File: Firewall-HOWTO.pl.html

package info (click to toggle)
doc-linux-pl 2002.06.14-2
links: PTS
area: main
in suites: etch, etch-m68k, jessie, jessie-kfreebsd, lenny, squeeze, wheezy
size: 6,900 kB
ctags: 968
sloc: makefile: 66
file content (1545 lines) | stat: -rw-r--r-- 56,842 bytes
parent folder | download | duplicates (3)
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
 <META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.9">
<META HTTP-EQUIV="content-type" content="text/html; charset=iso-8859-2">
<TITLE>Firewalle i proxy serwery</TITLE>


</HEAD>
<BODY>
<H1>Firewalle i proxy serwery<BR></H1>

<H2>Mark Grennan,
<A HREF="mailto:markg@netplus.net">markg@netplus.net</A><BR>
v0.4, 8 listopad 1996<BR>
<B>Wersja polska: Ziemek Borowski
<A HREF="mailto:ziembor@ziembor.waw.pl">ziembor@ziembor.waw.pl</A></B>
v0.1 8 lipiec 1997 </H2>
<P><HR>
<EM>Dokument ten powsta w celu uczenia podstaw systemw firewalli
oraz  dostarczenia  niektrych szczegw w zakresie ustawania
(konfigurowania) filtrujcych i posredniczacych firwalli na Linuxie. Oryginalna wersja tego dokumentu znajduje si pod
adresem:
<A HREF="http://okcforum.org/~markg/Firewall-HOWTO.html">http://okcforum.org/~markg/Firewall-HOWTO.html</A>
za polskie tumaczenie:
<A HREF="http://www.ziembor.waw.pl/~ziembor/JTZ/Firewall-HOWTO.pl.html">http://www.ziembor.waw.pl/~ziembor/JTZ/Firewall-HOWTO.pl.html</A>
<B>Niniejsza wersja opisuje stan z 1997 roku. Jeli nadal uywasz jder
z serii 2.0 (nie 2.2 lub 2.4) to jest to dokument dla Ciebie. Nastpna
wersja tego dokumentu opisuje ew. poza ipfwadm take ipchains
(dostpne z
jdrami 2.2) -- zawiera tyle bdw, e naleaoby je napisa od nowa.
Jeli szukasz informacji na temat budowania firewalli pod linuksem
odsyam raczej do tumacze dokumentacji IPtables wykonanych przez
ukasza Bromirskiego http://mr0vka.eu.org/.</B></EM>
<HR>
<H2><A NAME="s1">1. Wprowadzenie</A></H2>

<P>Dokument ten Firewall-HOWTO zosta napisany przez Davida Ruddera
<A HREF="mailto:drig@execpc.com">mailto:drig@execpc.com</A>.
Chciabym Mu podzikowa za zezwolenie na uaktualnienie jego pracy.
<P>Firewalle zyskay ostatnio wielk saw jako defintywne 
rozwizanie w dziedzinie bezpieczestwa Internetu. Wikszo tej
sawy jest zasuona, jednak cz wynika z nieporozumienia. To JTZ
ma na celu przegld: czym s firewalle, jak je konfigurowa, czym
s serwery proxy i jak je konfigurowa oraz aplikacje
(zastosowania) tej technologii poza zakresem bezpieczestwa.
<P>
<H2>1.1 Informacja zwrotna, uwagi.</H2>

<P>Wszelkie uwagi bd mile widziane.
<B> Prosz: DONOCIE O WSZELKICH
NIECISOCIACH W TYM DOKUMENCIE </B>.
Jestem czowiekiem, i jestem
omylny. Jeli znajdziesz jakie popraw je (w moim najwyszym
interesie). Bd prbowa odpowiedzie na wszystkie listy, ale
jestem zajtym czowiekiem, tak wic nie obraaj si prosz jeli
nie odpowiem.
<P><EM>Mj adres:    <B>
<A HREF="markg@netplus.net">markg@netplus.net</A> </B></EM>
<P>
<H2>1.2 Deklaracje</H2>

<P><B> NIE ODPOWIADAM ZA JAKIEKOLWIEK ZNISZCZENIA WYNIKAJCE ZE
STOSOWANIA TEGO DOKUMENTU </B> Dokument ten jest pomylany jako
wprowadzenie do technologii firewalli i serwerw proxy.
Nie jestem, i nie zamierzam sobie roci pretensji do bycia ekspertem
w sprawach bezpieczestwa. Jestem po prostu czowiekiem ktry
przeczyta co nieco, i pasjonuje si komputerami bardziej ni inni.
Prosz, piszc ten tekst chc pomc ludziom zaznajomi si z tym
tematem, i nie jestem gotw dawa gowy za dokadno podawanych
przeze mnie danych.
<P>
<H2>1.3 Copyright</H2>

<P>Jeli nie jest powiedziane inaczej, prawa autorskie
dokumenty z serii <EM> Linux
Jak To Zrobi </EM>
nale do kadego z autorw. Mog by powielane i rozpowszechniane w
w caoci w czciach, w formie ,,papierowej'' i elektronicznej
dopki wszdzie (w kadej z czci) zachowana jest informacja o
prawach
i autorstwie. Komercyjna redystrybucja jest dozwolona i wskazana; 
jednake, autor powinien by poinformowany o tym fakcie.
<P>Wszystkie tumaczenia, poprawki jzykowe, i prace wczajce
musz zawiera niniejsz not o prawach autorskich.
<P>Jeli masz jakie zapytania, prosz o kontakt:
Mark Grennan 
<A HREF="mailto:markg@netplus.net">mailto:markg@netplus.net</A>.
<P>
<H2>1.4 Moje pobudki do tej pracy.</H2>

<P>Pomimo wielu dyskusji w grupach comp.os.linux.* (w cigu ostatniego
roku) na temat firewalli wydaje mi si trudnym znalezienie
informacji ktrych potrzebowaem do ustawienia i skonfigurowania
firewalla. Oryginalna wersja tego HOWto bya pomocna, ale
nieaktualna. Mam nadziej, e ta poprawiona wersja
,,Firewall HOWto'' autorstwa Davida Ruddera dostarczy wszystkim
informacji jakiej potrzebuj do stworzenia dziaajcych ,,cian
ognia'' w cigu godzin, nie tygodni.
<P>Poza tym uwaam e powinienem zwrci mj dug spoecznoci
Linuxowej.
<P>
<H2>1.5 TODO (do zrobienia)</H2>

<P>
<UL>
<LI> Instrukcje na temat ustawie klientw</LI>
<LI>  Znalezienie dobrych serwerw proxych dla usug
bazujcych na UDP dziaajcych na Linuxie.</LI>
</UL>
<P>
<H2>1.6 Zobacz take:</H2>

<P>
<UL>
<LI>
<A HREF="http://www.jtz.org.pl/Html/NET-3-HOWTO.pl.html">NET-3 HOWTO</A></LI>
<LI>
<A HREF="http://www.linux.com.pl/LDP/HOWTO/">The Multiple Ethernet Mini HOWTO</A></LI>
<LI>
<A HREF="">Networking with Linux</A></LI>
<LI>
<A HREF="http://www.jtz.org.pl/Html/PPP-HOWTO.pl.html">The PPP HOWTO</A></LI>
<LI>
<A HREF="http://www.ora.com/">TCP/IP Network Administrator's Guide</A> by O'Reilly and
Associates</LI>
<LI>The Documentation for the TIS Firewall Toolkit</LI>
</UL>
<P>Wze pajczyny nalecy do 
<A HREF="http://www.tis.com/">Trusted  Information System's (TIS) </A> posiada wspaniaa
kolekcj dokumentacji dotyczcej firewalli i pokrewnych tematw.
<P>Poza  tym pracuj na projektem dotyczcym bezpieczestwa:
,,Bezpieczny  Linux''.  W  miejscu  tym  
<A HREF="">zgromadziem</A> wszystkie informacje, dokumentacje i programy
potrzebne do stworzenia bezpiecznego Linuxa. Napisz do mnie jeli
chcesz otrzyma wicej informacji.
<P>
<H2><A NAME="s2">2. Understanding Firewalls</A></H2>

<P> Firewall - ,,ciana ogniowa'' jest terminem wzitym z konstrukcji
samochodu.  W  samochodach  firewalle  fizycznynie 
oddzielaj silnik od pasaerw. To znaczy, e chroni one
pasaerw w wypadku gdy silnik zapali si cay czas dostarczajc
kontroli nad nim.
<P>Komputerowe firewalle s urzdzeniami, ktre chroni sieci
prywatne od czci publicznej (jakiej jak Internet).
<P>  Komputer bdcy ,,cian ognia'' od tej chwili nazywany
,,firewallem'' moe (musi) by obecny tak w sieci chronionej jak i w
Internecie. Chroniona sie nie moe by osigalna z Internetu,
podobnie jak Internet nie moe by osigalny z chronionej sieci.
<P>Dla niektrych dosignicie Internetu z izolowanej sieci jest
moliwe
jedynie poprzez zalogowanie si na firewallu (telnetem) i penetracja
Sieci stamtd.
<P>Najprostsz   form  firewalla  jest  podwjnie
zadomowiony system (tj. system z podwjnym poczeniem sieciowym).
Jeli moesz ZAUFA WSZYSTKIM swoim uytkownikom,
moesz prosto skonfigurowa
Linuxa (wyczajc przy kompilacji jdra forwarding / gatewaying)
Mog oni logowa si na tym systemie i uywa aplikacji sieciowych
takich jak telnet, FTP, czyta poczt i innych jakich dostarczasz.
<P>Z takim ustawieniem, tylko jeden komputer z twojej sieci widzi
reszt wiata poza firewallem. Pozostae systemy w twojej chronionej
sieci nie potrzebuj nawet ustawienia domylnego routingu.
<P>
<P>Aby powyszy firewall dziaa <B>MUSISZ UFA WSZYSTKIM SWOIM UYTKOWNIKOM </B> Nie jest to zalecane
rozwizanie.
<P>
<H2>2.1 Wady firewalli</H2>

