часть 1. То есть во взятом нами примере 1. Распишем это так: IP- адрес.
Десятичная запись. IP- адрес. Двоичная запись. Маска подсети. Двоичная запись. Маска подсети. Десятичная запись.
Как видите, для этой подсети могут меняться только последние два бита. Последний октет может принимать следующие 4 значения: 0. Всё, что за пределами этого — уже другая подсеть.
То есть теперь вам должно быть чуть- чуть понятно, что маска подсети — это последовательность 3. При этом чередоваться нули и единицы в маске не могут чередоваться. То есть маска 1. 11. А что же такое обратная маска (wildcard)?
Для подавляющего большинства админов и некоторых инженеров — это не более, чем инверсия обычной маски.