Today i decided to tell about my home local network.
Abount system of monitoring in real time: NetWistler and WhatsUP Gold.
I like networks and maybe it forced me to create network in my area.

One year i’m worked in Network Operation Center in Deportament Information System of Internet Service Provider. We are monitoring all network of our company. It’s: Internation Data/VoIP channels, ATM and Sattelite channel on regoins. Routers, switches, modems, DSLAM’s, UPS, сonditioners and very many other. After reception of experience and knowledge, i introduced system of monitoring to my local network area.

It’s very easy system. On beginning i’m used software NetWhistler 1.01 for Windows. She is writed on Java. Screenshot of my settings in NW you can see below.

Recently i introduced softwate WhatsUP Gold (www.ipswitch.com). This software only for Windows too And now my monitoring system became more exact. I can more precisely to adjust system, to see results in web-browser with set up access for remote users and i can receive notices on SMS and EMail. Monitoring interrogates on ICMP, SNMP NetBiOS all host and every service separately (HTTP, DNS, SMTP, POP3, FTP etc.) And the main thing it not all. Screenshot WhatsUP below.

In the future i would like to adjust monitoring on SNMP protocol and add for my system:

- Nagios (System for monitoring for UNIX) – http://nagios.com/
- MRTG (Multi router traffic grapher) – http://oss.oetiker.ch/mrtg/
- RDDTools – http://oss.oetiker.ch/rrdtool/

Now it’s all. Soon shall tell anything more

 В данной статье я попытаюсь рассказать об одном из представителей программных маршрутизаторов iproute2, который на сегоднящний день входит в состав многих Linux дистрибутивов. Почему собственно Linux? GNU/Linux поддерживает очень полезные функции маршрутизации, и может быть специально заточен под использование в качестве маршрутизатора, кроме этого, стандартный брандмауэр iptables может «метить» определенные пакеты, а ядро может выполнять выбор маршрута согласно этим меткам.
Одно только это открывает широкий спектр возможностей при создании сетей со сложной структурой. Мало того поддержка в той или иной степени всех распространенных сетевых протоколов и бесплатность всей этой маршрутизации делает данный способ маршрутизации просто неотъемлемым инструментом любого сетевого администратора.
Собственно начнём с установки и настройки ядра. В ядре необходимо включить ряд опций для маршрутизации. Предположим, что вы настраиваете ядро командой «make menuconfig».Поэтому в разделе «Networking options» необходимо включить следующие элементы:

IP: Advanced router — Включение расширенных возможностей маршрутизации.
IP: Policy routing — Маршрутизация по некоторым внутренним полям пакетов (обычно применяется совместно с брандмауэром), а также для расширенных возможностей маршрутизации, например, маршрутизация согласно адресу-источнику пакета (source-based routing).
IP: Use netfilter MARK value as routing key — включение возможности маршрутизации согласно маркировке пакета брандмауэром (iptables).
IP: Use TOS value as routing key — маршрутизация пакетов на основе заголовка тип сервиса (Type Of Service), помогает увеличить пропускную способность сети при наличии нескольких путей прохождения пакетов.
IP: Large routing tables — включение больших (>64 правил) таблиц маршрутизации ядра.
По желанию можно включить поддержку туннелей, но мы не будем на этом задерживаться. Так как iproute2 во многих дистрибутивах уже встроен по умолчанию, то на процессе установки также небудем останавливаться. Добавлю лишь то, что исходные коды программы могут быть получены по адресу ftp://ftp.inr.ac.ru/iprouting/iproute2-xxx.tar.gz. Также вам всегда поможет документация по установке (обычно текстовый файл README), который из консоли можно прочитать запуском данной комманды:

# cat /iproute2 dir/README | more

Не поленитесь также скачать Linux Advanced Routing and Traffic Control HOWTO, которое может быть найдено на узле www.lartc.org. Это руководство просто необходимо для настройки сложной статической маршрутизации на основе Linux. Если эта статья не решила вашей проблемы, лучше обратиться к данному документу.