<P>Problemem filtrujcych firewalli jest to, e ograniczaj dostp do
twojej sieci z Internetu. Tylko usugi na filtrowanie ktrych
zezwolie s dostpne. Na serwerach proxych uytkownicy mog
autoryzowa si na firewallu i dopiero wtedy maj (z systemu
wewntrz sieci prywatnej) dostp do Internetu.
<P>Poza tym, nowe typy klientw sieciowych i serwerw przybywaj prawie
codziennie.  Musisz  wtedy wynale nowy sposb zezwolenia na
kontrolowany ich dostp do twojej sieci, zanim bd uyte.
<P>
<H2>2.2 Typy firewalli</H2>

<P>Istniej dwa typy firewalli:
<P>
<OL>
<LI>  firewalle filtrujce IP - blokuj cay ruch, ale
przepuszczaj dopuszczony.</LI>
<LI> serwery proxy   - serwery poczeniowe - wykonuj poczenie
sieciowe za ciebie.</LI>
</OL>
<P>
<H3>Filtujce firwalle</H3>

<P>Firewalle  filtrujce  dziaaj  na  poziomie  pakietw IP. S
zaprojektowane do kontroli przepywu bazujc na adresie rdowym,
docelowym, porcie i typie pakietu (zawartych w kadym z pakietw).
<P>Ten typ firewalli jest bardzo bezpieczny, ale traci wiele typw
zapisu. Moe zablokowa ludziom z dostp z sieci prywatnej, ale nie
powie, kto dosta si do twojego systemu publicznego, ani kto
wyszed
z sieci lokalnej do Internetu.
<P>Filtrujce firewalle s bezwzgldnymi filtrami. Nawet jeli chcesz da
komu z zewntrz dostp do twoich serwerw ,,prywatnych'' nie jeste
w stanie bez dania tego dostpu wszystkim (tum. jak rozumiem spod
tego adresu)
<P>Linux posiada opcj filtrowania pakietw w jdrach powyej 1.3.x.
<P>
<H3>Serwery proxy</H3>

<P>Serwery proxy pozwalaj na niebezporedni dostp do Internetu, przez
firewall.  Najlepszym  przykadem  jak  to pracuje jest osoba
telnetujca si do systemu i stamtd wykonujca nastpne poczenie.
Tylko  e  w  wypadku  serwerw  proxy  proces ten nastpuje
automatycznie.  Gdy  czysz  si  z  proxy serwerem za pomoc
oprogramowania klienckiego startuje on swojego klienta i dostarcza
ci danych ktrych zarzdzae.
<P>Poniewa serwery proxy podwajaj kade poczenie, moliwe jest
zapisywanie kadego z nich.
<P>Wspania rzecz w serwerach proxy jest to, e s w peni
bezpieczne,
gdy s prawidowo ustawione. Nie pozwalaj nikomu przej. Nie
dokonuj bezporedniego routingu.
<P>
<H2><A NAME="s3">3. Ustawianie firewalla</A></H2>

<H2>3.1 Wymagania sprztowe.</H2>

<P>Naszym przykadem nich bdzie komputer i486-DX66 z 16 Mb RAMu oraz
500Mb partycj Linuxow. System ten posiada dwie karty sieciowe,
jedn poczon z nasz sieci prywatn, a drug do sieci lokalnej
nazywanej  stref  zdemilitaryzowan (DMZ). DMZ posiada router
poczony do Internetu.
<P>Jest to cakiem przyjemny standard dla biznesu. Powiniene uy
jednej karty sieciowej oraz modemu z PPP do intenetu.
<P>Firewall powinien posiada dwa adresy IP.
<P>Znam wielu ludzi posiadajcych mae LANy w domu z dwoma lub trzema
komputerami. Moesz rozpatrzy nastpujcy model: woy wszystkie
modemy do komputera z Linuxem (np. star i386) i poczy wszystkie
do Internetu czem komutowanym. Z takim ustawieniem, gdy tylko jedna
osoba cignie dane moe uy wszystkich modemw (a wic i dziaa
2-3 krotnie szybciej ; -).
<P>
<P>
<H2><A NAME="s4">4. Oprogramowanie dla firewalli</A></H2>

<H2>4.1 Dostpne pakiety</H2>

<P>Jeli  wszystkim  czego  potrzebujesz  jest filtrujcy firewall
potrzebujesz jedynie Linuxa i podstawowych pakietw sieciowych.
Jednym z pakietw ktry moe nie zawiera si w twojej dystrybucji
jest IP Firewall Administration tool (przyp. tum. w RedHacie 4.0 i
Debianie 1.2.* jest)
(IPFWADM) z <B>
<A HREF="http://www.xos.nl/linux/ipfwadm/">http://www.xos.nl/linux/ipfwadm/</A></B>
<P>
<P>Jeli chcesz postawi serwer proxy potrzebujesz jednego z niej
wymienionych pakietw:
<OL>
<LI>SOCKS</LI>
<LI>TIS Firewall Toolkit (FWTK)</LI>
</OL>
<P>
<H2>4.2 TIS Firewall Toolkit kontra SOCKS</H2>

<P>Trusted Information System (<B>
<A HREF="http://www.tis.com">http://www.tis.com</A></B>)
jest fragmentem kolekcji programw zaprojektowanych dla firewalli.
Program ten udostpnia podobne rzeczy jak SOCK, ale jest zbudowany
na  innych  zasadach.  Tam gdzie Socks posiada jeden program
przeprowadzajcy wszystkie transakcje s internetem, TIS dostarcza
jednego programu dla kadego z narzdzi ktrych chcesz uy w 
firrewallu.
<P>Dla pokazania kontrastu uyjmy przykadw WWW i dostpu za pomoc
telnetu. Uywajc SOCKS, ustawiasz jeden plik konfiguracyjny i
jednego demona. Uywajc tego pliku tak telnet jak i WWW s
dostpne, podobnie jak inne usugi ktrych nie zakazae.
<P>
<P> W pakiecie TIS ustawiasz jednego demona dla (osobno) WWW i
Telnetu
z osobnymi plikami konfiguracyjnymi. Po zrobieniu tego inne usugi
internetowe s zakazane dopki ich explicite nie ustawisz. Jeli
demon dla specyficznych usug jest niedostpny (tak jak talk),
istniej ,,plug-in-y'' dla demona, ale nie tak elastyczne i atwe w
konfiguracji jak inne narzdzia.
<P>
<P> Rnica wyglda na niewielk, jest jednak istotna.
SOCKS pozwala
Ci by spokojnym.
Przy kiepsko ustawionym SOCKS serwerze kto z
wewntrz  moe  uzyska wikszy dostp do Internetu ni byo
pocztkowo planowane. Z pakietem TIS ludzie wewntrz sieci maj
jedynie taki dostp na jaki zezwoli administrator.
<P>SOCKS s atwiejszy do konfiguracji, atwiejszy do kompilacji i
pozwala na wiksz elastyczno. TIS jest bardziej bezpieczny, jesli
chcesz  ustawia  uytkownikw  wewntrz chronionej sieci. Oba
dostarczaj cakowitego bezpieczestwa z zewntrz.
<P>
<P> Opisz proces instalacji obydwu.
<H2><A NAME="s5">5. Przygotowanie Linuxa</A></H2>

