Сетевые средства Linux
Шрифт:
Часть IV. В этой части обсуждаются вопросы сетевой безопасности. Здесь рассматриваются общие вопросы защиты, средства для создания поддерева
Чтобы упростить восприятие излагаемого материала, в книге приняты следующие соглашения.
Основной текст отображается обычным пропорциональным шрифтом.
Курсивом представлены термины, встречающиеся впервые. Кроме того, курсив используется для отображения текстовых описаний, заменяющих значения опций, поля записей и другие фрагменты кода.
Если в тексте встречается команда, вводимая с клавиатуры, в начале строки отображается приглашение для ввода. Символ
В книге также встречаются специальные фрагменты текста, занимающие один или несколько абзацев. В них приводится информация, имеющая лишь косвенное отношение к излагаемому материалу, либо, напротив, замечания, на которые следует обратить особое внимание. Эти фрагменты выделяются следующим образом.
Так оформляются сведения, которые не имеют непосредственного отношения к вопросам, рассматриваемым в тексте, но могут быть полезны для читателя. Это может быть, например, информация об особенностях работы ранних версий программ.
Данные, выделенные таким образом, помогут вам решить задачу неочевидным способом. Здесь может быть указана, например, ссылка на программный продукт, редко упоминаемый в других источниках.
Так оформляется предупреждение об опасности, связанной с теми или иными действиями. Это может быть, например, информация о программах, которые при некорректном использовании способны повредить систему, рекомендации воздержаться от действий, не соответствующих политике провайдера, или сведения об особенностях конфигурации, которые могут быть использованы для незаконного проникновения в систему.
Врезка во многом похожа на фрагмент "На заметку", но объем ее значительно больше, она занимает как минимум два абзаца. В ней приводятся сведения, которые трудно включить естественным образом в текст раздела, но которые, тем не менее, интересны, связаны с текущим материалом и могут быть важны для читателя.
При обсуждении вопросов сетевого взаимодействия часто бывает необходимо указать IP-адреса компьютеров. В большинстве случаев я использую адреса, выделенные для внутренних сетей (192.168.0.0–192.168.255.255, 172.16.0.0–172.31.255.255 и 10.0.0.0–10.255.255.255). Я поступаю так для того, чтобы читатель, неудачно повторивший пример из книги, не нанести вред реальному компьютеру, подключенному к Internet.
Если во время чтения книги у вас возникнут вопросы, вы можете обратиться ко мне по адресу
Я хочу выразить благодарность редактору Кэрен Геттмен (Karen Gettman) за кропотливую работу, выполненную при подготовке данной книги к печати. В этом ей помогала координатор проекта Эмили Фрей (Emily Frey), которая сделала ряд ценных замечаний относительно текста книги. Ни одна техническая книга не может увидеть свет без помощи консультантов, которые помогают убедиться, что при изложении материала автор не погрешил против истины. Консультантами при подготовке этой книги к печати были Кэрел Белоун (Karel Baloun), Эми Фонг (Amy Fong), Говард Ли Хекнесс (Howard Lee Harkness), Гарольд Хоук (Harold Hauck), Эрик X. Херрин (Eric H. Herrin II), Дэвид Кинг (David King), Роб Колстэд (Rob Kolstad), Мэтью Миллер (Matthew Miller), Айэн Редферн (Ian Redfern) и Элекси Зинин (Alexy Zinin). После их работы над текстом в книге не могло остаться ни одной ошибки, если же такая будет обнаружена, то она, несомненно, была допущена лично мною. Я хочу также поблагодарить Дэвида Кинга (David King) за участие в многочисленных и плодотворных дискуссиях о сетевых средствах Linux. И, наконец, я выражаю благодарность моему агенту Нейлу Селкинду (Neil Salkind) из Studio В и Майклу Слоутеру (Michael Slaughter) из Addison-Wesley, стараниями которых эта книга попала в руки читателей.
ЧАСТЬ I
Низкоуровневая конфигурация системы
Глава 1
Настройка сетевых средств ядра
"Все дороги ведут в Рим" — гласит пословица. Нечто подобное можно сказать и о сетевых средствах Linux; в этом случае в роли Рима выступает ядро операционной системы. Рано или поздно весь сетевой трафик будет обработан ядром. Различные компьютеры и разные сети отличаются друг от друга, поэтому для ядра Linux предусмотрен ряд опций, изменяя значения которых вы можете оптимизировать систему с учетом задач, которые ей придется выполнять. Установку некоторых опций можно производить в процессе загрузки системы, передавая ядру необходимые параметры, либо впоследствии, после окончания загрузки. Подобные опции будут рассмотрены в последующих главах. Существуют также характеристики, для изменения которых надо перекомпилировать ядро системы.
В данной главе описаны опции, которые задают конфигурацию ядра. Сначала здесь рассматривается процедура настройки ядра. Затем обсуждаются опции, которые определяют свойства TCP/IP и других сетевых протоколов, а также сетевых фильтров. Далее речь пойдет о драйверах Linux, предназначенных для поддержки различных сетевых устройств. В конце главы кратко описывается процесс компиляции ядра системы.
В этой главе компиляция ядра рассматривается лишь в общих чертах, основное внимание уделяется опциям, определяющим характеристики сетевых средств системы. Если вы хотите получить более подробную информацию о конфигурации ядра системы, обратитесь к документу Linux Kernel HOWTO (
Конфигурация ядра
Для того чтобы установить опции, определяющие процесс компиляции ядра, необходимо иметь в наличии исходный код ядра. Исходный код входит в состав всех дистрибутивных пакетов, но при установке системы можно либо разрешить, либо запретить копирование исходного кода на жесткий диск компьютера. Следует заметить, что в некоторых случаях исходный код, поставляемый в составе дистрибутивного пакета, может быть изменен по сравнению со стандартным кодом ядра (так, например, в состав кода могут быть включены специальные драйверы). Целесообразно вначале инсталлировать стандартное ядро, а затем, по мере необходимости, установить дополнительные модули (не исключено, что для выполнения ваших задач никакие дополнения не потребуются). Список основных узлов, содержащих архивы Linux, находится по адресу
Номер версии ядра системы состоит из трех чисел, разделенных точками. Если второе число четное (например, 2.4.17), то ядро называется стабильным, или рабочим. Нечетное второе число в номере версии (например, 2.5.2) указывает на то, что ядро находится в процессе разработки. Стабильное ядро обеспечивает более высокую надежность. Используя ядро, находящееся в процессе разработки, вы получаете возможность ознакомиться с новыми техническими решениями. Чаще всего в ядре с нечетным вторым числом номера версии используются новые драйверы, реализованы новые варианты интерфейса или применяются другие подобные новшества. Устанавливая систему для практического использования, желательно использовать ядро с четным вторым числом номера версии. Исключением является ситуация, когда необходимый вам драйвер присутствует только в версии с нечетным вторым числом. В этом случае можно также использовать обратный перенос (back-port) драйвера в одну из предыдущих стабильных версий.