Cóź, rozbudowuje swój własny lab o kolejne elementy. W tym miesiącu kupiłem sobie CISCO Catalyst 2950 aby móc poćwiczyć zabawy z VPN-ami, etherchannelami itp. Jednak podstawowym problemem było: jak się podłączyć do tego switch-a skoro nie jest on skonfigurowny? Cóż, zakupiłem kabel oraz konwerter USB-RS232, który powinien pracować pod Linuksem.
Jestem w trakcie budowania domowego laboratorium, w którym będę uczył się konfiguracji różnych urządzeń. Ponieważ czasem koledzy proszą mnie o udostępnienie go do zabaw postanowiłem wydzielić osobną podsieć a na granicy postawić linuksowy router. Miałem tylko jeden mały problem, jak umożliwić urządzeniom z wnętrza podsieci dostęp do sieci? Rozwiązanie jest proste:
Wykonaj poniższe polecenia, najprawdopodobniej uzyskasz wyniki inne niż poniżej ale generalne jeżeli nie pojawi się błąd będzie znaczyło że HTB działa.
W celu określenia jacy użytkownicy (w sensie adresów IP) mogą dostać się do serwera lub innej usługi (np. do Internetu) można wykorzystać statyczne tabele arp. Protokół arp służy do określenia jaki adres fizyczny ma karta sieciowa (tzw.MAC adres) o określonym adresie IP. Wpisując na sztywno takie pary do tabeli arp można stworzyć sytuacje, że gdy ktoś zmieni swój adres IP pakiety nie trafią do określonego urządzenia fizycznego (karty sieciowej) czyli ten ktoś nie będzie mógł skorzystać z usługi.
Często jest tak iż administratorzy sieci osiedlowych chcą wykryć czy jakiś członek sieci nie oszukuje i nie współdzieli swojego połączenia między innych nie wnosząc odpowiedniej opłaty. Mogą wtedy użyć kilku narzędzi mających ocenić czy z danego adresu IP nie nadchodzą jednocześnie pakiety świadczące o używaniu różnych systemów operacyjnych.
Najszybszym sposobem przejrzenia które połączenia są jak maskowane jest przejrzenie pliku /proc/net/ip_conntrack. Wadą takiego rozwiązania są dość "surowe" wyniki ale za to jest to najszybszy i najprostszy sposób sprawdzenia co się dzieje…
W jądrach wersji 2.4 maskarada włączona jest bezpośrednio do kodu jądra i zintegrowana z firewallem. Za to wszystko odpowiada Netfilter. Maskarada ma na celu umożliwienie korzystania z sieci komputerowej z jednego adresu sieciowego. W praktyce wygląda to tak iż pod jednym (przeważnie publicznym) adresem IP działa cała sieć zamaskowana przez komputer z uruchomioną maskaradą.