<H2>5.1 Kompilacja jdra.</H2>

<P>Zacznij od wieej instalacji twojej dystrybucji Linuxowej (ja
uyem RedHata 3.0.3 (Picasso) i ponisze przykady bazuj na tej
dystrybucji). Im mniej oprogramowania zainstalujesz tym mniej bdzie
w nim dziur, tylnych wej i / lub bdw wprowadzajcych do twojego
systemu problem bezpieczestwa, wic zainstaluj jedynie minimalny
zestaw aplikacji.
<P>Uyj stabilnego jdra. Ja uyem 2.0.14.
Oto jest dokumentacja podstawowych ustawie:
<P>Bdziesz potrzebowa rekompilowa jdro sytemu z odpowiednimi
opcjami. (patrz Kernel-HOWto, Ethernet-HOWto oraz NET-2 HOWto jeli
nie zrobie tego wczeniej).
Oto s sieciowe ustawienia ktre poznaem wykonujc komend <CODE> make
config</CODE>
<P>
<OL>
<LI>Under General setup
<OL>
<LI>Turn Networking Support ON</LI>
</OL>
</LI>
<LI>Under Networking Options
<OL>
<LI>Turn Network firewalls ON</LI>
<LI>Turn TCP/IP Networking ON</LI>
<LI>Turn IP forwarding/gatewaying OFF (UNLESS you wish to use IP
filtering)</LI>
<LI>Turn IP Firewalling ON</LI>
<LI>Turn IP firewall packet loggin ON (this is not required but
it is a good idea)</LI>
<LI>Turn IP: masquerading OFF (I am not covering this subject
here.)</LI>
<LI>Turn IP: accounting ON</LI>
<LI>Turn IP: tunneling OFF</LI>
<LI>Turn IP: aliasing OFF</LI>
<LI>Turn IP: PC/TCP compatibility mode OFF</LI>
<LI>Turn IP: Reverse ARP OFF</LI>
<LI>Turn Drop source routed frames ON</LI>
</OL>
</LI>
<LI>Under Network device support
<OL>
<LI>Turn Network device support ON</LI>
<LI>Turn Dummy net driver support ON</LI>
<LI>Turn Ethernet (10 or 100Mbit) ON</LI>
<LI>Select your network card</LI>
</OL>
</LI>
</OL>
<P>Teraz  moesz  dokona  rekompilacji i reinstalacji jdra oraz
zrestartowa system. Twoja karta/y sieciowa/e powinny pojawi si w
trakcie procedury startowej. Jesli tak si nie dzieje sprawd w
innych JTZ, i prbuj dopki nie bd dziaa.
<P>
<H2>5.2 Ustawienie dwch kart sieciowych</H2>

<P>Jeli masz dwie kary sieciowe w swoim komputerze w wikszoci
przypadkw potrzebujesz doda twierdzenie w pliku
<CODE>/etc/lilo.conf</CODE> opisujce ich IRQ i adresy. W moim wypadku
wyglda to tak:
<PRE>
  append= &quot; ether=12,0x300,eth0 ether=15,0x340,eth1 &quot; 
</PRE>
<P>
<H2>5.3 Ustawienie adresw sieciowych</H2>

<P>Jest to naprawd interesujca cz. Teraz jest czas na podjcie
kilku decyzji. Dopki nie chcemy da dostpu komputerom z Internetu
do  adnej z czci naszej sieci lokalnej nie musimy uywa
prawdziwych adresw. Istniej numery wydzielone z internetowych do
ustawienia odrbnych sieci prywatnych
(przyp. tumacza: klasa A 10.0.0.0-10.255.255.255, klasy B, i
klasy C: 192.168.0.0.0-192.166.255.255)
Poniewa kady potrzebuje wicej adresw i poniewa adres nie mog
si powtarza w Internecie jest to dobry wybr.
<P>Wybralimy jedn z tych klas: 192.168.2.xxx, i uyjemy jej w naszym
przykadzie.
<P>
<P>Twj serwer proxy bdzie czonkiem obu sieci i bdzie przekazywa
dane do i z sieci prywatnej.
<P>
<PRE>
      199.1.2.10  __________  192.168.2.1  192.168.2.2
   _ __ _    \ |     | /      ____/__________
   | \/ \/ |    \| Firewall |/      | Stacja    |
  / Internet \--------|     |------------| Robocza    |
  \_/\_/\_/\_/    |__________|      |_______________|
</PRE>
<P>Jeli  uywasz filtrujcego firewalla moesz uywa tych numerw
stosujc 
<A HREF="">IP masquearading</A>
Firewall bdzie przesya pakiety i tumaczy numery IP na
,,PRAWDZIWE'' adresy w Internecie.
<P>Musisz przydzieli prawdziwy adres IP karcie sieciowej widocznej z
Internetu (na zewntrz). I przydzieli adres 192.168.2.1 karcie
Ethernetowej wewntrz. To bdzie adres IP twojego gatewaya/proxy.
Moesz przydzieli pozostaym maszynom ze swojej sieci numery z
zakresu
192.168.2.2-192.168.2.254.
<P>
<P> Odkd uywam RedHat Linux
<P>do ustawienia sieci przy starcie dodaj plik <CODE> ifcfg-eth1</CODE>
w katalogu <CODE>/etc/sysconfig/network-scripts/</CODE>. Jest on czytany
w trakcie startu systemu i ustawiania sieci i tablic routingu.
<P>Mj <CODE>ifcfg-eth1</CODE> wyglda nastpujco:
<P>
<PRE>
  #!/bin/sh
  #>>>Device type: ethernet
  #>>>Variable declarations:
  DEVICE=eth1
  IPADDR=192.168.2.1
  NETMASK=255.255.255.0
  NETWORK=192.168.2.0
  BROADCAST=192.168.2.255
  GATEWAY=199.1.2.10
  ONBOOT=yes
  #>>>End variable declarations
</PRE>

Moesz  take  uy tego skryptu do automatycznego poczenia
modemowego do twojego IPS. Spjrz na skrypt <CODE>ipup-pop</CODE>
<P>Jeli uywasz modemu do czenia si z sieci twj zewntrzny adres
bdzie
przydzielony w trakcie poczenia.
<P>
<H2>5.4 Testowanie twojej sieci</H2>

<P>Zacznij od sprawdzenia <CODE> ifconfig </CODE> i trasowania (routingu)
jeli masz dwie karty wynik polecenia <CODE>ifconfig</CODE> powinien
wyglda
nastpujco:
<P>
<PRE>
 #ifconfig
 lo    Link encap:Local Loopback
      inet addr:127.0.0.0 Bcast:127.255.255.255 Mask:255.0.0.0
      UP BROADCAST LOOPBACK RUNNING MTU:3584 Metric:1
      RX packets:1620 errors:0 dropped:0 overruns:0
      TX packets:1620 errors:0 dropped:0 overruns:0

 eth0   Link encap:10Mbps Ethernet HWaddr 00:00:09:85:AC:55
      inet addr:199.1.2.10 Bcast:199.1.2.255 Mask:255.255.255.0
      UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
      RX packets:0 errors:0 dropped:0 overruns:0
      TX packets:0 errors:0 dropped:0 overruns:0
      Interrupt:12 Base address:0x310

 eth1   Link encap:10Mbps Ethernet HWaddr 00:00:09:80:1E:D7
      inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0
      UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
      RX packets:0 errors:0 dropped:0 overruns:0
      TX packets:0 errors:0 dropped:0 overruns:0
      Interrupt:15 Base address:0x350
</PRE>
<P>a twoja tablica trasowania mniej wicej tak:
<P>
<PRE>
 #route -n
 Kernel routing table
 Destination   Gateway     Genmask     Flags MSS  Window Use Iface
 199.1.2.0    *        255.255.255.0  U   1500  0    15 eth0
 192.168.2.0   *        255.255.255.0  U   1500  0    0 eth1
 127.0.0.0    *        255.0.0.0    U   3584  0    2 lo
 default     199.1.2.10   *        UG  1500  0    72 eth0
</PRE>
<P><B>Uwaga:</B> 199.1.2.0 jest numerem interface po internetowej
stronie
firewalla za 192.168.2.0 jest wewntrz.
<P>Teraz sprbuj pingn si do Internetu z firewalla. Ja zwykem uywa
nic.dnn.mil jako punktu testowego (w Polsce doradzabym
<CODE>bilbo.nask.org.pl</CODE> 148.81.16.51). Jest to wci dobry test,
ale nie dostarcza tylu informacji ile by si chciao. 
<P>Jeli nie rusza za pierwszym razem sprbuj zapuka do innych
komputerw
poza swoj sieci lokaln. Jeli nie dziaa to znaczy e twoje
poczenie PPP
jest le ustawione. Przeczytaj jeszcze raz Net-2 HOWto i sprbuj
jeszcze raz.
<P>Nastpnie pingnij si z firewalla do komputera wewntrz chronionej
sieci.
Kady komputer powinien mc sondowa inny. Jeli nie spjrz jeszcze
raz
do Net-2 HOWto i popraw ustawienia w swojej sieci.
<P>Teraz sprbuj pingn zewntrzny adres z wewntrznej czci
chronionej sieci.
<P>(Notka: to nie jest aden z numerw IP zaczynajcych si od:
192.168.2.xxx.)
Jeli jest to moliwe, to znaczy e nie wyczye przesyania IP w
konfiguracji jdra.
Upewnij si, e tego chcesz. Jeli zostawisz t opcj wczon,
musisz zapozna si z czci tego dokumentu opisujc filtrowanie
pakietw
IP.
<P>Teraz sprbuj sondowa internet zza swojego firewalla.
Uyj tego samego adresu co poprzednio (np. bilbo.nask.org.pl).
Znowu, jeli wyczye IP Forwarding nie powinno dziaa. Albo
powinno,
jeli wczye.
<P>Jeli masz ustawiony IP Forwarding i uywasz ,,PRAWDZIWYCH''
(nie 192.168.2.*) adresw IP i nie moesz wyj na zewntrz, ale
moesz si dosta do internetowej strony swego firewalla
sprawd czy nastpny router przepuszcza pakiety z twojej sieci
lokalnej
(twj dostawca usug internetowych powinien co o tym wiedzie).
<P>
<P>Jeli przydzielie swojej sieci adresy 192.168.2.*
pakiety i tak nie bd filtrowane. Jeli przechodz mimo wszystko
i masz
<CODE>IP masquerading</CODE> wczone ten test te zosta zdany.
<P>Masz teraz podstawow konfiguracj systemu.
<P>
<H2>5.5 Zabezpieczanie firewalla.</H2>

