|
|
|
|
Рабочая
среда
Чтобы дальнейшее конфигурирование
имело смысл, перед запуском программного обеспечения маршрутизатора Linux следует
определить среду, в которой маршрутизатор будет работать.
В первую очередь необходимо
определить iP-адреса. В незащищенной сети используются адреса от 200.200.200.0
до 200.200.200.255 с маской сети 255.255.255.0. Маршрутизатор, который соединяет
сеть с внешним миром, имеет адрес 200.200.200.1, а маршрутизатор, который создается,
на своей незащищенной стороне имеет адрес 200.200.200.254. Это подлинные iP-адреса,
они уникальны и вся сеть internet знает об их существовании. Если маршрутизатор
для внешнего мира позволяет, то компьютер из internet может соединяться с любым
хост-компьютером в незащищенной локальной сети.
Защищенная сеть использует
адреса с 10.10.10.0 до 10.10.10.255 с маской сети 255.255.255.0. Маршрутизатор,
соединяющий защищенную локальную сеть с незащищенной, на своей защищенной стороне
использует iP-адрес 10.10.10.1. Это ложные, немаршрутизируемые iP-адреса. Внешний
мир не знает о существовании хост-компьютеров в локальной сети, у него с ними
нет прямой связи. Маршрутизатор (в роли брандмауэра) скрывает существование
безопасной сети от остального мира (включая незащищенную сеть).
В создаваемом маршрутизаторе
устройство eth0 будет соединено с незащищенной локальной сетью (iP-адрес 200.200.200.254),
а устройство ethl будет соединено с защищенной сетью (iР-адрес 10.10.10.1).
Из защищенной сети можно
выполнять только исходящие, но ни в коем случае не входящие
соединения. Более того,
будет использоваться возможность ядра Linux, известная как iP
masquerading
(iP-подмена), для использования механизма защиты
network address translation
(трансляция сетевого адреса). При трансляции сетевого адреса маршрутизатор
не только выполняет маршрутизацию данных из защищенной ЛВС и обратно, но, когда
компьютер со стороны защищенной ЛВС соединяется через маршрутизатор, он также
скрывает iP-адрес соединяющегося компьютера и транслирует его в адрес незащищенной
ЛВС. Соединение нельзя отследить обратно, к действительному iP-адресу хост-компьютера,
что помогает скрыть хост-компьютеры защищенной сети от остального мира.
Поскольку защищенная сеть использует немаршрутизируемые iP-адреса, хост-компьютеры незащищенной сети не знают о существовании защищенных хост-компьютеров и не могут связаться с ними. Аналогично, маршрутизатрр, соединяющий незащищенную сеть с internet, не знает о существовании внутренней, защищенной сети, и никогда не направляет пакеты прямо к хост-компьютерам внутренней сети.
|
|
|
|