Đồ án Xây dựng hệ thống mạng Ubuntu

TRÍCH YẾU . 1

LỜI CẢM ƠN . 5

PHÂN CÔNG TRONG NHÓM . 6

GIỚI THIỆU . 7

PHẦN LÝ THUYẾTPHẦN 1: LDAP . 8

I. Giới Thiệu : . 9

II. Tổng quát về LDAP : . 10

III. CẤU TRÚC LDAP : . 11

1. Cấu Trúc Cây Thư Mục Trong Hệ Điều Hành dòng Unix . 11

2. Directory Servive . 11

3. LDAP Directory . 12

4. Distinguished Name . 12

5. LDAP Schema . 12

6. Object class . 13

7. LDIF . 13

8. LDAP là một giao thức hướng thông điệp. 13

PHẦN 2: SAMBA SERVER . 16

I. Giới thiệu Samba: . 16

II. Giới Thiệu NFS (Network File System) :. 17

III. Cấu hình và khởi động dịch vụ Samba . 17

IV. SAMBA và LDAP : . 21

PHẦN 3: MAIL SERVER . 22

I. Một số thuật ngữ : . 22

1. MTA ( Mail Transfer Agent ) : . 22

2. MDA ( Mail Delivery Agent ) : . 22

3. MUA ( Mail User Agent ) : . 22

4. SMTP ( Simple Mail Transfer Protocol ) : . 22

5. POP3 ( Post Office Protocol 3 ) : . 23

6. IMAP (Internet Message Access Protocol) : . 23

II. Quá trình gửi và nhận 1 email như thế nào :. 23

III. Postfix : . 24

1. Giới Thiệu : . 24

2. Cấu trúc của Postfix : . 24

a. Thành Phần của Postfix : . 24

b. Messages vào hệ thống Postfix như thế nào: . 25

c. The Postfix Queue : . 27

d. Mail Delivery : . 27

e. Tracing a Message Through Postfix :. 29

3. Postfix với LDAP : . 31

IV. DOVECOT : . 31

1. Giới Thiệu : . 31

2. Cơ bản về cấu hình dovecot : . 31

3. Dovecot và LDAP :. 33

a. Password lookups: . 34

b. Authentication binds : . 35

PHẦN 4 : FIREWALL . 36

I. FireWall là gì : . 36

II. Phân Loại Firewall : . 36

1. Firewall cứng : Là những firewall được tích hợp trên Router. . 36

2. Firewall mềm: Là những Firewall được cài đặt trên Server. . 36

III. Tại sao cần Firewall ? . 37

IV. IPTABLE FRIWALL: . 37

1. Giới thiệu : . 37

2. Cấu Trúc Iptable : . 37

3 XÂY DỰNG HỆ THỐNG MẠNG UBUNTU Giảng viên hướng dẫn: Lưu Thanh Trà

Khoa Khoa Học Công Nghệ Ngành : Mạng Máy Tính

3. Trình tự xử lý gói tin của iptables : . 38

PHẦN 5 : DNS SERVER . 41

I. Giới Thiệu: . 41

II. The Reverse Zone File : . 41

III. Master (Primary) Name Servers : . 41

IV. Slave (Secondary) Name Servers :. 42

V. Stealth (a.k.a. DMZ or Split) Name Server : . 43

PHẦN 6: WEB SEVER (APACHE) . 45

I. Giới Thiệu : . 45

1. Mô Hình Hoạt Động: . 46

2. Địa Chỉ URL : . 46

II. Giới Thiệu Về APACHE : . 46

1. Tổng Quan :. 46

III. APACHE VÀ LDAP : . 47

1. The Authentication Phase : . 48

2. The Authorization Phase : . 48

3. The Require Directives : . 49

a. Require ldap-user : . 49

b. Require ldap-group : . 50

c. Require ldap-dn: . 51

d. Require ldap-attribute : . 51

e. Require ldap-filter : . 52

PHẦN 7 : DHCP . 53

I. Vai Trò Của DHCP Trong Một Hệ Thống Mạng : . 53

1. DHCP là gì : . 53

2. DHCP làm việc như thế nào: . 53

II. Bổ Sung Và Cấp Phép Cho Dịch Vụ DHCP Hoạt Động : . 53

1. Tại sao sử dụng dịch vụ DHCP: . 53

2. Địa chỉ IP động đặc biệt là gì ? . 53

3. Cách thức cấp phát địa chỉ IP động : . 53

III. Cấu Hình Phạm Vi Cấp Phát Của Dịch Vụ DHCP: . 54

1. Phạm vi cấp phát DHCP là gì : . 54

2. Tại sao phải sử dụng phạm vi cấp phát DHCP?. 54

IV. Cấu hình địa chỉ DHCP giành sẵn (Reservations) và các tùy chọn của DHCP: . 54

1. Địa chỉ DHCP dành sẵn là gì? . 54

2. Một dải địa chỉ IP dành sẵn bao gồm có các thông tin sau : . 54

3. Tùy chọn DHCP là gì? . 54

4. Tại sao phải sử dụng tùy chọn DHCP? . 54

5. Một số tùy chọn chung của DHCP: . 54

V. CẤU HÌNH DHCP DHCP Relay Agent: . 55

1. DHCP relay agent là gì? . 55

2. Tại sao phải sử dụng DHCP relay agent: . 55

VI. Phương thức hoạt động của dịch vụ DHCP: . 55