<P>Firewall nie spenia swojego zadania jeli zostawia otwarte okno
dla atakw
przez nieuywane usugi. ,,li chopcy'' mog zdoby twierdz i
zmodyfikowa j dla swoich potrzeb.
<P>Zacznij wycza niepotrzebne usugi. Spjrz na
<CODE>/etc/inetd.conf</CODE>.
Plik ten kontroluje co co jest nazywane ,,super serwerem''.
Kontroluje uruchamianie usug na danie.
<P>Kompletnie wycz:
netstat, systat, tftp, bootp  oraz finger. Aby wyczy usug
wystarczy postawi znak  #  (tzw. hash) jako pierwszy znak w
linii.
kiedy to zrobisz wylij sygna HUP do procesu inetd
piszc: <B> &quot; kill -HUP  &lt; pid &gt;  &quot; </B>,
gdzie  &lt; pid &gt;  jest numerem procesu inetd.
Spowoduje to powtrne przeczytanie przez inetd pliku konfiguracyjnego
<P>(inetd.conf) i restart.
<P>Sprawd teraz czy jeste w stanie dosta si do portu obsugujcego
netstat
<CODE> telnet localhost 15</CODE>
Jeli otrzymasz wynik z netstata nie zrestartowae inetd
prawidowo.
<P>
<H2><A NAME="s6">6. Konfigurowanie filtrowania IP (IPFWADM)</A></H2>

<P>By zacz musisz wczy przesyanie pakietw IP w swoim jdrze
i twj system powinien odsya wszystko co mu si przele. Twoja
tablica trasowania powinna by ustawiona i powiniene mi dostp
tak wewntrz jak do zewntrznej Sieci.
<P>Ale budujemy firwalla tak wic trzeba ograniczy wszystkim dostp
do niego.
<P>W moim systemie stworzyem par skryptw ustawiajcych zasady
odsyania pakietw i polityki dostpu. Wywouj je z w skryptach
z <CODE> /etc/rc.d </CODE>
w czasie konfiguracji.
<P>Domylnie <CODE>IP Forwarding</CODE> w jdrze systemu odsya wszystko.
Dlatego twoje skrypty startowe firewalla powinny rozpoczyna swoja
prac od
zakazania dostpu dla wszystkich i zerwania wszelkich pocze
dozwolonych w
poprzednim uruchomieniu ipfw.
Skrypt ten wykorzystuje pewien trick.
<P>
<PRE>
 #
# Ustawianie rozliczania i odsyania pakietw IP
 #
 #  Forwarding
 #
 # Domylnie  wszystkie usugi s zakazane.
 ipfwadm -F -p deny
 # Zerwij wszystkie poczenia
 ipfwadm -F -f
 ipfwadm -I -f
 ipfwadm -O -f
</PRE>

Teraz mamy doskonay firewall. Nic nie przechodzi. Bez
wtpliwoci
pewna cze usug powinna by przesyana (i tego dotyczy nastpny
przykad).
<P>
<PRE>
 # przesyanie poczty do twojego MTA
 ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D 192.1.2.10
 25

 # przesyanie pocze pocztowych do innych MTA
 ipfwadm -F -a accept -b -P tcp -S 196.1.2.10 25 -D 0.0.0.0/0
 1024:65535

 # przesyanie WWW do twojego serwera
 /sbin/ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D
 196.1.2.11 80

 # przesyanie WWW do serwerw zewntrznych
 /sbin/ipfwadm -F -a accept -b -P tcp -S 196.1.2.* 80 -D 0.0.0.0/0
 1024:65535

 # przesyanie ruchu DNS
 /sbin/ipfwadm -F -a accept -b -P udp -S 0.0.0.0/0 53 -D
 196.1.2.0/24
</PRE>
<P>Moesz byc zaintersowany w rozliczaniu ruchu przechodzcego przez
twj
firewall. Poniszy skrypt liczy kady z pakietw. Powiniene doda
lini
albo liczy ruch tylko dla jednego systemu.
<P>
<PRE>
 # Zerwanie wszystkich pocze
 ipfwadm -A -f
 # Rozliczanie
 /sbin/ipfwadm -A -f
 /sbin/ipfwadm -A out -i -S 196.1.2.0/24 -D 0.0.0.0/0
 /sbin/ipfwadm -A out -i -S 0.0.0.0/0 -D 196.1.2.0/24
 /sbin/ipfwadm -A in -i -S 196.1.2.0/24 -D 0.0.0.0/0
 /sbin/ipfwadm -A in -i -S 0.0.0.0/0 -D 196.1.2.0/24
</PRE>

Jeli potrzebowae firewalla filtrujcego moesz skoczy lektur.
Miego konfigurowania. ; -)
<P>
<H2><A NAME="s7">7. Instalowania serwera proxy - TIS</A></H2>

<P>
<P>
<H2>7.1 Pobranie oprogramowania</H2>

<P>
<P>TIS FWTK jest dostpny pod adresem: <B>
<A HREF="ftp://ftp.tis.com/">ftp://ftp.tis.com/</A></B>.
<P>Nie popenij tego bdu co ja. Kiedy dostaniesz si na serwer TIS
<B> PRZECZYTAJ ,,README''</B>
Pakiet TIS fwtk jest w ukrytym katalogu na ich serwerze.
<P>TIS wymaga by <B>wysa email do fwtk-request@tis.com</B>
zawierajcego tylko sowo <B>SEND</B> w ,,ciele''
wiadomoci aby pozna nazw tego ukrytego katalogu (nie jest
potrzebny temat
dla tego listu).
Ich system wyle Ci wiadomo z nazw katalogu w cigu 12 godzin.
<P>Pisz o wersji 2.0 (beta) TIS FWTK. Wersja ta kompiluje si dobrze
(z pewnymi
wyjtkami) i wyglda e wszystko pracuje (u mnie). Gdy zostanie
opublikowana wersja pena uaktualni to HowTo.
<P>Aby zainstalowa FWTK stwrz katalog <CODE> fwtk-2.0</CODE>
w <CODE>/usr/src</CODE>. Przenie tak kopi (fwtk-2.0.tar.gz)
odpakuj j (tar zxf fwtk-2.0.tar.gz).
<P>FWTK nie poredniczy w przekazywaniu SSL (bezpieczne dokumenty w
WWW)
ale posiada dodatek napisany przez Jean-Christophe Touvet. Jest on
dostpny pod
adresem <B>
<A HREF="ftp://ftp.edelweb.fr/pub/contrib/fwtk/ssl-gw.tar.Z">ftp://ftp.edelweb.fr/pub/contrib/fwtk/ssl-gw.tar.Z</A></B>. Touvet nie wiadczy wsparcia technicznego dla tego kodu.
<P>Uywam zmodyfikowanej wersji: wczyem modu dostpu do
bezpiecznych
serwerw news Netscape napisany przez Eric Wedel
<A HREF="ftp://mdi.meridian-data.com/pub/tis.fwtk/ssl-gw/ssl-gw2.tar.Z">ftp://mdi.meridian-data.com/pub/tis.fwtk/ssl-gw/ssl-gw2.tar.Z</A>.
<P>
<P>W naszych przykadach bd uywa wersji Wedel'a.
<P>Aby go zainstalowa po prostu strw katalog <CODE> ssl-gw</CODE> w
katalogu
<CODE>/usr/src/fwtk-2.0</CODE> i wsad tam odpowiednie pliki.
Kiedy instalowaem t bram potrzebne byy drobne zmiany zanim mogem
skompilowa
reszt zestawu.
<P>Pierwsza zmiana nastpia w pliku <CODE> ssl-gw.c </CODE>.
Nie potrafi wczy jednego z plikw include.
<P>
<PRE>
 #if defined(__linux)
 #include    &lt;sys/ioctl.h>
 #endif
</PRE>

Druga zmiana polegaa na stworzeniu pliku <CODE>Makefile</CODE>.
Skopiowaem jeden z innej ,,bramy'' i zastpiem nazw tego moduu
nazw <CODE>ssl-gw</CODE>.
<P>
<H2>7.2 Kompilacja  TIS FWTK</H2>

