Product SiteDocumentation Site

Kapittel 10. Nettverksinfrastruktur

10.1. Innfallsport (gateway)
10.2. X.509-sertifikater
10.2.1. Creating gratis trusted certificates
10.2.2. Offentlig nøkkel-infrastruktur: easy-rsa
10.3. Privat virtuelt nettverk
10.3.1. OpenVPN
10.3.2. Virtuelt privat nettverk med SSH
10.3.3. IPsec
10.3.4. PPTP
10.4. Tjenestekvalitet
10.4.1. Prinsipp og mekanisme
10.4.2. Oppsett og implementering
10.5. Dynamisk ruting
10.6. IPv6
10.6.1. Tunnellering
10.7. Domenenavntjenere (DNS)
10.7.1. DNS software
10.7.2. Oppsett av bind
10.8. DHCP
10.8.1. Oppsett
10.8.2. DHCP og DNS
10.9. Diagnoseverktøy for nettverk
10.9.1. Lokale diagnoser: netstat
10.9.2. Fjerndiagnostikk: nmap
10.9.3. Sniffers: tcpdump og wireshark
Linux innehar hele Unix-arven når det gjelder nettverk, og Debian tilbyr hele samlingen av verktøy for å opprette og styre dem. Dette kapittelet går igjennom disse verktøyene.

10.1. Innfallsport (gateway)

En innfallsport (gateway) er et system som forbinder flere nettverk. Dette begrepet refererer ofte til et lokalt nettverks «utgang» («exit point») på den obligatoriske banen til alle eksterne IP-adresser. Inngangsporten er koblet til hver av de nettverkene den binder sammen, og fungerer som en ruter for å formidle IP-pakker mellom dens ulike grensesnitt.

DET GRUNNLEGGENDE IP-pakke

De fleste nettverk nå for tiden bruker IP-protokollen (Internett-protokoll). Denne protokollen deler opp de overførte dataene i pakker med begrenset størrelse. Hver pakke inneholder, i tillegg til nyttedata, en rekke detaljer som trengs for å sende den riktig vei.

DET GRUNNLEGGENDE TCP/UDP

Mange programmer håndterer ikke de enkelte pakker selv, selv om dataene de sender går over IP; bruker de ofte TCP ( Transmission Control Protocol). TCP er et lag over IP som tillater etablering av øremerkede forbindelser til datastrømmer mellom to punkter. Programmene ser da bare en inngangsport som data kan mates til med garanti for at de samme dataene kommer ut uten tap (og i samme rekkefølge) ved utgangspunktet i den andre enden av forbindelsen. Selv om mange typer feil kan skje i de lavere lagene, er de kompensert av TCP; tapte pakker er sendt igjen, og pakker som kommer i uorden (for eksempel hvis de bruker ulike baner) er reordnet (omorganisert) på riktig måte.
En annen protokoll som setter sin lit til IP er UD (User Datagram Protocol). I motsetning til TCP, er den pakkeorientert. Dens mål er forskjellige: Formålet med UDP er bare å sende en pakke fra en applikasjon til en annen. Protokollen prøver ikke å kompensere for mulige pakketap underveis, heller ikke at pakker mottas i samme rekkefølge som de ble sendt. Den viktigste fordelen til denne protokollen er at tidsforsinkelsen er kraftig redusert, fordi tapet av en enkelt pakke ikke forsinker mottaket av alle påfølgende pakker inntil den tapte blir sendt på nytt.
TCP og UDP involverer begge porter, som er «forlengelse tall» for å etablere kommunikasjon med en gitt applikasjon på en maskin. Dette konseptet gjør det mulig å uføre flere forskjellige overføringer parallelt i samme korrespondanse, siden denne kommunikasjonen kan kjennetegnes av portnummeret.
Some of these port numbers — standardized by the IANA (Internet Assigned Numbers Authority) — are “well-known” for being associated with network services. For instance, TCP port 25 is generally used by the email server. The list of services associated with port numbers can be found in the /etc/services file, also explained in services(5), as well as in:
→ https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml
Når et lokalt nettverk bruker et privat adresseområde (ikke rutbare (tilgjengelig) på Internettet), trenger inngangsporten å gjennomføre address masquerading (adresse maskering) slik at maskinene i nettverket kan kommunisere med omverdenen. Den maskerte operasjonen er en slags mellomtjener som opererer på nettverksnivå: Hver utgående tilkobling fra en intern maskin er erstattet med en forbindelse fra inngangsporten selv (siden porten har en ekstern, rutbar adresse), dataene som går gjennom den maskerte tilkoblingen blir sendt til den nye, og dataene som kommer tilbake som svar sendes gjennom til den maskerte forbindelsen til den interne maskinen. Inngangsporten bruker en rekke øremerkede TCP-porter til dette formål, vanligvis med meget høye tall (over 60 000). Hver tilkobling som kommer fra en intern maskin vises deretter til omverdenen som en forbindelse som kommer fra en av disse reserverte portene.