I. Chuẩn bị : . 59

II. Cài đặt và cấu hỉnh LDAP và SAMBA server. 59

III. Cấu hình client Winodws Xp và Windows 7 vào hệ thống SAMBA: . 74

1. Tạo user trên SAM PDC : . 74

2. Join windows Xp SP2 : . 75

3. Join Windows 7 : . 77

PHẦN 2 : MAIL SERVER VÀ DNS SERVER . 79

I. Cài đặt và cấu hình DNS: . 79

1. Cài đặt : . 79

2. Cấu hình DNS server : . 79

II. Cài đặt và cấu hình Mail server với Postfix và Dovecot : . 81

4 XÂY DỰNG HỆ THỐNG MẠNG UBUNTU Giảng viên hướng dẫn: Lưu Thanh Trà

Khoa Khoa Học Công Nghệ Ngành : Mạng Máy Tính

1. Cài đặt : . 81

2. Cấu hình : . 83

PHẦn 4: FTP VÀ FIREWALL . 89

I. FTP : . 89

1. Giới thiệu : . 89

2. Cài đặt : . 89

3. Cấu hình Proftpd với LDAP : . 90

II. FIREWALL:. 91

1. Giới thiệu : . 91

2. Cấu hình NAT : . 91

3. NAT inbound cho web server : . 93

PHẦN 5: WEB SERVER . 94

1. Cài Đặt : . 94

PHẦN 6 : CẤU HÌNH DHCP . 98

pdf102 trang | Chia sẻ: netpro | Lượt xem: 3061 | Lượt tải: 1download
Bạn đang xem trước 20 trang tài liệu Đồ án Xây dựng hệ thống mạng Ubuntu, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ủa virtual alias được định nghĩa trong biến “virtual_alias_domian “ và những user và địa chỉ email thực sự của chúng được định nghịa trong bàng tìm kiếm ( lookup table ) được định nghĩa trong “virtual_alias_maps”.  Virtual Mailbox Messages : Virtual Delivery Agent điểu khiển việc gửi và nhận mail của địa chỉ virtual mailbox. Những Mailboxs này không có liên kết nào với bất kỳ user nào trên hệ thống ( shell account ). Domain name và user của virtual mailboxs được định nghĩa trong 2 biến “virtual_mailbox_domain” và “virtual_mailbox_maps” .  Rrelay Messages : Smtp Delivery Agents điều khiển mail của các relay domains. Địa chỉ Email trong relay domain là những địa chỉ được lưu trữ trên hệ thống khác, nhưng Postfix chấp nhận các messages đó và chuyển tiếp chúng đến đúng 29 XÂY DỰNG HỆ THỐNG MẠNG UBUNTU Giảng viên hướng dẫn: Lưu Thanh Trà Khoa Khoa Học Công Nghệ Ngành : Mạng Máy Tính hệ thống lưu trữ email đó. Domain names của relay domain được khai báo trong biến “relay_domain”. Chú ý: ngoài những delivery agent nêu trên Postfix còn hổ trở các delivery agent khác, định nghĩa một delivery agents được thực hiện trong file master.cf . e. Tracing a Message Through Postfix : ở mục II chúng ta đã 1 cách tổng quát 1 email được gửi và nhận như thế nào. ở phần này chúng ta sẻ tìm hiểu 1 cách hoàn chỉnh 1 email sẽ di chuyển như thế nào trong hệ thống Postfix. Trong ví dụ bên dưới : Helene ( helene@oreilly.com ) có tài khoản trên hệ thống đang chạy Postfix gửi email tới Frank ( frank@postfix.org ) và frank có 1 alias là doel@onlamp.com . Hình 5- Tracing A Message 1 Vì Helene có account tren hệ thống nên email được gửi bằng lệnh postdrop và đưa vào maildrop directory, email sẻ được các daemon pickup, cleanup, trivial-rewrite để điền cách thông tin cần thiết cho email và được đưa vào incoming queue trong queue manager. Tiếp tục email được chuyển đến active queue, bởi vì đích đến của email này nằm bên ngoài hệ thống nên 30 XÂY DỰNG HỆ THỐNG MẠNG UBUNTU Giảng viên hướng dẫn: Lưu Thanh Trà Khoa Khoa Học Công Nghệ Ngành : Mạng Máy Tính queue manager gọi smtp delivery agent để điều khiển việc gửi email này. Stmp agent truy vấn DNS để biết được địa chỉ của mail server của domain postfix.org và gửi email đi. Hình 6 – Tracing A Message 2 Hình 6 cho ta thấy daemon smtp của domain postfix.org nhận email từ daemon smtp của domain oreilly.com. email lần lượt được các daemon cleanup , trivial-rewrite kiểm tra trước khi đặt email vào incoming