<P>Wersja 2.0 FWTK kompiluje si atwiej ni poprzednie. Wci jednak
jest kilka
rzeczy ktre powinny by zmienione zanim wersja beta bdzie si
kompilowa bez
przeszkd. Pozostaje mie nadziej, e do tak si stanie w penej
wersji.
<P>Aby to poprawi zacznij zmiany od katalogu
<CODE>/usr/src/fwtk/fwtk</CODE>
i skopiuj plik <CODE> Makefile.config.linux </CODE> na
<CODE> Makefile.config</CODE>.
<P><B>Nie uruchamiaj  FIXMAKE</B>.
Instrukcja mwi by to zrobi. Jeli chcesz zniszczy Makefile
we wszystkich podkatalogach...
<P>Wykonaem poprawk do <CODE>fixmake</CODE> Problem polega na tym,
e <CODE>fixmake</CODE> dodawa '.' i '' do wczanych do
<CODE>Makefile</CODE>
linii.
<P>
<PRE>
 sed 's/^include[    ]*\([^ ].*\)/include \1/' $name .proto > $name
</PRE>
<P>Nastpnie bdziemy musieli wyedytowa <CODE>Makeconfig.file</CODE>.
Potrzebne bd dwie zmiany.
<P>Autor programu ustawi rda programu w swoim <CODE>$HOME/</CODE>.
My kompilujemy w <CODE>/usr/src</CODE> i powinnimy zmieni zmienn
FWTKSRCDIR.
<P>
<PRE>
 FWTKSRCDIR=/usr/src/fwtk/fwtk
</PRE>
<P>Po drugie, przynajmniej niektre Linuxy uywaj bazy danych w
formacie
<CODE>gdbm</CODE>. W <CODE> Makefile.config</CODE> jest uywana <CODE>dbm</CODE>
Zapewne bdziesz musia to zmieni.
Ja w RedHacie 3.0.3 musiaem.
<P>
<PRE>
 DBMLIB=-lgdbm
</PRE>

Ostania poprawka jest w katalogu x-gw. Bd w wersji beta jest w
pliku
<CODE>socket.c</CODE>. Poprawka polega na usuniciu tych linii.
<P>
<PRE>
 #ifdef SCM_RIGHTS /* 4.3BSD Reno and later */
            + sizeof(un_name->sun_len) + 1
 #endif
</PRE>

Jeli dodae <CODE>ssl-gw</CODE> do swojego katalogu rde trzeba
jeszcze doda
do listy katalogw w  Makefile.
<P>
<PRE>
 DIRS=  smap smapd netacl plug-gw ftp-gw tn-gw rlogin-gw http-gw
 x-gw ssl-gw
</PRE>
<P>Teraz uruchom <B>make</B>.
<P>
<P>
<H2>7.3 Instalacja TIS FWTK</H2>

<P>Uruchom <CODE>make install</CODE>.
Standardowo katalogiem instalacyjnym jest <CODE>/usr/local/etc</CODE>.
Moesz to zmieni (ja tego nie zrobiem) na bardziej bezpieczny
katalog.
Ja zmieniem prawa dostpu do niego na <CODE> chmod 700 </CODE>.
<P>Na koniec pozostaa nam konfiguracja firewalla.
<P>
<H2>7.4 Konfiguracja firewalla TIS FWTK</H2>

<P>Teraz naprawd rozpoczynamy. Musisz nauczy system wywoywania tych
nowych
usug i stworzy tablice do ich kontroli.
<P>Nie prbuj przepisywa tutaj dokumentacji do TIS FWTK. Chc pokaza
takie ustawienia jakie u mnie dziaay i wyjani problemy jakie
spotkaem.
<P>Istniej trzy pliki kontrolujce firewalla.
<P>
<P>
<UL>
<LI>/etc/services
<UL>
<LI>mwicy systemowi jaki port obsuguje jak usug.</LI>
</UL>
</LI>
</UL>

<UL>
<LI>/etc/inetd.conf
<UL>
<LI>mwicy serwerowi inetd jaki program wywoa gdy kto bdzie si
dobija do zadanego portu.</LI>
</UL>
</LI>
</UL>

<UL>
<LI>/usr/local/etc/netperm-table
<UL>
<LI>mwicy FWTK kto jest dopuszczony a kogo winno si odrzuca
przy danej usudze.</LI>
</UL>
</LI>
</UL>
<P>Aby uzyska poprawne funkcjonowanie FWTK powiniene wyedytowa te
pliki
poczynajc od gry. Edycja jedynie <CODE>services</CODE> bez inetd.conf
i
netperm-table ustawionych prawidowo uczyni twj system
niedostpnym.
<P>
<P>
<H3>Plik netperm-table</H3>

<P>Plik ten odpowiada za kontrol kto ma dostp do usug nadzorowanych
przez TIS
FWTK. Powiniene myle o ruch z obu stron firewalla. Ludzie z
zewntrz twojej
sieci powinni zidentyfikowa si przed otrzymaniem dostpu, ale
ludzie
z wewntrz mog zosta dopuszczeni od razu.
<P>Aby ludzie moli si zidentyfikowa firewall uywa programu o nazwie
<B>authsrv</B>
do trzymania bazy danych o uytkownikach i ich hasach.
Sekcja dotyczca autentyfikacji w netperm-table pozwala kontrolowa
gdzie jest trzymana baza danych i kto ma do niej dostp.
<P>Miaem troch kopotw z blokowaniem dostpu do usug. We pod
uwag e linia
ktr pokazuj uywa '*' do dawania dostpu dla kadego do tej
usugi.
Prawidowe ustawienie tej linii jest nastpujce:
'' <CODE>authsrv: premit-hosts localhost</CODE> jeli chcesz zachowa
j pracujc.
<P>
<PRE>
 #
 # tablica konfiguracji serwera proxy 
 #
 # Autentyfikacja: reguy serwera i klienta
 authsrv:   database /usr/local/etc/fw-authdb
 authsrv:   permit-hosts *
 authsrv:   badsleep 1200
 authsrv:   nobogus true
 # Aplikacje klienckie uywajce serwera autentyfikacji
 *:      authserver 127.0.0.1 114
</PRE>
<P>Aby zaincjalizowa baz danych wykonaj <CODE>su</CODE> do root`a i
uruchom
<B>./authsrv</B> w katalogu <CODE> /var/local/etc </CODE>
by stworzy rekord opisujcy administratora systemu.
<P>Oto jest przykadowa sesja.
<P>Przeczytaj dokumentacj FWTK, by dowiedzie si jak doda
uytkownikw i
grupy.
<P>
<P>
<PRE>
  #
  # authsrv
  authsrv# list
  authsrv# adduser admin  &quot; Auth DB admin &quot; 
  ok - user added initially disabled
  authsrv# ena admin
  enabled
  authsrv# proto admin pass
  changed
  authsrv# pass admin  &quot; plugh &quot; 
  Password changed.
  authsrv# superwiz admin
  set wizard
  authsrv# list
  Report for users in database
  user  group longname      ok?  proto  last
  ------ ------ ------------------ ----- ------ -----
  admin     Auth DB admin   ena  passw  never
  authsrv# display admin
  Report for user admin (Auth DB admin)
  Authentication protocol: password
  Flags: WIZARD
  authsrv# ^D
  EOT
  #
</PRE>

Kontrola przez bram telnetu (tn-gw) polega na prostym przesaniu
i jest to pierwsza ktr powiniene ustawi.
<P>W moim przykadzie pozwoliem komputerom z wntrza sieci prywatnej
na dostp bez autentyfikacji (permit-hosts 19961.2.* -passok).
<P>Ale inni uytkownicy powinni wprowadzi swoj nazw uytkownika i
haso.
(permit-hosts * -auth)
<P>Poza tym pozwoliem jednemu innemu systemowi (196.1.2.202) na
dostp
do firewalla bezporednio, bez przechodzenia przez procedury na
nim.
Sprawiaj to dwie linie z <CODE>inetacl-in.telnetd</CODE>
<P>Wyjani ich dziaanie potem.
<P>Powiniene zachowa krtki czas timeoutu.
<P>
<PRE>
 # reguy dostpu telnetu do firewalla:
 tn-gw:        denial-msg   /usr/local/etc/tn-deny.txt
 tn-gw:        welcome-msg   /usr/local/etc/tn-welcome.txt
 tn-gw:        help-msg    /usr/local/etc/tn-help.txt
 tn-gw:        timeout 90
 tn-gw:        permit-hosts 196.1.2.* -passok -xok
 tn-gw:        permit-hosts * -auth
 # Tylko administrator moe wykona telnet na port 24 firewalla.
 netacl-in.telnetd: permit-hosts 196.1.2.202 -exec
 /usr/sbin/in.telnetd
</PRE>

I to samo z r-command.
<P>
<PRE>
 #  reguy dostpu rlogin do firewalla
 rlogin-gw:  denial-msg   /usr/local/etc/rlogin-deny.txt
 rlogin-gw:  welcome-msg   /usr/local/etc/rlogin-welcome.txt
 rlogin-gw:  help-msg    /usr/local/etc/rlogin-help.txt
 rlogin-gw:  timeout 90
 rlogin-gw:  permit-hosts 196.1.2.* -passok -xok
 rlogin-gw:  permit-hosts * -auth -xok
 # Tylko administrator moe wykona telnet na port 24 firewalla.
 netacl-rlogind: permit-hosts 196.1.2.202 -exec /usr/libexec/rlogind
 -a
</PRE>
<P>Nie powiniene dawa nikomu bezporedniego dostpu do firewalla,
wczajc w to dostp prze FTP (tak pobieranie jak i wkadanie).
<P>Jeszcze raz, linie zawierajce  permit-hosts pozwalaj kademu w
chronionej
na wolny dostp do Internetu, za wszyscy inni musz si
autentyfikowa.
Wczyem zapisywanie kadego pliku pobranego i wysanego do mojej
konfiguracji.
<P>(-log { retr stor })
<P>Timeouty FTP daj ci kontrol nad tym jak dugo bd utrzymywane
,,ze'' poczenia i jak dugo bd utrzymywane poczenia bez
adnej
aktywnoci.
<P>
<PRE>
 #  reguy dostpu ftp do firewalla
 ftp-gw:        denial-msg   /usr/local/etc/ftp-deny.txt
 ftp-gw:        welcome-msg   /usr/local/etc/ftp-welcome.txt
 ftp-gw:        help-msg    /usr/local/etc/ftp-help.txt
 ftp-gw:        timeout 300
 ftp-gw:        permit-hosts 196.1.2.* -log { retr stor }
 ftp-gw:        permit-hosts * -authall -log { retr stor }
</PRE>