Пакет iproute состоит фактически из двух утилит управления трафиком:
ip — Управление собственно маршрутизацией.
tc — Управление очередями маршрутизации.
Главная утилита пакета называется очень просто – ip, но ее возможности включают все или почти все функции таких известных утилит, как arp, ifconfig и route.
Для начала расскажу об общих принципах команды ip, синтаксис команды таков:

ip [Опции] Объект [Команда [Аргументы команды]]

Где “Опции” – это параметры, которые влияют на общую работу утилиты
или вывод результатов. В настоящее время доступны следующие опции:
-V, -Version – выводит версию программы ip
-s, -stats, -statistic - выводит статистическую информацию.
-f, – family – указывается перед идентификатором протокола, таким как inet
(IPv4), inet6(IPv6) или link (Устройство). Служит для выбора указания
протокола, если протокол не указан, то по умолчанию протокол выбирается из
параметров команд.
-4 – аналог параметра -family inet
-6 – аналог параметра -family inet6
-0 - аналог параметра -family link
-o, -oneline - каждая запись будет выводиться на новой строке.
-r – выводить на экран символические имена хостов.
Вы наверное уже заметили что комманды можно сокращать вплоть до одной буквы (или до двух, если только сокращение одной буквой уже занято). Собственно из всех опций наиболее интересен выбор семейства IP.
-4 (IPv4)
-6 (IPv6)

“Объект” – это объект, с которым будут работать или о котором будут получать информацию. Объекты бывают следующими:
link — сетевое устройство (реальное физическое или виртуальное, например VLAN или туннель).
address — ip-адрес устройства (IPv4 или IPv6).
neighbour — кеш ARP адреса.
route — таблицы маршрутизации.
rule — база правил маршрутизации.
maddress — широковещательный адрес.
mroute — широковещательные таблицы маршрутизации.
tunnel — IP-туннель.

В принципе у каждого из этих объектов существуют собственные команды, но имеется и стандартный набор команд подходящий для всех объектов.
add – добавить.
delete – если что-то сделали неправильно, то всегда можно удалить ошибку.
show – показать, можно также приенять list или ls.
Синтаксис различных команд для разных объектов может быть совершенно разным, поэтому я не буду описывать здесь все команды каждого объекта. Если вы хотите изучить настройку этого пакетф более подробно, то лучше обратиться к страницам man и дополнительным документациям. Я лишь напротив, постараюсь описать только главные и основные команды и их взаимодействия между собой.

Теперь давайте перейдём к рассмотрению простейшего случая организации маршрутизации. К примеру, в локальной сети малых размеров есть три компьютера, которым положено иметь доступ к глобальной сети.
1 Компьютер – [192.168.1.30] – Max
2 Компьютер – [192.168.1.20] – Alexander
3 Компьютер – [192.168.1.10] – Oleg
При этом имеется два соединения с провайдером: Быстрое соединение через оптоволокно и ADSL-модемное. Желательно один компьютер (c адресом 192.168.1.10) направить в глобальную сеть через выделенную линию (оптоволокно), а два других (с адресами 192.168.1.20 и 192.168.30) через ADSL. Трафик, направленный во внешний мир с других компьютеров, желательно перенаправлять на сниффер, расположенный по адресу 192.168.1.100, причем сниффер может располагаться и на данном компьютере (tcpdump -i ethX).

Просмотрим сетевые карты на сервере; список будет примерно таким:

# ip link list
1: lo: mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: mtu 1500 qdisc pfifo_fast qlen 10
link/ether 48:54:e8:01:ef:56 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.1/24 brd 192.168.1.255 scope global eth0
3: eth1: mtu 1500 qdisc pfifo_fast qlen 10
link/ether 48:54:e8:01:ef:56 brd ff:ff:ff:ff:ff:ff
inet 213.59.72.1 peer 213.59.72.48/24 scope global eth1
3765: ppp0: mtu 1492 qdisc pfifo_fast qlen
link/ppp
inet 212.116.41.2 peer 212.116.41.10/24 scope global ppp0