queue, tiếp đến email được chuyển sang active queue và queue manager nhận thấy phải gọi local delivery agent để chuyển email đi. Local delivery agent kiểm tra và nhận ra frank là 1 alias ( bí danh ) và local delivery agent resubmitted email qua clenup daemon và gửi đi với đĩa chỉ mới. 31 XÂY DỰNG HỆ THỐNG MẠNG UBUNTU Giảng viên hướng dẫn: Lưu Thanh Trà Khoa Khoa Học Công Nghệ Ngành : Mạng Máy Tính Hình 7 – Tracing A Message 3 Ở hình 7 , các bước nhận email được thực hiên giống như hình 6 cho đến bước gọi local delivery agent để chuyển email đến người nhận thì local delivery agent kiểm tra và nhận thấy email hợp lệ và lưu vào Message store cho người nhận. 3. Postfix với LDAP : Postfix có thể sử dụng LDAP Directory như là nguồn dữ liệu cho mọi lookup của postfix như : alias, virtual, canonical. Điều này giúp bãn giữ thông tin của các tài khoản email an toàn và được bảo vệ tốt hơn. Vì không có thông tin nào lưu trên local nên có thể có nhiều mail server cùng sử dụng chung 1 thư viện thông tin mà không gặp vấn đề về sự trì hoãn khi update dữ liệu cho nhiều server. Để Postfix hoạt động được với LDAP directory thì postfix phải cài đặt gói postfix-ldap bằng lệnh sau : apt-get install postfix-ldap Ngoài ra bạn cũng cần phải khai báo trong file main.cf để postfix biết lookup thông tin băng giao thức nào : Vd : alias_maps = ldap:/etc/postfix/ldap-aliases.cf Trong file ldap-aliases.cf cần khai báo những thông tin như sau : server_host = ldap.example.com \\ chỉ ra địa chỉ của LDAP server search_base = dc=example, dc=com query_filter = mail=%s \\ attribute cần thiết để tìm kiếm result_attribute = maildrop \\ attribute được trả về. IV. DOVECOT : 1. Giới Thiệu :  Dovecot là một Mail Delivery Agent, được viết rất bão mật , nó hổ trợ cả hai định dạng mailbox đó là mbox và maildir.  Dovecot cũng là một phần mềm mã nguổn mở để xây POP và IMAP server cho hệ thống Linux/Unix.  Dovecot là một lựa chọn hoàn hỏa cho 1 hệ thống email nhỏ cũng như 1 hệ thống email lớn bởi vì nó hoạt động nhanh , dễ dàng cài đặt và sử dụng rất ít bộ nhớ và tài nguyên của hệ thống.  Dovecot còn rất nhiều tính năng mạnh mẽ khác như : có thể hoạt động được với NFS và clustered filesystems, hổ trợ nhiều authentication databases và mechanisms, có thể làm nhiệm vụ chứng thực smtp , và có thể tích hợp nhiều plugins như quota và ACL. 2. Cơ bản về cấu hình dovecot : Để cấu hình Dovecot bạn tinh chỉnh file sau /etc/dovecot/dovecot.conf 32 XÂY DỰNG HỆ THỐNG MẠNG UBUNTU Giảng viên hướng dẫn: Lưu Thanh Trà Khoa Khoa Học Công Nghệ Ngành : Mạng Máy Tính Đầu tiên bạn chọn các protocol mà dovecot sẽ hổ trợ bằng biến sau : protocols = pop3 pop3s imap imaps kế đến bạn chọn định dạng mailbox mà dovecot sử dụng : mail_location = maildir:~/Maildir # (for maildir) or mail_location = mbox:~/mail:INBOX=/var/spool/mail/%u # (for mbox) chú ý : là bạn cũng phải cấu hình MTA sử dụng mailbox giống như bạn chọn ở trên. Đây là những cấu hình cơ bản mà bạn nên tìm hiểu, đồng thời bạn cũng nên hiểu Authentication Databases của Dovecot.  Authentication Databases : Dovecot hổ trợ các dạng authentication databases sau :  Passwd: System users (NSS, /etc/passwd, or similiar)  Passwd-file: /etc/passwd-like file in specified location  LDAP: Lightweight Directory Access Protocol  SQL: SQL database (PostgreSQL, MySQL, SQLite)  VPopMail: External software used to handle virtual domains Những Databases nên trên được sử dụng để chứa thông tin user và password của các tài khoản email mà dovecot gọi là password databases và user databases.  