|
2012
|
|
|
Kasu nabariena sare pribatuak erabiltzen ditugunean gertatzen zaigu.
|
Gure
sare lokala IP pribatuekin helbideratu badugu, eta sare hori firewall baten atzean kokatu badugu, dispositibo horren (gure gateway aren) Interneterako konexioak IP publiko batekin helbideratua izan behar du. Gainera, bertatik pasatzen diren pakete guztien jatorri helbidea, IP pribatu bat duena, IP publiko honegatik aldatu behar da Interneten baliozko pakete bat izateko.
|
|
|
DNAT egiteak
|
gure
sarean proxy zerbitzari garden bat edukitzea ahalbidetzen digu, hau da, erabiltzailea, nabigatzen saiatzen den bakoitzean, proxy aren kontra joango da, eta du ezer egin hori ekiditeko, harentzat bitarteko zerbitzaria ez delako existituko, ezin duelako ikusi. Joko dugu 192.168.2.1 IP helbidea duen makina gure firewall a dela, eta, gainera, gure sareko ordenagailuentzat default gateway lanak egiten dituela, hau da, Interneterako irteera kudeatzen duela.
|
|
|
DNAT egiteak gure sarean proxy zerbitzari garden bat edukitzea ahalbidetzen digu, hau da, erabiltzailea, nabigatzen saiatzen den bakoitzean, proxy aren kontra joango da, eta du ezer egin hori ekiditeko, harentzat bitarteko zerbitzaria ez delako existituko, ezin duelako ikusi. Joko dugu 192.168.2.1 IP helbidea duen makina gure firewall a dela, eta, gainera,
|
gure
sareko ordenagailuentzat default gateway lanak egiten dituela, hau da, Interneterako irteera kudeatzen duela. Proxy zerbitzaria 192.168.2.2 IP helbidea duen ordenagailuan ezartzen badugu, eta haren HTTP eskaerak entzuteko ataka 3128 zenbakiduna baldin bada, firewalle an hau idatzi genuke:
|
|
|
Baina
|
gure
sare lokala muntatzeko orduan, gerta daiteke firewall a eta proxy a makina berean egotea. Enpresa txikietan askotan gertatzen da zerbitzari bakarrak hainbat lan egin behar dituela, ez baitago dirurik zerbitzu bakoitzerako makina bat edukitzeko.
|
|
|
Demagun LAN pribatu bat daukagula, 192.168.77 0/ 24 sare helbidea daukana. 192.168.77.1 IP helbidea
|
gure
sareko firewall aren eth0 sare txartelari dagokio, eta sare lokaleko beste ordenagailu guztien default gateway a da, berak ateratzen baititu Internetera. Noski, suhesiak beste sare txartel bat dauka, eth1, IP publiko eta estatiko bat daukana, 88.145.92.103, alegia.
|
|
|
Nola lortuko dugu edozein tokitatik (Internet) gure web orria kontsultatu ahal izatea? Norbaitek gure web zerbitzaria bisitatu nahi badu, pentsatuko du 88.145.92.103 IP helbidedun ordenagailuan dagoela,
|
gure
sare lokalak erabiltzen duen IP publiko bakarra delako, eta ordenagailu horren 80 atakara bidaliko dituzte HTTP eskaerak. Beraz, firewall era Internetetik heltzen diren eskaerak (eth1 interfazera), 80 atakara heltzen badira, gure web zerbitzariari birzuzenduko dizkiogu, honela:
|
|
|
Lehenetsita, makina lokala, zerbitzaria bera, soilik dago ezarrita. Adibidez,
|
gure
sare lokaletik mailak inolako autentifikatze sistemarik gabe bidali ahal izateko, gure sare lokalari egin genioke erreferentzia:
|
|
|
Lehenetsita, makina lokala, zerbitzaria bera, soilik dago ezarrita. Adibidez, gure sare lokaletik mailak inolako autentifikatze sistemarik gabe bidali ahal izateko,
|
gure
sare lokalari egin genioke erreferentzia:
|
|
|
#gure sarea zein den adierazteko, nahi baldin badugu
|
gure
saretik postak bidali ahal izatea autentifikatu gabe.
