NetWare w stronę Internetu


Miła rzecz - NAT

Z założeń warsztatu wynika, że mamy połączyć niewielką sieć lokalną z Internetem, wobec czego samo się nasuwa zastosowanie usługi NAT (Network Address Translation). Dzięki niej sieć będzie się mogła komunikować ze światem poprzez system NetWare, wykorzystując jeden "publiczny" adres IP. Działanie NAT polega na tym, że wyposażony w dwie karty sieciowe serwer pełni funkcję bramy, routera i pośrednika w komunikacji między siecią lokalną a Internetem. Klienci sieci, którzy chcą na przykład przeglądać witryny WWW, korzystają ze standardowych aplikacji typu Internet Explorer lub Netscape Navigator. Pośrednictwo serwera jest dla nich niewidoczne, natomiast bardzo istotne dla sieci. Po pierwsze, serwer przeprowadza translację adresów IP, co umożliwia komunikację wszystkich klientów przez jeden adres publiczny. Po drugie, NAT zawiera mechanizmy pozwalające na kontrolowanie dostępu do Internetu. Łatwo można określić, z których maszyn w sieci komunikacja będzie dozwolona, a z których nie.

Serwer z uruchomioną usługą NAT zamienia źródłowy adres IP każdej ramki przesłanej z sieci LAN pod adres serwera i dlatego serwery zewnętrzne (internetowe) nie wiedzą, że napływające do nich informacje pochodzą z wielu komputerów pracujących w sieci lokalnej.

Usługa NAT serwera NetWare 6 pozwala na skonfigurowanie kilku przydatnych administratorowi parametrów. Pierwszy to sposób obsługi klientów. Są trzy tryby pracy: dynamiczny, statyczny oraz statyczno-dynamiczny. Tryb dynamiczny służy do komunikacji komputerów sieci wewnętrznej z siecią zewnętrzną, jak w naszym przykładzie. Podczas przekazywania pakietów do serwera klienci każdorazowo mają zamieniane adresy IP. Tryb statyczny służy do udostępnia klientom zewnętrznym usług ukrytych w sieci lokalnej. Przykładem może być umieszczony w sieci LAN serwer WWW lub FTP. W takim wypadku NAT przekazuje zapytania komputerów publicznych do wskazanej maszyny wewnątrz sieci. Ta metoda nie pozwala klientom publicznym na dostęp do innych komputerów sieci lokalnej oprócz tych, których adresy zostały ręcznie wskazane przez administratora.

I wreszcie tryb mieszany służy do obsługiwania zarówno klientów sieci publicznej, jak i prywatnej. Konfiguracja sieci określa, który z wybranych trybów należy zastosować. W naszym przykładzie wewnątrz sieci nie ma serwerów oferujących usługi klientom zewnętrznym, dlatego należy wybrać tryb dynamiczny.

Konfiguracja translacji adresów jest bardzo prosta. Po uruchomieniu modułu Inetcfg administrator powinien wybrać opcję powiązań (Bindings) tego interfejsu sieciowego, który otrzymał publiczny adres IP, a potem kolejno Configure TCP/IP Bing Options | Expert TCP/IP Bind Options | Network Address Translation, w wyświetlonym oknie ustawić parametr Status na Dynamic Only i to wszystko.

UWAGA!

Usługę NAT należy włączyć w interfejsie publicznym, nie prywatnym!

Bezpieczeństwo ważna rzecz

To oczywiste, że należyte zabezpieczenie serwera przed ingerencją z zewnątrz jest niezwykle ważne. Administratorzy serwerów powinni je solidnie zabezpieczyć, w przeciwnym wypadku czekają ich kłopoty. Dostępne w NetWare mechanizmy ochrony przed intruzami ułatwiają to zadanie. System Small Business Suite 6 zawiera BorderManager, specjalne oprogramowanie do kontroli dostępu oraz zabezpieczania sieci. Ponieważ opisanie wszystkich zalet BorderManagera wykracza znacznie poza ramy tego artykułu, skoncentrujemy się na filtrowaniu pakietów.