Password Databases : Dovecot chứng thực user dựa vào các Password Databases và bạn có thể sử dụng nhiều password databases cùng một lúc. Nếu Dovecot kiểm tra với Databases thứ nhất mà không phù hợp nó sẽ tiếp tục kiểm tra tiếp Databases thứ 2. Điều này rất thuận lợi nếu như bạn muốn hổ trợ cho cả local user và virtual user.  Success/failure databases : Những loại thuộc databases này đơn giản kiểm tra password bạn cung cấp có đúng hay không , Dovecot không lấy password từ database mà chỉ lấy lại thông tin “success” hay “failure”. Những Databases thuộc loại này gồm có: - PAM: Pluggable Authentication Modules. - BSDAuth: BSD authentication. 33 XÂY DỰNG HỆ THỐNG MẠNG UBUNTU Giảng viên hướng dẫn: Lưu Thanh Trà Khoa Khoa Học Công Nghệ Ngành : Mạng Máy Tính - CheckPassword: External checkpassword program.  Lookup databases : Có hai loại databases thuộc Lookup databases như sau :  Databases chỉ hổ trợ looking up password , không hổ trợ các thông tin mở rộng của user : - Passwd: System users (NSS, /etc/passwd, or similiar). - Shadow: Shadow passwords for system users (NSS, /etc/shadow or similiar). - VPopMail: External software used to handle virtual domains.  Database hổ trợ tìm kiếm tất cả các thông tin : - Passwd-file: /etc/passwd-like file in specified location. - LDAP: Lightweight Directory Access Protocol. - SQL: SQL database (PostgreSQL, MySQL, SQLite).  User Databases : sau khai user chứng thực thành công, Dovecot tìm kiếm thông tin của user, việc tìm kiếm đó được thực hiện bởi các delivery để tìm ra các thông tin cần thiết để vận chuyển mail cho user. Các thông tin được tìm kiếm là :  uid: User's UID (UNIX user ID)  gid: User's GID (UNIX group ID)  home: Home directory  mail: Mail location (khi được tìm kiếm thì kết uả trả về sẽ thay thế giá trị của mail_location) những user databases được dovecot hỗ trợ gồm có :  Passwd: System users (NSS, /etc/passwd, or similiar)  Passwd-file: /etc/passwd-like file in specified location  NSS: Name Service Switch (v1.1+)  LDAP: Lightweight Directory Access Protocol  SQL: SQL database (PostgreSQL, MySQL, SQLite)  Static: Userdb information generated from a given template  VPopMail: External software used to handle virtual domains  Prefetch: This assumes that the passdb already returned also all the required user database information 3. Dovecot và LDAP : Như đã trình bày phía trên ta thấy Dovecot có khả năng sử dụng LDAP là Authentication Databases. 34 XÂY DỰNG HỆ THỐNG MẠNG UBUNTU Giảng viên hướng dẫn: Lưu Thanh Trà Khoa Khoa Học Công Nghệ Ngành : Mạng Máy Tính Chúng ta có 2 cách để chưng thực LDAP :  Password lookups  Authentication binds a. Password lookups: Ưu điểm của Password lookups so với Authentication binds : - Nhanh hơn , vì Dovecot có thể gửi nhiều yêu cầu đồng bộ LDAP cùng một lúc tới server. Với Authentication binds thì phải chờ hoàn thành xong 1 request rồi mới gửi tiếp. - Hổ trợ non-plaintext authentication mechanisms - Khi sử dụng Delivery và static userdb, delivery có thế kiểm tra sự tồn tại của user. Còn với Authentication thỉ không thể thực hiện được việc này.  LDAP server permissions : thông thường thì LDAP server không cấp quyền cho bất cứ user này có quyền truy xuất password của user, cho nên bạn cần tạo 1 administrator account có quyền truy xuất userPassword field. Bằng cách thêm dùng sau trong file /etc/ldap/slapd.conf: # there should already be something like this in the file: access to attribute=userPassword by dn="" read # just add this line by anonymous auth by self write by * none Thay "" bằng DN mà bạn khai báo trong dovecot-ldap.conf.  