|
|
|
Ekipoa beste sare batera mugitu nahiko bagenu, haren IP helbidea aldatu genuke. Erraza dirudi, baina
|
gure
sarean ehunka ordenagailu baleude, guztiak eskuz konfiguratuak, denbora asko genuke guztien sare konfigurazioakonfigurazioaaldatzeko. Aldiz, DHCP erabiliko bagenu, zerbitzaria eguneratzearekin nahikoa litzateke, berak esleitzen dituelako datu base batean dauden IP helbideak, eta, datu base hori aldatuta, konfigurazioa aldatuko litzateke.
|
|
|
|
Gure
sareko ordenagailuetako bat eskuz konfiguratzen badugu DHCP zerbitzariak kudeatzen dituen IP helbideetako batekin, gertatu daiteke zerbitzariak IP helbide hori alokatzea beste ordenagailu bati, eta IP gatazka bat izatea. Kasu horretan, bezeroak beste TCP/IP konfigurazio bat eskatuko dio zerbitzariari, eta frogatu egingo du, jadanik erabiltzen ez dagoen IP helbide bat lortu arte.
|
|
|
Desmilitarizatutako gunean behar beste zerbitzari koka ditzakegu. Arkitektura honekin, zerbitzariak Internetetik atzigarria izatea lortzen dugu, baina zerbitzarietako batek eraso bat jasaten badu,
|
gure
sare lokala babestuta geratzen da, oraindik firewall aren atzean dagoelako.
|
|
|
|
Gure
sare lokalerako firewall bat inplementatu nahi badugu, bi funtzionatzeko moduren arteko bat aukeratu dugu:
|
|
|
|
Gure
sarea 192.168.1 0/ 24 da. Sortu gure sareko ordenagailuei Interneterako sarrera baimenduko dien konfigurazio fitxategi bat baina gure sarekoak ez diren ordenagailuei sarrera ukatuko diena.
|
|
|
Gure sarea 192.168.1 0/ 24 da. Sortu
|
gure
sareko ordenagailuei Interneterako sarrera baimenduko dien konfigurazio fitxategi bat baina gure sarekoak ez diren ordenagailuei sarrera ukatuko diena.
|
|
|
Gure sarea 192.168.1 0/ 24 da. Sortu gure sareko ordenagailuei Interneterako sarrera baimenduko dien konfigurazio fitxategi bat baina
|
gure
sarekoak ez diren ordenagailuei sarrera ukatuko diena.
|
|
|
|
Gure
sare lokalean 5 proxy zerbitzari ditugu:
|
|
|
Beste aukera bat, Linux i dagokionez, sare txartela zuzenean konfiguratzearena da. Horretarako,/ etc/ network/ interfaces fitxategian,
|
gure
sare txartelari dagokion lerroan (normalean, gure sare txartela eth0 da) hau idatzi genuke:
|
|
|
Beste aukera bat, Linux i dagokionez, sare txartela zuzenean konfiguratzearena da. Horretarako,/ etc/ network/ interfaces fitxategian, gure sare txartelari dagokion lerroan (normalean,
|
gure
sare txartela eth0 da) hau idatzi genuke:
|
|
|
OHARRA: helbideen erreserbaren erabilerak asko errazten du
|
gure
sareko trafikoaren analisia, momentu guztietan jakin dezakezulako zein ordenagailuk egiten duen zerbitzu jakin baten eskaera.
|
|
|
Gure DHCP zerbitzaria lanean hasten denean, hau da, IP helbideak banatzen hasten denean
|
gure
sareko ekipoen artean," Concesión de direcciones" karpetan, lagatutako IP helbide bakoitzeko sarrera bat aurkituko dugu, eta bertan ikus dezakegu lagatutako IP helbidea zein ekipori lagatu zaion eta noiz amaitzen den lagapena.
|
|
|
Funtzionatzeko modu honetan, gure DNS zerbitzariak,
|
gure
sare lokalerako benetako DNS zerbitzari baten moduan funtzionatu egiten du. Sare lokaleko helbide ebazpen eskaerei era zuzenean erantzungo die, eta sare lokaletik kanpoko helbide ebazpen eskaerak (Internetekoak) kanpo DNS zerbitzariei birbidaliko dizkie.