WWW, Gopher i bazujce na przegldarkach FTP jest kontrolowane
przez
http-gw. Pierwsze dwie linie tworz katalog gdzie bd skadowane
pliki i dokumenty z FTP i WWW.  Przy czym s one wasnoci root`a
i
s skadowane w katalogu dostpnym tylko dla niego.
<P>Poczenia WWW powinny by bardzo krtki. W ten sposb mona
kontrolowa jak
dugo uytkownicy bd utrzymywa bdne poczenia.
<P>
<PRE>
 # reguy dostpu dla WWW i Gophera
 http-gw:   userid     root
 http-gw:   directory    /jail
 http-gw:   timeout 90
 http-gw:   default-httpd  www.afs.net
 http-gw:   hosts      196.1.2.* -log { read write ftp }
 http-gw:   deny-hosts   *
</PRE>
<P><CODE>ssl-gw</CODE> ustawia si tak samo ja i inne bramy. Bd z ni
ostrony.
W tym przykadzie pozwalam wszystkim z sieci chronionej na czenie
si
z kadym z serwerw na zewntrz z wyjtkiem adresw 127.0.0.*
i 192.1.1.*
oraz (wtedy) na otwieranie portw 443 do 563 uywanych jako znane
porty
dla SSL.
<P>
<PRE>
# zasady dla bramy ssl:
 ssl-gw:     timeout 300
 ssl-gw:     hosts      196.1.2.* -dest { !127.0.0.* !192.1.1.*
 *:443:563 }
 ssl-gw:     deny-hosts   *
</PRE>
<P>Poniej znajduje si przykad jak uy <CODE>plug-gw</CODE> aby pozwoli
na
poczenie do serwera news. W tym przykadzie zezwalam kademu z
sieci
lokalnej na dostp do tylko jednego systemu i tylko na porcie
zajtym przez
news.
<P>W drugiej linii pozwalam serwerowi news przesa dane z powrotem do
chronionej
sieci.
<P>Poniewa wikszo klientw spodziewa si, e pozostaje podczenie
w czasie
gdy uytkownik czyta wiadomoci timeout dla news powinien by
dugi.
<P>
<PRE>
 # brama dla moduu plug-gw i NetNews
 plug-gw:    timeout 3600
 plug-gw: port nntp 196.1.2.* -plug-to 199.5.175.22 -port nntp
 plug-gw: port nntp 199.5.175.22 -plug-to 196.1.2.* -port nntp
</PRE>
<P>Brama dla fingera jest prosta. Kady z chronionej sieci powinien si
zaogowa i wtedy pozwalamy mu na uycie fingera na firewallu.
Pozostali nie po prostu dostaj wiadomo.
<P>
<PRE>
 # uruchomienie usugi finger
 netacl-fingerd: permit-hosts 196.1.2.* -exec /usr/libexec/fingerd
 netacl-fingerd: permit-hosts * -exec /bin/cat
 /usr/local/etc/finger.txt
</PRE>
<P>Nie mam ustawionych usug dla poczty elektronicznej i X-Windows
wic nie daj przykadw. Jeli kto ma dziaajcy przykad, prosz
o
przysanie mi.
<P>
<P>
<H3>Plik inetd.conf</H3>

<P>Oto jest kompletny plik <CODE> /etc/inetd.conf </CODE>.
Wszystkie niepotrzebne usugi zostay wykomentowane.
Wczyem peny plik aby pokaza co wyczy i jak ustawi now
usug
w cianie ognia.
{od tumacza: nie przekadam typowych dla tego pliku linii}
<P>
<PRE>
 #echo stream tcp nowait root    internal
 #echo dgram  udp wait  root    internal
 #discard   stream tcp nowait root    internal
 #discard   dgram  udp wait  root    internal
 #daytime   stream tcp nowait root    internal
 #daytime   dgram  udp wait  root    internal
 #chargen   stream tcp nowait root    internal
 #chargen   dgram  udp wait  root    internal
 # brama FTP w cianie ognia
 ftp-gw   stream tcp nowait.400 root /usr/local/etc/ftp-gw ftp-gw
 # brama Telnetu w cianie ognia
 telnet    stream tcp nowait   root /usr/local/etc/tn-gw
 /usr/local/etc/tn-gw
 # local telnet services
 telnet-a  stream tcp nowait   root /usr/local/etc/netacl in.telnetd
 # brama Gophera w cianie ognia
 gopher    stream tcp nowait.400 root /usr/local/etc/http-gw
 /usr/local/etc/http-gw
 # brama WWW w cianie ognia
 http stream tcp nowait.400 root /usr/local/etc/http-gw
 /usr/local/etc/http-gw
 # SSL  w cianie ognia
 ssl-gw stream tcp   nowait root /usr/local/etc/ssl-gw  ssl-gw
 # NetNews firewall proxy (using plug-gw)
 nntp  stream tcp   nowait root  /usr/local/etc/plug-gw plug-gw nntp
 #nntp stream tcp   nowait root  /usr/sbin/tcpd in.nntpd
 # SMTP (email)  w cianie ognia
 #smtp stream tcp   nowait root  /usr/local/etc/smap smap
 #
 # Shell, login, exec and talk are BSD protocols.
 #
 #shell    stream tcp   nowait root  /usr/sbin/tcpd in.rshd
 #login    stream tcp   nowait root  /usr/sbin/tcpd in.rlogind
 #exec stream tcp   nowait root  /usr/sbin/tcpd in.rexecd
 #talk dgram  udp   wait  root  /usr/sbin/tcpd in.talkd
 #ntalk    dgram  udp   wait  root  /usr/sbin/tcpd in.ntalkd
 #dtalk    stream tcp   waut  nobody /usr/sbin/tcpd in.dtalkd
 #
 # Pop and imap mail services et al
 #
 #pop-2  stream tcp nowait root /usr/sbin/tcpd  ipop2d
 #pop-3  stream tcp nowait root /usr/sbin/tcpd  ipop3d
 #imap  stream tcp nowait root /usr/sbin/tcpd  imapd
 #
 # The Internet UUCP service.
 #
 #uucp  stream tcp nowait uucp /usr/sbin/tcpd /usr/lib/uucp/uucico
 -l
 #
 # Tftp service is provided primarily for booting. Most sites
 # run this only on machines acting as  &quot; boot servers. &quot; 
 Do not uncomment
 # this unless you *need* it.
 #
 #tftp dgram  udp   wait  root  /usr/sbin/tcpd in.tftpd
 #bootps    dgram  udp   wait  root  /usr/sbin/tcpd bootpd
 #
 # Finger, systat and netstat give out user information which may be
 # valuable to potential "system crackers." Many sites choose to
 disable
 # some or all of these services to improve security.
 #
 # cfinger is for GNU finger, which is currently not in use in RHS
 Linux
 #
 finger    stream tcp nowait root  /usr/sbin/tcpd in.fingerd
 #cfinger   stream tcp nowait root  /usr/sbin/tcpd in.cfingerd
 #systat    stream tcp nowait guest /usr/sbin/tcpd /bin/ps -auwwx
 #netstat   stream tcp nowait guest /usr/sbin/tcpd /bin/netstat -f
 inet
 #
 # Time service is used for clock syncronization.
 #
 #time stream tcp nowait root /usr/sbin/tcpd in.timed
 #time dgram  udp wait  root /usr/sbin/tcpd in.timed
 #
 # Authentication
 #
 auth     stream tcp wait  root /usr/sbin/tcpd in.identd -w -t120
 authsrv    stream tcp nowait root /usr/local/etc/authsrv authsrv
 #
 # End of inetd.conf
</PRE>
<P>
<H3>Plik /etc/services</H3>