Dovecot configuration : có 2 cấu hình quan trong trong password lookup là : pass_filter : chỉ ra bộ lọc Ldap nào để có thể tìm được user. Pass_attrs : chỉ ra các attributes nào được trả về tư LDAP sever. Nếu để trống thì sẽ trả về tất cả các attributes. Thông thường thì LDAP attribute không có tên trùng với các attribute của Dovecot sử dụng , do đó chúng ta phải ánh xạ chúng với nhau. Có cấu trúc như sau : =. Vd : pass_attrs = uid=user, userPassword=password Sau đây là 1 ví dụ được cấu hình trong file dovecot-ldap.conf : auth_bind = no pass_attrs = uid=user, userPassword=password pass_filter = (&(objectClass=posixAccount)(uid=%u)) 35 XÂY DỰNG HỆ THỐNG MẠNG UBUNTU Giảng viên hướng dẫn: Lưu Thanh Trà Khoa Khoa Học Công Nghệ Ngành : Mạng Máy Tính default_pass_scheme = MD5 b. Authentication binds : Ưu điểm : - LDAP server kiểm tra password cho nên Dovecot không cần biết định dạng lưu trữu của password. - Có thêm 1 chút bảo mật, vì không cần tạo dovecot user để có thể truy xuất đến password của tất cả user trên LDAP server. Ta có thể bật chức năng Authentication binds bằng biến “auth_bind=yes” Vd : auth_bind = yes pass_attrs = uid=user pass_filter = (&(objectClass=posixAccount)(uid=%u)) auth_bind_userdn = cn=%u,ou=people,o=org 36 XÂY DỰNG HỆ THỐNG MẠNG UBUNTU Giảng viên hướng dẫn: Lưu Thanh Trà Khoa Khoa Học Công Nghệ Ngành : Mạng Máy Tính PHẦN 4 : FIREWALL I. FireWall là gì : - Thuật ngữ FireWall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong Công nghệ mạng thông tin, FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thông của một số thông tin khác không mong muốn. - Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) được đặt giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet. - Trong một số trường hợp, Firewall có thể được thiết lập ở trong cùng một mạng nội bộ và cô lập các miền an toàn. Ví dụ như mô hình dưới đây thể hiện một mạng Firewall để ngăn cách phòng máy, người sử dụng và Internet. II. Phân Loại Firewall : Firewall được chia làm 2 loại, gồm Firewall cứng và Firewall mềm: 1. Firewall cứng : Là những firewall được tích hợp trên Router.  Đặc điểm của Firewall cứng: - Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy tắc như firewall mềm) - Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng Transport) - Firewall cứng không thể kiểm tra được nột dung của gói tin. Ví dụ Firewall cứng: NAT (Network Address Translate). 2. Firewall mềm: Là những Firewall được cài đặt trên Server.  Đặc điểm của Firewall mềm: - Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng - Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng) 37 XÂY DỰNG HỆ THỐNG MẠNG UBUNTU Giảng viên hướng dẫn: Lưu Thanh Trà Khoa Khoa Học Công Nghệ Ngành : Mạng Máy Tính - Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa). + Ví dụ về Firewall mềm: ISA , iptables… III. Tại sao cần Firewall ? Nếu máy tính của bạn không được bảo vệ, khi bạn kết nối Internet, tất cả các giao thông ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truy cập và lấy cắp thông tin cá nhân cuả bạn trên máy tính. Chúng có thể cài đặt các đoạn mã để tấn công file dữ liệu trên máy tính. Chúng có thể sử dụng máy tính cuả bạn để tấn công một máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet. Một firewall có thể giúp bạn thoát khỏi gói tin hiểm độc trước khi nó đến hệ thống của bạn. Chức năng chính của Firewall: Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là: - Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet). - Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet). - Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. - Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. - Kiểm soát người sử dụng và việc truy nhập của người sử dụng. - Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng. IV. IPTABLE FRIWALL: 1. Giới thiệu : Trong môi trường Linux phần mềm firewall phổ biến và cơ bản nhất là iptables, thông qua nó bạn có thể dễ dàng hiểu được nguyên lý hoạt động của một hệ thống firewall nói chung. 