Очевидно, что ppp0 соответствует ADSL-соединению. Выделенный доступ у нас на eth1, а выход в локальную сеть (внутреннию) через eth0. Теперь просмотрим таблицы маршрутизации (утилита route способна оперировать только с таблицой main и local, iproute2 дает возможность создавать собственные таблицы, что будет описано позже):

# ip rule list
0: from all lookup local
32766: from all lookup main
32767: from all lookup default

Как видно, пока наши таблицы применимы ко всем пакетам. Добавим новую таблицу для компьютеров, связанных с Интернетом через ADSL:

# echo 200 inet_adsl >> /etc/iproute2/rt_tables

Поясню эту команду:
В базу таблиц маршрутизации (/etc/iproute2/rt_tables), мы добавили новую таблицу. Номер 200 выбран произвольно (до 256-ти таблиц маршрутизации. Таблицы 0, 253, 254, 255 зарезервированы, но остальные полностью в вашем распоряжении), главное, чтобы он не совпадал с другими номерами таблиц маршрутизации, имя inet_adsl также задали произвольно, но потом этой таблицей можно управлять по имени, так что в ваших же интересах дать понятное имя таблице, чтобы облегчить себе процесс дальнейшей настройки.

Добавим в таблицу правила приема пакетов:

# ip rule add from 192.168.1.20 table inet_adsl
# ip rule add from 192.168.1.21 table inet_adsl

Эти команды, думаю, являются понятными, здесь мы добавили правило для пользователей ADSL-интернета, поэтому сразу просмотрим наши таблицы маршрутизации:

# ip rule list
0: from all lookup local
32764: from 192.168.1.20 lookup inet_adsl
32765: from 192.168.1.21 lookup inet_adsl
32766: from all lookup main
32767: from all lookup default

Теперь необходимо добавить правило маршртизатора по умолчанию для таблицы inet_adsl, после чего все пакеты от необходимых машин будут направляться к заданному шлюзу:

# ip route add default via 212.116.41.10 dev ppp0 table inet_adsl

После этого необходимо сбросить кеш маршрутизатора:

# ip route flush cache

Настала очередь настроить выделенное соединение. Думаю, следующие команды уже не должны вызвать сложности:

# echo 201 inet_fddi >> /etc/iproute2/rt_tables
# ip rule add from 192.168.1.10 table inet_fddi
# ip route add default via 213.59.72.48 dev eth1 table inet_modem
# ip route flush cache

Собственно теперь компьютеры Alexander, Max и Oleg имеют интернет соединение через шлюзы ADSL и выделенного канала.
Для просмотра таблиц маршрутизации можно использовать такую команду:

# ip route list table [table_name]

А вот теперь давайте включим сниффер для отслеживания пакетов, которые пришли из локальной сети. Добавим виртуальную сетевую карту:

# ifconfig eth0:1 192.168.1.100 netmask 255.255.255.0 up

Или можно добавить её с помощью – ip

# ip addr add 192.168.1.100/24 label eth0:1 dev eth0
(ip addr help проинструктирует вас по аргументам команды addr)

Теперь наша задача настроить маршрутизацию так чтобы пакеты с нашей локальной сети, направленные во внешнюю сеть, направлялись на адресс 192.168.1.100, где мы запустим сниффер. Всё это мы делаем, для того чтобы администратор мог следить за попытками проникновения во внешнюю сеть.
Данная задача решаеться довольно просто. С помощью объединения возможностей netfilter (iptables) и iproute2. Внутри ядра существует возможность установки на пакетах меток, метки устанавливает iptables, но эти метки существуют только в пределах ядра, и не выходят за границы данного компьютера. Так как подробное описание системы netfilter выходит за рамки данной статьи, я лишь опишу процесс установки метки на конкретном примере:

# iptables -A PREROUTING -i eth0 -s 192.168.1.0/24 -d ! 192.168.1.0/24
-t mangle -j MARK –set-mark 1

Обратите внимание на флаг –set-mark, он может устанавливать метку от 1 до 255. После установки правила iptables необходимо вновь вернуться к настройке iproute2. Сейчас все необходимые нам пакеты помечены меткой 1, нам осталось только направить все такие “меченые” пакеты на сниффер, расположенный по адресу 192.168.1.100:

# echo 202 sniffing >> /etc/iproute2/rt_tables
# ip rule add fwmark 1 table sniffing

Мы создаём таблицу маршрутизации для сниффера и добавляем правило для этой таблицы. Заметьте, что вторая команда выполняет выборку пакетов согласно их метке.

# ip route add default via 192.168.1.100 dev eth0:1 table sniffing
# ip route flush cache

Теперь создадим файл для логов и установим для него атрибуты прав доступа, а затем запускаем собственно сниффер (в фоновом режиме):

# touch /var/log/tcpdump.log
# chattr 600 /var/log/tcpdump.log
# tcpdump -i eth0:1 > /var/log/tcpdump.log &

Для повышения безопасности можно также запустить сниффер через chroot:

# chroot /var/log tcpdump -i eth0:1

Хотя есть еще несколько маленьких нюансов в данном примере, а именно установки сетевых опций ядра. Опции ядра обычно устанавливаются посредством файловой системы /proc, занесением необходимых значений в определенные файлы.
Для нас необходимо отключить icmp redirect ответы, чтобы наш маршрутизатор не сообщал клиентам о выборе необходимого маршрута непосредственно (это лишит нас возможности установки меток на пакеты, а кроме того, понимается далеко не всеми клиентами по умолчанию). Для этого делаем следующее:

# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
# echo 0 > /proc/sys/net/ipv4/conf/default/send_redirects
# echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects

Также не забывайте о правильной настройке брандмауэра, и если имеется несколько подсетей, желательно убедиться, что выключена прямая передача пакетов из подсети в подсеть (т.е. если пакет направлен в другую подсеть, он не должен передаваться на другой сетевой интерфейс без обработки):

# echo 0 > /proc/sys/net/ipv4/ip_forward

Единственный серьезный минус приведенной схемы — возможность подмены ip-адреса. Но привязка ip-адресса к МАС-адрессу делается очень просто:

# arp –f /etc/ethers

Где в /etc/ethers хранятся соответствия в виде:
xxx.xxx.xxx.xxx xxxxxxxxxxxx

Просмотреть таблицу arp можно задав следующую команду:
# ip neigh

К сожалению MAC-адресс также можно подменить, но этот недостаток исправить невозможно, хотя можно дополнительно отслеживать обращения ко внешней сети. На этом я завершу описание этой «простенькой» задачки и перейду к описанию установки IP-туннелей.

Собственно любой сетевой туннель выполняет инкапсуляцию пакетов (т.е. фактически к каждому пакету добавляется необходимый заголовок). Туннели позволяют организовать связь нескольких подсетей одним соединением. В ядро Linux интегрирована поддержка нескольких типов IP-туннелей.
Управление туннелями осуществляется посредством команды ip tunnel. Но для начала необходимо включить поддержку туннелей в ядре. В разделе настройки ядра «Networking options» отмечаем следующие опции:

IP: Tunneling — поддержка туннелей ядром;
IP: GRE tunnels over ip — поддержка GRE-туннелей, которые обладают возможностью инкапсулировать ipv6-трафик.
Примечание: Кроме этого GRE является стандартом де-факто в маршрутизаторах Cisco, поэтому для организации туннеля между Linux-машиной и маршрутизатором Cisco применяйте GRE-туннели.