|
|
|
|
Gure
sarean cache DNS zerbitzari bat izateak Interneterako konexioaren abiadura handiagotzen du. Izan ere, Interneten nabigatzen dugunean, etengabe ari gara DNS eskaerak egiten, eta eskaera hauek, normalean, gure sare lokaletik kanpo dagoen DNS zerbitzari batek kudeatzen ditu.
|
|
|
Gure sarean cache DNS zerbitzari bat izateak Interneterako konexioaren abiadura handiagotzen du. Izan ere, Interneten nabigatzen dugunean, etengabe ari gara DNS eskaerak egiten, eta eskaera hauek, normalean,
|
gure
sare lokaletik kanpo dagoen DNS zerbitzari batek kudeatzen ditu. Cache DNS bat bagenu, eskaera asko eta asko sare lokalean bertan ebatziko lirateke denbora tarte oso laburrean, eta honek sare lokaleko erabiltzaileei Interneterako konexio abiadura azkarra erabiltzen dutelako sentsazioa emango lieke.
|
|
|
Funtzionamendu modu hau konfiguratzea nahiko erraza da. Nahikoa izango litzateke sare lokaletako PCetan lehenetsitako DNS moduan
|
gure
sare lokalean instalatutako cache DNSaren helbidea jartzearekin, eta bigarren DNS moduan, badaezpada, Interneteko DNS zerbitzari batena. Gaur egun, ADSL router batzuek zerbitzu hau eskaintzen dute.
|
|
|
Jarraian/ etc/ bind/ named.conf.options fitxategia editatuko dugu.
|
Gure
sareko bezero batzuen eskaerak, zehazki Internetera ateratzen diren eskaerak (zein da www.google.es deitzen den ordenagailuaren IP helbidea?) gure DNS zerbitzariak ezin izango ditu ebatzi. Ebatzi ezin dituen eskaerak Interneteko DNS zerbitzari batzuei birbidaliko dizkie.
|
|
|
salamandra.za? izeneko domeinu bat sortu nahi dugu
|
gure
sare lokalerako. 192.168.5.20 IP helbidea daukan ordenagailua,, servidor?
|
|
|
|
Gure
sare lokalean domeinu bat sortu nahi dugu, ?los4fantasticos.com, deituko dena.
|
|
|
salamandra.za? izeneko domeinu bat sortu nahi dugu
|
gure
sare lokalerako. 192.168.5.20 IP helbidea daukan ordenagailua,, servidor?
|
|
|
|
Gure
sare lokalean domeinu bat sortu nahi dugu, ?los4fantasticos.com, deituko dena.
|
|
|
Intraneteko web nagusia web bidez ikusteko, beste ordenagailu batetik, web nabigatzailearen helbide barran http:// web zerbitzariaren izena (DNS zerbitzari bat funtzionatzen badaukagu
|
gure
sare lokalean) edo http:// web zerbitzariaren IP helbidea idatzi dugu.
|
|
|
Gure web zerbitzariak era egokian funtzionatzen duen ala ez ikusteko,
|
gure
sareko edozein ordenagailutan web nabigatzaile bat ireki eta helbide barran IP helbidea edo ordenagailuaren izena (DNS zerbitzari bat martxan badaukagu, noski) idaztea besterik ez daukagu. Ondorengo pantaila ikusten badugu, dena ondo doan seinale:
|
|
2016
|
|
|
Eta gauza bera
|
gure
sareko gainerako osagaiekin, eta hau agertuko zaigu (7.2.92 irudia).
|
|
|
Osagai guztiak sartu ondoren,
|
gure
sarearen kableatua egin behar dugu. Horretarako, gailu baten atakaren barruan (lauki berdea) sakatuko dugu, eta, arrastatuz, beste gailuaren atakarekin lotuko dugu; eta gauza bera beste guztiekin, egitura hau eraiki arte (7.2.93 irudia).
|
|
2018
|
|
|
10.9.52.0/ 23 sareaeth2 irteera interfazea BRIDGE moduan jarriko dugu (NATak ere balio du), eta, horrela, zentroko
|
gure
sarea Internet izango balitz bezala erabiliko dugu.
|