2. Cấu Trúc Iptable : Iptables cơ bản gồm ba bảng FILTER, MANGLE, NAT và các chain trong mỗi bảng, với chúng người quản trị có thể tạo ra các rules cho phép các gói tin vào ra hệ 38 XÂY DỰNG HỆ THỐNG MẠNG UBUNTU Giảng viên hướng dẫn: Lưu Thanh Trà Khoa Khoa Học Công Nghệ Ngành : Mạng Máy Tính thống (được bảo vệ bằng iptables) tuỳ theo ý muốn của mình. Chức năng cụ thể của chúng như sau.  Mangle: dùng để chỉnh sửa QOS(qulity of service) bit trong phần TCP Header của gói tin  Filter: đúng như tên gọi nó dùng để lọc các gói tin gồm các build-in chain - Forward chain: lọc những gói tin đi qua hệ thống (đi vào một hệ thống khác). - Input chain: lọc những gói tin đi vào hệ thống. - Output chain: những gói tin đi ra từ hệ thống.  Nat: sửa địa chỉ gói tin gồm các build-in chain - Pre-routing: sửa địa chỉ đích của gói tin trước khi nó được routing bởi bảng routing của hệ thống (destination NAT hay DNAT). - Post-routing: ngược lại với Pre-routing, nó sửa địa chỉ nguồn của gói tin sau khi gói tin đã được routing bởi hệ thống (SNAT). Mỗi rule mà bạn tạo ra phải tương ứng với một chain, table nào đấy. Nếu bạn không xác định tables nào thì iptables coi mặc định là cho bảng FILTER. 3. Trình tự xử lý gói tin của iptables : Có thể tóm tắt trình tự xử lý gói tin của iptables bằng hình vẽ sau các gói tin từ ngoài đi vào sẽ được kiểm tra bởi các Pre-routing chain đầu tiên xem xem nó có cần DNAT không sau đó gói tin được routing. Nếu gói tin cần đi tới một hệ thống khác ( protected network ) nó sẽ được lọc bởi các FORWARD chain của bảng FILTER và nếu cần nó có thể được SNAT bởi các Post-routing chain trước khi đến được hệ thống đích. Tương tự khi hệ thống đích cần trả lời, gói tin sẽ đi theo thứ tự như vậy nhưng theo chiều ngược lại. Lưu ý trong hình vẽ những FORWARD và Post-routing chain của bảng mangle chỉ tác động vào đặc điểm QOS ( Quality of Service ) của gói tin. Nếu gói tin được gửi tới hệ thống ( hệ thống chứa iptables ) nó sẽ được xử lý bởi các INPUT chain và nếu không bị lọc bỏ nó sẽ được xử lý bởi một dịch vụ ( System Service ) nào đó chạy trên hệ thống. Khi hệ thống gửi trả lời, gói tin mà nó gửi đi được xử lý bởi các OUTPUT chain và có thể được xử ký bởi các Post-routing chain của bảng FILTER và bảng MANGLE nếu nó cần SNAT hay QoS. Targets và Jumps những iptables rules kiểm tra những gói ip và cố gắng xác định nó sẽ được xử lý theo kiểu nào (target), khi đã được xác định gói ip sẽ được xử lý theo kiểu đó. Sau đây là một số build-in targets thường được sử dụng. -ACCEPT: iptables chấp nhận gói tin, đưa nó qua hệ thống mà không tiếp tục kiểm tra nó nữa. - DROP: iptables loại bỏ gói tin, không tiếp tục xử lý nó nữa. - LOG: thông tin của gói tin sẽ được ghi lại bởi syslog hệ thống, iptables tiếp tục xử lý 39 XÂY DỰNG HỆ THỐNG MẠNG UBUNTU Giảng viên hướng dẫn: Lưu Thanh Trà Khoa Khoa Học Công Nghệ Ngành : Mạng Máy Tính gói tin bằng những rules tiếp theo. - REJECT: chức năng của nó cũng giống như DROP tuy nhiên nó sẽ gửi một error message tới host đã gửi gói tin. - DNAT: dùng để sửa lại địa chỉ đích của gói tin. - SNAT: dùng để sửa lại địa chỉ nguồn của