Представте себе организацию туннеля между двумя компьютерами, соединяющих две подсети. Для добавления GRE-туннеля можно воспользоваться следующей командой на сервере 192.168.1.1:

# ip tunnel add tuna mode gre remote 192.168.2.1 local 192.168.1.1 ttl 255

Впринципе уже понятно, что эта команда создаёт GRE-туннель (Tun A) от машины 192.168.1.1 до машины 192.168.2.1 (для создания чисто IPV6-туннеля используется тип sit (mode sit), при этом необходимо вручную добавлять IPV6-адрес туннелю (ip –6 addr add ipv6_addr dev tunsit)). Вы можете добавлять туннель с любым именем, состоящим из букв и цифр. Поле ttl (Time To Live) является необязательным, но каждому пакету, проходящему через туннель, будет присваиваться заданный ttl.
Теперь после создания туннеля, нам надо настроить маршрутизацию через этот туннель. Включаем виртуальный сетевой интерфейс, созданный предыдущей командой:

# ip link set tuna up

Теперь необходимо назначить созданному туннелю ip-адрес, пусть это будет 192.168.1.102:

# ip addr add 192.168.1.101 dev tuna

Затем добавим маршрут к сети 192.168.2.0/24 через созданный туннель:

# ip route add 192.168.2.0/24 dev tuna

Но дело в том, что к данным, проходящим по туннелю, дописывается дополнительный заголовок 20 байт длиной, таким образом, MTU для туннеля составляет не 1500, а 1480 байт. Поэтому мы изменим команду добавления маршрута, указав mtu:

# ip route add 192.168.2.0/24 dev tuna mtu 1480

Указание mtu очень полезная вещь во многих случаях, например, при организации VLAN (IEEE 802.11q) также необходимо уменьшать значение MTU интерфейса.
Кстати вышеописанную команду можно выполнить и с помощью старой утилиты route:

# route add -net 192.168.2.0 netmask 255.255.255.0 dev tuna mtu 14800

Но я считаю синтаксис iproute здесь несколько проще.
Теперь проделываем те же действия на другом конце туннеля (192.168.2.1), думаю, команды вам уже знакомы и предельно понятны:

# ip tunnel add tunb mode gre remote 192.168.1.1 local 192.168.2.1 ttl 255
# ip link set tunb up
# ip addr add 192.168.2.101 dev tunb
# ip route add 192.168.1.0/24 dev tunb

Здесь мы создали туннель (Tun B) от машины 192.168.2.1 до машины 192.168.1.1. Уже после этого наш туннель начинает функционировать.
Также в iproute2 существует утилита tc (Traffic Control) – которая служит для ограничения трафика. tc может великолепно послужить для защиты от dDoS-атак. Смысл атаки – «наполнить» сетевые интерфейсы сервера пересылками служебных пакетов ICMP так, чтобы замедлить или вообще прекратить его ответы пользователям. То есть отказ в обслуживании (Denial of Service). Обычно для подавления таких атак, предварительно замеряют нормальный трафик ICMP, например, записывая трафик в файл с помощью команды tcpdump, а затем ограничить количество ICMP-пакетов в полученных пределах.
Утилита tc вообще управляет трафиком на уровне ядра, устанавливая те или иные дисциплины очереди. Существует несколько вариантов управления трафиком:
– ограничение пропуской способности
- сглаживание пиков
- планирование доставки и политики.
Некоторые ограничения касаются входного, а другие – выходного трафика, или того и другого вместе взятых. Если трафик не удовлетворяет правилам, то он отвергается. Вообщем общий принцип работы tc на практике, я расталкую в следующей статье.

Подводя итог данной статьи, я хочу заметить, что программный продукт iproute2 для GNU/Linux, лучше всех подходит для выполнения статической маршрутизации. Маршрутизация позволяет выполнять достаточно сложные операции по передаче пакетов и при этом позволяет грамотно устанавливать политику доступа к определенным подсетям и узлам сети.

Список использованной литературы:
Вадим Фёдоров – Настройка сетевых интерфейсов и маршрутизация.
Арсений Чеботарёв – Iproute2: некоторые возможности настройки сети в Linux.
Всеволод Стахов – Настройка маршрутизации с помощью iproute.