KULTUR Privat adresseområde

RFC 1918 definerer tre områder for IPv4-adresser som ikke er ment å bli rutet på Internettet, men bare til bruk i lokale nettverk. Den første, 10.0.0.0/8 (se sidestolpe DET GRUNNLEGGENDE Viktige nettverkskonsepter (Ethernet, IP-adresse, subnett, kringkasting)), er et A-klasse område (med 2 24 IP-adresser). Den andre, 172.16.0.0/12, samler 16 B-klasse områder (172.16.0.0/16 til 172.31.0.0/16), hver med 2 16 IP-adresser. Til slutt, 192.168.0.0/16 er et B-klasse område (som grupperer 256 C-klasse områder, 192.168.0.0/24 til 192.168.255.0/24, med 256 IP-adresser hver).
→ http://www.faqs.org/rfcs/rfc1918.html
Inngangsporten kan også utføre to typer network address translation (eller i korthet NAT). Den første typen, Destination NAT (DNAT) er en teknikk for å endre IP-adressedestinasjonen (og/eller TCP- eller UDP-porten) til en (vanligvis) innkommende tilkobling. Forbindelsens sporingsmekanisme endrer også følgende pakker i samme tilknytning for å sikre kontinuitet i kommunikasjonen. Den andre typen NAT er Source NAT (SNAT), der masquerading er et spesielt tilfelle; SNAT endrer kildens IP-adresse (og/eller TCP- eller UDP-porten) til en (vanligvis) utgående tilkobling. Som for DNAT, er alle pakkene i forbindelsen hensiktsmessig håndtert av forbindelsens sporingsmekanisme. Merk at NAT er kun relevant for IPv4 og dens begrensede adresseområde; i IPv6, reduserer den store tilgjengeligheten av adresser nytten av NAT ved å la alle «interne» adresser være direkte rutbare på Internett (dette betyr ikke at interne maskiner er tilgjengelig, siden mellomliggende brannmurer kan filtrere trafikk).

DET GRUNNLEGGENDE Videresendelse av porter

En konkret applikasjon hos DNAT er port forwarding. Innkommende tilkoblinger til en gitt port hos en maskin blir videresendt til en port på en annen maskin. Andre løsninger kan oppnå en lignende virkning, men særlig på applikasjonsnivå med ssh (se Seksjon 9.2.1.4, «Å lage krypterte tunneler med portvideresending (Port Forwarding)») eller redir.
Nok teori, la oss være praktiske. Å snu et Debian-system til en port er en så enkel sak som å aktivere det aktuelle valget i Linux-kjernen ved hjelp av /proc/ virtuelle filsystemet: 
# echo 1 > /proc/sys/net/ipv4/conf/default/forwarding
This option can also be automatically enabled on boot if /etc/sysctl.conf or a configuration file in /etc/sysctl.d/ sets the net.ipv4.conf.default.forwarding option to 1.

Eksempel 10.1. /etc/sysctl.conf-filen

net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.tcp_syncookies = 1
Den samme effekten kan oppnås for IPv6 ved å bytte ipv4 med ipv6 i den manuelle kommandoen, og bruke net.ipv6.conf.all.forwarding-linjen i /etc/sysctl.conf.
Å aktivere IPv4-maskering er en litt mer komplisert operasjon som involverer å sette opp netfilter-brannmuren.
Tilsvarende, å bruke NAT (for IPv4), krever oppsett av netfilter. Siden det primære formålet med denne komponenten er pakkefiltrering, er detaljene oppført i Kapittel 14: «Sikkerhet» (se Seksjon 14.2, «Brannmur eller pakkefiltrering»).