gói tin - MASQUERADE: cũng là một kiểu dùng để sửa địa chỉ nguồn của gói tin để xây dựng các rules bạn còn phải sử dụng các tuỳ chọn để tạo điều kiện so sánh.Sau đây là một số tuỳ chọn thường dùng. 40 XÂY DỰNG HỆ THỐNG MẠNG UBUNTU Giảng viên hướng dẫn: Lưu Thanh Trà Khoa Khoa Học Công Nghệ Ngành : Mạng Máy Tính -t : chỉ ra tên của bảng mà rule của bạn sẽ dược ghi vào (mặc định là FILTER ). -j : nhẩy đến một kiểu xử lý (target) tương ứng như đã định nghĩa ở trên nếu điều kiện so sánh thoả mãn. - A : ghi nối tiếp rule vào đuôi một chain - p : so sánh protocol gói tin. - s : so sánh địa chỉ nguồn của gói tin. - d : so sánh địa chỉ đích của gói tin - i : so sánh tên card mạng mà gói tin đi vào hệ thống qua đó - o : so sánh tên card mạng mà gói tin từ hệ thống đi ra qua đó. -p tcp –sport : xác định port nguồn của gói tin TCP. -p tcp –dport : xác định port đích của gói tin TCP -p udp –sport : xác định port nguồn của gói tin UDP -p udp –dport : xác định port đích của gói tin UDP –syn : xác định gói tin có phải là một yêu cầu tạo một kết nối TCP mới không. –icmp-type : xác định loại gói icmp (echo-reply hay echo-request). -m multiport –sport : xác định một loạt các giá trị port nguồn -m multiport –dport : xác định một loạt các giá trị port đích. -m multiport –port : xác định một loạt các giá trị port ( không phân biệt nguồn hay đích ). -m –state : xác định trạng thái kết nối mà gói tin thể hiện ESTABLISHED: gói tin thuộc một kết nối đã được thiết lập. NEW: gói tin thể hiện một yêu cầu kết nối. RELATED : gói tin thể hiện một yêu cầu kết nối thứ hai (có liên quan đến kết nối thứ nhất, thường xuất hiện ở những giao thức FPT hay ICMP) INVALID : thể hiện một gói tin không hợp lệ 41 XÂY DỰNG HỆ THỐNG MẠNG UBUNTU Giảng viên hướng dẫn: Lưu Thanh Trà Khoa Khoa Học Công Nghệ Ngành : Mạng Máy Tính PHẦN 5 : DNS SERVER I. Giới Thiệu: Duy trì một cơ sở dữ liệu DNS có thể giúp máy tính dịch tên miền chẳng hạn như www.ubuntu.com các địa chỉ IP như 91.189.94.249. Khi cá nhân không có máy chủ DNS để lưu trữ toàn bộ Internet trong cơ sở dữ liệu của nó thì mỗi máy chủ được cấu hình theo mặc định để yêu cầu máy chủ DNS khác. Một máy chủ DNS cũng được biết đến như là một cái tên server hoặc name server, như nhiệm vụ mô tả của nó trong file cấu hình chính DNS client / etc / resolv.conf. Các tên được mô tả, ví dụ, một chuyển tiếp DNS: máy chủ chuyển tiếp yêu cầu. Một tên bộ nhớ đệm máy chủ lưu trữ các kết quả của yêu cầu chuyển tiếp; yêu cầu lặp đi lặp lại có thể sử dụng bộ nhớ cache không được chuyển tiếp. Như các dữ liệu trực tiếp có sẵn đến một máy chủ tổng thể nói chung là hạn chế trong một mạng nội bộ, nó cần để có thể chuyển tiếp yêu cầu là tốt. Cuối cùng, slaver DNS server (còn gọi là máy chủ thứ cấp) cần truy cập vào các cơ sở dữ liệu độc quyền trên máy chủ DNS chính. - A master DNS server : Có thẩm quyền các bản ghi cho domain, yêu cầu cho địa chỉ IP của máy chủ khác có thể được lưu trữ hoặc chuyển tiếp. - A secondary master DNS server Dựa trên một máy chủ DNS cho các dữ liệu tổng thể. Đó là cũng được biết đến như một máy chủ DNS nô lệ. Yêu cầu địa chỉ IP của máy khác có thể được lưu trữ hoặc chuyển tiếp .. - A caching-only DNS server Nơi lưu trữ yêu cầu giống như một máy chủ proxy. Nếu Câu trả lời là không có trong bộ nhớ cache thì nó dùng để chỉ máy chủ DNS khác. - A forwarding-only DNS server :Đề cập đến tất cả các yêu cầu tới máy chủ DNS khác. II. The Reverse Zone File : cho phép một máy chủ DNS để chuyển đổi ngược lại, từ một địa chỉ IP đến một tên máy. Reverse tra cứu khu vực được sử dụng bởi nhiều máy chủ của các loại khác nhau (FTP, IRC,WWW, và những người khác) để quyết định xem họ thậm chí còn muốn nói chuyện với một máy tính yêu cầu thông tin. Đó là một cách phổ biến cho một máy chủ mail để kiểm tra xem một e-mail đã đến từ một tên miền hợp lệ. III. Master (Primary) Name Servers : Khi master DNS nhận được câu hỏi cho một khu vực mà nó là chính thức sau đó nó sẽ trả lời là 'Authoritative' (bit AA được đặt trong một phản ứng truy vấn). 