Filtrowanie polega na analizie informacji, które serwer, po sprawdzeniu ich źródła, przeznaczenia i typu, odrzuca lub wpuszcza do sieci. Sprawdzanie opiera się na analizie charakterystyki pakietu - badane są takie fragmenty ramki jak: interfejs źródłowy i docelowy, adres źródłowy i docelowy oraz zawartość pakietu. W wypadku interfejsu można określać jego typ (pojedynczy lub grupa) oraz rodzaj (źródłowy lub docelowy). Również adresy można podzielić na typy: Host oznacza pojedynczy adres (np. 192.168.0.1), Network - identyfikator sieci (np. 192.168.0.0), natomiast All - wszystkie adresy. Zawartość pakietu pozwala na określenie protokołu (np. ICMP, TCP, IP) oraz numeru portu związanego z komunikacją (np. 53 do usługi DNS, 80 do usługi HTTP). Poprawność filtrowania zależy wyłącznie od prawidłowego wprowadzenia opisanych parametrów. Należy wyjątkowo ostrożnie posługiwać się tymi ustawieniami, żeby nie odciąć dostępu do sieci. Najlepszym sposobem na prawidłowe skonfigurowanie flitowania jest zablokowanie najpierw całego ruchu. Następnie, po gruntownym rozpoznaniu wszystkich usług, z których ma korzystać sieć wewnętrzna oraz zewnętrzna, odblokowuje się poszczególne porty. Jeśli na przykład klienci sieci wewnętrznej mają mieć dostęp do internetowych serwerów WWW, należy odblokować w interfejsie publicznym ruch wyjściowy w porcie 80 TCP. Dodatkowo należy odblokować port 53, związany z usługą DNS.

Moduł filtcfg.nlm pozwala filtrować pakiety, zabezpieczając w ten sposób sieć przed niechcianymi transmisjami. Przykładowo, aby uaktywnić dostęp do WWW, aktywny musi być tylko port 80 (WWW) i 53 (usługa DNS).

Moduł filtcfg.nlm pozwala filtrować pakiety, zabezpieczając w ten sposób sieć przed niechcianymi transmisjami. Przykładowo, aby uaktywnić dostęp do WWW, aktywny musi być tylko port 80 (WWW) i 53 (usługa DNS).

W celu wyjaśnienia konfiguracji filtrowania pakietów szczegółowo opiszemy, jak umożliwiać użytkownikom sieci wewnętrznej przeglądanie stron !WWW. Najpierw na konsoli serwera należy załadować moduł FILTCFG.NLM (filtrowanie pakietów wymaga włączenia tej usługi w ustawieniach protokołu TCP/IP serwera). W tym celu wybierasz Inetcfg | Protocols | TCP/IP i ustawiasz wartość opcji Filter Support na Enabled. Dopiero wtedy parametry określone w Filtcfg będą działały. Po załadowaniu modułu wybierasz w wyświetlonym oknie Configure TCP/IP Filters | Packet Forwarding Filters (inne opcje dotyczą filtrowania protokołów dynamicznego routingu i nie interesują Cię). Ustawienie wartości opcji Status na Enabled włącza filtrowanie. Następnie sprawdzasz, czy w polu Action jest wpis Deny Packets in Filter List. Jeśli tak, wybierasz Filters i przystępujesz do blokowania wszystkich pakietów wchodzących i wychodzących z interfejsu publicznego. Naciskasz klawisz [Insert], ustawiasz Source Interface: Internet i po naciśnięciu klawisza [Esc], zapisujesz zmiany. Następnie znowu naciskasz [Insert] i w pole Destination Interface wprowadzasz Internet. Rezultatem tych działań powinny być dwa filtry, z których pierwszy blokuje pakiety przychodzące do interfejsu Internet, a drugi - wychodzące z tego interfejsu. Naciskając klawisz [Esc], przechodzisz do okna wyższego poziomu, żeby ustawić wyjątki od wprowadzonych reguł. Dzięki nim filtrowane będzie wszystko oprócz ustawionych zmian. W tym celu należy wybrać opcję EXEPTIONS i określić, jakie pakiety mogą przejść przez serwer. Jak ustaliliśmy, chodzi o to, żeby użytkownicy sieci mogli przeglądać strony !WWW. Wymaga to odblokowania dwóch portów: 80 (HTTP) i 53 (DNS). Pierwszy umożliwia klientom dostęp do pracujących zwykle w tym porcie serwerów WWW, drugi - odwoływanie się do serwerów DNS w celu posługiwania się nazwami (np. www.pcworld.pl). Naciskasz klawisz [Insert] i wprowadzasz po kolei: Source Interface=Localnet, Destination Interface=Internet, Packet Type=www-http-st.

Po naciśnięciu [Esc] zapisujesz filtr. Odfiltrowanie serwerów DNS przebiega podobnie, tyle że należy podać inny typ pakietu: dns/udp-st. Warto pamiętać, że korzystanie z iManage, poczty lub innych usług, wymaga odfiltrowania kolejnych typów pakietów (np. smtp, pop3, https itd.)

UWAGA!

Filtrowanie pakietów nie zawsze należycie zabezpiecza serwer. Dodatkowe informacje o bezpieczeństwie są dostępne na stronach pomocy technicznej firmy Novell:http://support.novell.com .

Konfiguracja klientów

Po zakończeniu konfiguracji serwer może rozpocząć obsługę klientów. Wszystkie lub wybrane komputery z sieci będą mogły korzystać z usługi NAT po wprowadzeniu w nich kilku prostych zmian. Jeśli w sieci jest serwer DHCP, dostarczenie klientom odpowiednich informacji będzie jeszcze prostsze.