Monitor: BenQ «17 FP71E
System block: AMDAthlon2600XP+/768MbDDR400/64Mb-GF4MX440/
HDD40Gb/DVD-ASUS/CD-RW-MSI/Sound CreativeSB5.1
Keyboard: Logitech G15
Mouse: Logitech MX-510 (Red)
Subwoofer: Creative LX520-5.1
Headphones: Noname
Printer: HP 1440Series
Notebook: HP Comaq nx6110 (Model: EK201EA)

Today i’m write about my first security settings. It’s first steps without anything firewall, IDS etc …

1 ) We are must protect LILO. On default settings any user can read lilo.conf. Funny? That can saving passwords and other interesting trash. We are do next

# chown root /etc/lilo.conf
# chmod 700 /etc/lilo.conf

Now only root can read this configuration file. We are must know one more hack. When loading LILO and into the invitation line, if we are write linux single, or boot= or root=, we can take under our control – console of super user, or load kernel to any way. How fix it? Very easy… We must add 2 command into /etc/lilo.conf

restricted
password=examplepass

In this if you want select anything kernels, that you must enter the password. To more information write to console man lilo.conf.

2 ) Let’s limit an opportunity to remote login as root. If you need to remote login, then you can login as your login and then write command su for to be root.

Ok, now we have file /etc/securetty

———————————-
console
tty1
tty2
tty3
tty4
tty5
tty6
#ttyS0
#ttyS1
#ttyS2
#ttyS3
#ttyp0
#ttyp1
#ttyp2
#ttyp3
#pts/0
#pts/1
#pts/2
#pts/3
#pts/4
#pts/5
———————————-

In it are listed consoles, whence root can login. tty# – it’s consoles which you can switch Alt+F#. ttyS# – COM ports (modem, nullcabel). ttyp# & pts# – any virtual connections as telnet, ssh, shell etc… How you can see, directly login as root can only with PC (Localhost). Other connctions to root – off, i’m comment they #. Terminal console – it’s synonym tty1.

And more. I advise in /etc/ssh/sshd_config parametr PermitRootLogin set as «No»

3 ) OK, what next ?
Let’s increase leight password. Show file /etc/login.defs. Our parammeters must be next:

FAIL_DELAY = 3
SU_WHEEL_ONLY = NO
PASS_MAX_LEN = 16
MD5_CRYPT_ENAB = YES

Done. Now save this file and run command passwd, after change you password look at /etc/shadow

4 ) Whence root can login more? Yeah! FTP! Look /etc/ftpuses. You must add in this list «root». Remove all comments (#). This file сontains deny users.

5 ) Protect now versus local users, then have phisycal access to PC. If any joker push 3 magic buttins (Ctrl+Alt+Del) our computer will rebooting. To you need this? Sure – no…

Look /etc/inittab
…….
# What to do at the «Three Finger Salute».
ca::ctrlaltdel:/sbin/shutdown -t5 -rf now
…….

You must only comment line before ca. Or if you with humor, you can change on other command.. For exaple echo «Go away dear windows user»

6 ) Run command nmap -vv localhost and look at the open ports on your PC Workstation. In first you must cooment unneed line into /etc/inetd.conf. Not meet for you port numbers, you can knowing in /etc/services. Be paranoidal, close all what to you unneed.

7 ) What more? Heh… Always check /etc/shadow & /etc/passwd on present a new users.
WARNING !!! On occurrence passwords at those users, at which earlier stood * (operator, news, nobody etc). Also to look /etc/group.

That i think all in first simply secure settings… I want added. After install Linux, remove please text file into /etc, the show many interesting info about your system. For example version, slackware-version etc… In next paper i’m trying say about firewall protect (iptables) and suid options. Thanks for read this post

Now i certificated specialist

+ Work in Microsoft Excel 2003 Rus
+ Work in Microsoft Word 2003 Rus
+ Work in Microsoft Windows XP
+ Base computer preparation (Windows XP)
+ Maintenance service and repair of personal computers
+ Adjustment of office and house computers

My plans about set up server, not realization too … Mmm, tomorow, tomorow !!! I do it. Today i needing sleep.