42 XÂY DỰNG HỆ THỐNG MẠNG UBUNTU Giảng viên hướng dẫn: Lưu Thanh Trà Khoa Khoa Học Công Nghệ Ngành : Mạng Máy Tính Nếu một master DNS nhận được một truy vấn cho một khu vực mà nó không phải là một master cũng không phải là slaver sau đó nó sẽ hoạt động như cấu hình (trong BIND hành vi này được định nghĩa trong file named.conf): - Nếu hành vi của bộ nhớ đệm được phép và các truy vấn đệ quy được cho phép máy chủ hoàn toàn sẽ trả lời các yêu cầu hoặc trả lại một lỗi. - Nếu hành vi của bộ nhớ đệm được phép và lặp đi lặp lại (không đệ quy) các truy vấn được cho phép máy chủ có thể đáp ứng với câu trả lời hoàn chỉnh (nếu nó đã có trong bộ nhớ cache vì yêu cầu khác), giấy giới thiệu, hoặc trả lại một lỗi. - Nếu hành vi của bộ nhớ đệm là không được phép (một máy chủ DNS 'Authoritative Chỉ có') các máy chủ sẽ trả về một giới thiệu hoặc lỗi. Một master DNS có thể thông báo thay đổi khu vực để xác định (thường là slave) các máy chủ - đây là hành vi mặc định , thông báo thông điệp đảm bảo các thay đổi khu vực đang nhanh chóng lan truyền đến những slave (gián đoạn điều khiển) hơn là dựa trên máy chủ slave định kỳ bỏ phiếu cho những thay đổi. Một tổng thể khu vực có thể là 'ẩn' (chỉ có một hoặc nhiều slave biết về sự tồn tại của nó). Không có yêu cầu cấu hình như vậy cho các máy chủ tổng thể để xuất hiện trong một RR NS cho các tên miền. Yêu cầu duy nhất là hai (hoặc nhiều) tên máy chủ hỗ trợ các vùng. Cả hai máy chủ có thể là bất kỳ sự kết hợp của chủ nô, nô lệ hay nô lệ chủ thậm chí-master. IV. Slave (Secondary) Name Servers : A Slave DNS lấy vùng dữ liệu của mình bằng cách sử dụng một hoạt động chuyển vùng (thường là từ một tổng thể khu vực) và nó sẽ phản ứng như có thẩm quyền đối với những khu vực mà nó được định nghĩa là một 'slave' và một cấu hình khu vực hiện đang còn hiệu lực. Nó là không thể xác định từ kết quả truy vấn mà nó đến từ một tổng thể khu vực hoặc các slave. Có thể có bất kỳ số lượng DNS của slave cho bất kỳ khu vực nhất định. Tình trạng slave được định nghĩa trong BIND bằng cách bao gồm 'slave types”'trong phần khai báo vùng của file named.conf như thể hiện bởi các đoạn sau đây: // example.com fragment from named.conf // defines this server as a zone slave zone "example.com" in{ type slave; file "sec/sec.example.com"; masters {192.168.23.17;}; }; 43 XÂY DỰNG HỆ THỐNG MẠNG UBUNTU Giảng viên hướng dẫn: Lưu Thanh Trà Khoa Khoa Học Công Nghệ Ngành : Mạng Máy Tính Các master DNS cho từng vùng được xác định trong một tuyên bố của master của khu điều khoản và cho phép slaver để làm mới bản ghi khu , khi hết thời hạn tham số của Bản ghi SOA đạt được. Nếu một slave không thể đạt được master DNS khi "hết hạn" thời gian đã đạt tới nó sẽ ngưng đáp ứng các yêu cầu cho khu vực. Nó sẽ không sử dụng dữ liệu thời gian hết hạn. Các tham số tập tin là tùy chọn và cho phép slave để ghi các vùng chuyển sang đĩa và do đó nếu BIND được khởi động lại trước khi thời gian hết hạn sử dụng ,các máy chủ sẽ sử dụng dữ liệu lưu. Trong các hệ thống lớn DNS này có thể t

Các file đính kèm theo tài liệu này:

  • pdfXây dựng hệ thống mạng ubuntu.pdf