<P>Tutaj si wszystko zaczyna. Gdy klient czy si ze cian ognia
dzieje si to na tzw. dobrze znanym porcie (niszym od
1024).
Na przykad telnet czy si na porcie 23. Serwer <CODE> inetd</CODE>
syszy prob o poczenie, i szuka nazwy tej usugi w
<CODE>/etc/services</CODE>. Pniej wzywa programy wyznaczony  dla tej
usugi
w <CODE> /etc/inedt.conf</CODE>
<P>Niektre z usug nie s normalnie tworzone przez wywoanie w
<CODE>/etc/serwices</CODE>.
Mona przydziela niektre porty jak chcemy, Na przykad ja
przydziaem usudze ,,telnet administratora'' (telnet-a) port 24.
Ty moesz przydzieli t usug na portowi 2323, jeli chcesz.
Dla administratora (CIEBIE) bezporednie poczenie ze cian ognia
na porcie 24 nie 23 noe by potrzebne, jeli masz ustawion swoj
chronionej sieci.
<P>
<P>
<PRE>
 telnet-a    24/tcp
 ftp-gw     21/tcp      # this named changed
 auth      113/tcp  ident  # User Verification
 ssl-gw     443/tcp
</PRE>
<P>
<P>
<H2><A NAME="s8">8. Serwer proxy SOCKS</A></H2>

<H2>8.1 Konfigurowanie serwera Proxy</H2>

<P>SOCKS proxy server dostpny jest z adresu:
<A HREF="ftp://sunsite.unc.edu/pub/Linux/system/Network/misc/socks-linux-src.tgz">ftp://sunsite.unc.edu/pub/Linux/system/Network/misc/socks-linux-src.tgz</A>.
Zawiera przykadowy plik konfiguracyjny w katalogu nazwanym:
&quot; socks-conf &quot; . Zdekompresuj i untaruj te pliki
w dowolnym katalogu i postpuj wedug instrukcji.
Miaem kilka problemw kiedy kompilowaem go. Upewnij si, e twj
<CODE>Makefile </CODE> jest prawidowy.
<P>Jedn z waniejszych rzeczy jest pamitanie o koniecznoci dodania
serwera proxy do <CODE>/etc/inetd.conf</CODE>.
Aby mc odpowiedzie na dania musisz dopisa nastpujc lini:
<P>
<PRE>
 socks stream tcp nowait nobody /usr/local/etc/sockd sockd
</PRE>
<P>
<H2>8.2 Konfiguracja serwera proxy</H2>

<P>Program SOCKS potrzebuje dwch oddzielnych plikw
konfiguracyjnych. Jeden z
nich mwi tym komu udzieli dostpu a drugi w jaki sposb przekazywa
dania
do waciwego serwera proxy. Plik decydujcy o dostpie
powinien
znajdowa si na serwerze. Plik dotyczcy przekazywania dostpu
(routingu)
powinien znajdowa si na kadej z maszyn Unixowych. W wypadku DOSa i
czciowo MaCw komputery powinny mie swj wasny routing.
<P>
<H3>Plik dostpu.Access File</H3>

<P>W wersji 4.2 Beta SOCSKsw plik dostpu nazywa si
&quot; sockd.conf &quot; .
powinien zawiera dwie linie: zezwolenia i zakazu. Kada z linii
posiada trzy
pozycje:
<P>
<UL>
<LI>identyfikator (permit/deny)</LI>
<LI>adres IP</LI>
<LI>modyfikator adresu</LI>
</UL>

Identyfikator to <CODE>permit</CODE> lub <CODE> deny</CODE>
Powiniene uy obu: kady we waciwej linii.
Adres IP powinien zawiera czterobajtowy adres w typowej dal IP
notacji.
np. 192.168.2.0.
Modyfikator adresu take jest normalnym IP i pracuje jak maska.
Rozwinicie tego adresu da 32 bity (1 albo zero).
  
Na przykad, w tej linii:
<P>
<PRE>
  permit 192.168.2.23 255.255.255.255
</PRE>

zezwalam na dostp maszynom w ktrych adres pasuje co do bitu  z
zadanym:
pasuje tu tylko 192.168.2.23
<P>
<PRE>
  permit 192.168.2.0 255.255.255.0
</PRE>

zezwala na dostp maszynom z gdyby od 192.168.2.0 do 192.168.2.255,
w
formie caej klasy C.
<P>Nie powiniene mie nastpujcej linii:
<P>
<PRE>
  permit 192.168.2.0 0.0.0.0
</PRE>

dajcej dostp dla wszystkich adresw.
<P>Tak wic pierwsza linia daje zezwolenie dla tych adresw ktrym
chcesz go da,
a druga zakazuje reszcie.
Aby zezwoli na dostp wszystkim z klasy 192.168.2.xxx potrzeba
linii:
<P>
<PRE>
  permit 192.168.2.0 255.255.255.0
  deny 0.0.0.0 0.0.0.0
</PRE>

Zwr uwag na pierwsze  &quot; 0.0.0.0 &quot;  w linii zakazu.
Z mask 0.0.0.0 taki adres nie istnieje. Wszystkie zera
zostay tam wprowadzone bo s atwe do zapisu.
<P>Dopuszczalne jest umieszczenie wikszej iloci jeden zapisw w
kadej
z linii.
Konkretni uytkownicy mog ponadto otrzyma lub traci prawo
dostpu.
jest to wykonywane przy pomocy autentyfikacji przy pomocy
<CODE>ident</CODE>.  Nie wszystkie systemu uywaj <CODE>ident</CODE>,
wczajc w to
<CODE> Trumpet Winsock </CODE>, dlatego te nie wczam tu przykadw.
Dokumentacja do SOCKS jest cakiem dobra w tej kwestii.
<P>
<H3>Tablica trasowania</H3>

<P>Tablica routingu w SOCS jest niestety nazywana
<CODE>socks.conf</CODE>.
<P>Tablica routingu mwi klientom SOCKS kiedy uywa socks a kiedy
nie.
Na przykad, w twojej sieci 192.168.2.3 nie potrzebuje uywania
socks do
poczenia z 192.168.2.1. Po prostu czy si bezporednio, po
Ethernecie.
Definiuje si automatycznie 127.0.0.1 jako loopback. Oczywiste jest,
e nie potrzebujesz rozmawia przez cian ogniow z samym sob...
<P>S trzy typy rekordw:
<P>
<UL>
<LI>deny</LI>
<LI>direct</LI>
<LI>sockd</LI>
</UL>
<P><CODE>Deny</CODE> mwi SOCKS kiedy ma odmwi daniu. Rekord ten ma
takie
same trzy pola jak <CODE>sockd.conf</CODE>: identyfikator, adres i
maska.
Oglnie, dopki jest to modyfikowane przez <CODE>sockd.conf</CODE>,
maska w pliku dostpu jest ustawiona na 0.0.0.0. Jeli chcesz
pozwoli
na dzwonienie do siebie moesz to zrobi tutaj.
<P>Rekord <CODE>direct</CODE> mwi ktre do ktrych adresw nie uywa
SOCKS.
Te adresy bd dorczone bez serwera proxy.
<P>Jeszcze raz, mamy trzy pola: identyfikator, adres i maska.
<P>
<PRE>
  direct 192.168.2.0 255.255.255.0
</PRE>

W ten sposb kierujesz bezporednio cay ruch w chronionej sieci.
<P>Rekord z <CODE>sockd</CODE>
mwi komputerowi ktre z hostw s serwerem SOCKS
<P>Skadnia jest nastpujca:
<PRE>
 sockd @=&lt;serverlist> &lt;IP address> &lt;modifier>
</PRE>

Zwr uwag na fragment: @= .
Pozwala on na wprowadzenie listy serwerw proxy.
W naszym przykadzie uywamy
tylko jednego. Ale moesz mie wiele w celu zwikszenia
przepustowoci
i obnienia moliwoci awarii.
<P>Pola adresu IP i maski dziaaj jak w innych przykadach.
Specyfikujesz adres i zakres jego obowizywania.
<P>
<H3>DNS zza firewalla Ustawienie usugi DNS zza firewalla jest  prostymzadaniem. Potrzeba jedynie ustawienia DNS na maszynie z firewallem.I inne maszyny za firewallem bd go uyway.</H3>

<H2>8.3 Wsppraca z serwerami proxy</H2>

<H3>Unix</H3>

<P>Aby twoje aplikacje dziaay z serwerami proxy
potrzebujesz je zsockisy... ( &quot; sockified &quot; ).
Bdziesz potrzebowa dwch rnych telnetw (jeden do komunikacji
bezporedniej drugi przez serwer proxy). SOCKS przychodz z
instrukcj jak zSOCKifikowa program, i z paroma programami
przygotowanymi na t mod. Jeli uywasz zSOCKIfowanej wersji
gdziekolwiek bezporednio SOCKS automatycznie przeczy ci na
waciw
wersj. Z tego powodu trzeba zmieni nazwy wszystkich programw w
naszej
chronionej sieci i zstpi je wersjami
zSOCKisowanymi. <CODE>Finger</CODE> stanie
si <CODE>finger.orig</CODE>, <CODE>telnet</CODE> stanie si
<CODE>telnet.orig</CODE> i
tak dalej.
Musisz powiedzie SOCKS o kadym w pliku <CODE>include/socks.h</CODE>.
<P>
<P>
<P>Dobre programy s w stanie dostarcza tablic trasowania i
zsocksifikowa
si same. Jednym z nich jest Netscape Navigator. Moesz uywa
serwerw
proxy przez wprowadzenie adresu serwera (192.168.2.1 w naszym
wypadku)
w polu SOCKs w Menu Proxies. Kada aplikacja potrzebuje przynajmniej
minimalnej informacji o tym co jest serwerem proxy.
<P>
<H3>MS Windows i Trumpet Winsock</H3>

<P>Trumpet Winsock przychodzi z wbudowanymi moliwociami wsppracy z
serwerem proxy. W
<CODE> setup </CODE> menu wprowad adres serwera, i adresy
komputerw dostpnych bezporednio. Program przekieruje na serwer
wszystkie pakiety majce wyj na zewntrz.
<P>
<P>
<H3>Ustawienie serwera poredniczcego do pracy z pakietami UDP.</H3>

<P>Pakiet SOCKS pracuje jedynie z pakietami TCP, pomijajc UDP.
Powoduje to troch mniejsz jego uyteczno. Wiele uytecznych
programw, takich jak na przykad <CODE>talk</CODE> i <CODE>Archie</CODE>
uywa UDP. Jest jednak pakiet
ktry moe by uyty jako serwer proxy dla UDP: UDPrelay
stworzony
przez Toma Fitzgeralda 
<A HREF="fitz@wang.com">fitz@wang.com</A>. Niestety w chwili
pisania tego tekstu nie jest on zgodny z Linuxem.
<P>
<P>
<H2>8.4 Wady serwerw proxych</H2>

<P>Serwer proxy, jak pokazaem powyej jest
<CODE>narzdziem bezpieczestwa</CODE>.
Uywanie go zwiksza dostpno do Internetu z ograniczon liczb
adresw
wie si jednak z wieloma niedogodnociami. Serwer proxy
pozwala
na wiksz dostpno internetu z sieci chronionej, ale pozostawia
wntrze
cakowicie niedostpne z zewntrz. Oznacza to brak moliwoci
uruchomienia
wewntrz sieci rozmaitych serwerw, <CODE>talk</CODE> i archie, oraz
bezporedniego wysyania listw do chronionej sieci.
Ponisze uchybienia wygldaj nieznaczca, ale sposb mylenia
przebiega nastpujco:
<P>
<UL>
<LI> Otrzymae informacj o bdach w twojej chronionej sieci.
Jeste w domu, i decydujesz si  sprawdzi to. Ale nie moesz. Nie
jeste w stanie dosta si do adnego z komputerw poniewa znajduj
si za cian ogniow. 
</LI>
<LI>Twoja crka posza do college`u. Chciaby wysa jej list. Chcesz z
ni porozmawia o pewnych prywatnych sprawach, i wolaby raczej by
twoja poczta bya kierowana bezporednio na twj komputer. Ufasz
swojemu administratorowi, ale to jednak prywatna poczta.
</LI>
<LI>Niemoliwo uycia usug dziaajcych z UDP jest wielk wad
serwerw proxych. Cho mam nadziej, e  ju niedugo.</LI>
</UL>
<P>Przypadek FTP pokazuje jeszcze jeden problem z serwerami
proxymi. Kiedy pobieram pliki lub wydaj komend <CODE>ls</CODE>,
serwer FTP otwiera gniazdo (,,socket'') na maszynie klienckiej
i wysya o tym informacj. Serwer proxy nie pozwala na to, tak
wic FTP nie dziaa w sposb prawidowy.
<P>
<P>Poza tym serwery poredniczce dziaaj powoli.
Z powodu wikszej wydajnoci wikszo innych metod dostpu do Internetu
bdzie szybsza.
<P>Jeli masz przydzielony adres IP, i nie martwisz si o bezpieczestwo,
nie uywaj cian ogniowych i/lub serwerw proxych.
Jeli nie masz nr. IP, i take nie martwisz si o bezpieczestwo
swojej sieci, moesz uy jednego z ,,emulatorw IP'' takich jak
<CODE>Term</CODE>, <CODE>Slirp</CODE> lub <CODE>TIA</CODE>. Term jest dostpny z
<A HREF="ftp://sunsite.unc.edu/">ftp://sunsite.unc.edu/</A>, Slirp z 
<A HREF="ftp://blitzen.canberra.edu.au/pub/slirp">ftp://blitzen.canberra.edu.au/pub/slirp</A>, za TIA z 
<A HREF="http://markertplace.com/">http://markertplace.com/</A>.
Pakiety te pracuj szybciej, pozwalaj na szybsze poczenia i na
wikszy dostp z sieci wewntrznej do internetu.
Serwery poredniczce s dobre dla tych ktry maj due sieci
z komputerami majcymi mie dostp ,,w locie'' do internetu
z jednorazowym ustawieniem, i minimalnym wkadem pracy potem.
<P>
<H2><A NAME="s9">9. Konfiguracja zaawansowana.</A></H2>

<P>Przedstawiem jedn konfiguracj, ktr wyprbowaem przez stworzeniem
tego dokumentu. Przy czym ten zarys powinien wystarczy dla wikszoci
ludzi. Myl e poniszy opis zaawansowanych konfiguracji moe
rozwia pozostae wtpliwoci. Jeli oprcz tego masz jeszcze jakie
pytania poza tym co opisaem, albo ci to po prostu interesuj ci
szczegy zwizane ze firewallami i serwerami proxy
moesz przeczyta poniszy fragment.
<P>
<P>
<H2>9.1 Wielkie sieci wymagaj pooenia nacisku na bezpieczestwo</H2>

<P>Powiedzmy, na przykad, e jeste szefem milicji obywatelskiej i chcesz
,,usieciow'' swoj siedzib. Masz pidziesit komputerw i 32 nr IP
(5 bitw). Potrzebujesz moliwoci dania rnych poziomw  dostpu do
sieci poniewa powierzasz swoim wsppracownikom rne zadania. Poza tym
bdziesz potrzebowa izolacji okrelonych miejsc w sieci od  reszty.
<P>Poziomy dostpu:
<P>
<OL>
<LI>Poziom zewntrzny - ukazywany wszystkim, tutaj werbujesz i zdobywasz
nowych ochotnikw.
</LI>
<LI><B>Troop</B>
poziom ten przeznaczony jest dla ludzi ktrzy otrzymali dostp z
poziomu zewntrznego. Tutaj jest miejsce gdzie uczysz o rzdzie dusz i
jak zrobi bomb.
</LI>
<LI><B>Mercenary</B>
Tutaj jest miejsce gdzie <EM>naprawd</EM> planujesz chroni.
Tutaj skadujesz wszelkie informacje o tym jak rzdy trzeciego
wiata zamierzaj podbi wiat, twoje plany dla Newt Gingich, Oklahoma
City, skadujesz tajne informacje.</LI>
</OL>
<P>
<H3>Konfiguracja sieci</H3>

<P>Numery IP s ustawione w nastpujcy sposb:
<P>
<P>
<UL>
<LI>1 numer to 192.168.2.255, bdcy adresem rozgoszeniowym
nie uywanym</LI>
<LI>23 z 32 adresw IP jest przydzielonych dla maszyn dostpnych w
Internecie.</LI>
<LI>1 dodatkowy adres IP zosta przydzielony Linuxowi</LI>
<LI>1 dodatkowy adres IP zosta przydzielony innemu linuxowi</LI>
<LI>2 numery IP zostay przydzielone routerowi</LI>
<LI>4 pozostae pozostaj odczone ale otrzymuj nazwy domenowe: paul, ringo,
john, george .</LI>
<LI>chroniona sie ma numer 192.168.2.xxx</LI>
</UL>
<P>Teraz budujemy dwie izolowane sieci, kada w innym pokoju. S one
trasowane przez ekranowany ethernet i s kompletnie niewidoczne z
innych pomieszcze. Na szczcie ekranowany Ethernet zachowuje si
tak samo jak zwyczajny ethernet.
<P>
<P>Kada z tych sieci jest poczona do jednej ze stacji linuxowych na
dodatkowych adresach IP.
<P>S to serwery plikw poczone do obu chronionych sieci. Jest tak,
poniewa planujemy da dostp tak dla sieci Troops ja i wyszej. 
<P>Serwer plikw nosi numery 192.168.2.17 dla sieci Troop i
192.168.2.23 dla sieci Mercenary.
Maj rne adresy poniewa maj dwie rne karty sieciowe.
network. <CODE>IP Forwarding</CODE> jest wyczony.
<P><CODE>IP Forwarding</CODE> na obu stacjach linuxowych take jest wyczony.
Router nie powinien przesya pakietw przeznaczonych dla sieci
192.168.2.xxx dopki mu tego wprost nie powiemy, tak wic dostp do
internetu pozostaje wyczony. Wyczenie przesyania IP ma na celu
zablokowanie pocze z sieci Troop do sieci Mercenary  na odwrt.
<P>Serwer NFS moe ponadto oferowa rne pliki dla rnych sieci.
<P>To atwe przy drobnych operacjach z symbolicznymi
odniesieniami mona zrobi w ten sposb e wsplne pliki s dzielone
przez wszystkich. Uycie tego typu ustawie i rnych kart sieciowych
umoliwia Ci zastosowanie jednego serwera plikw dla trzech sieci.
<P>
<H3>Serwer proxy</H3>

<P>Teraz, dopki wszystkie trzy poziomu bd moliwe do pracy w ramach
wyznaczonych zada bd potrzeboway dostpu do sieci.
Zewntrzna sie jest poczona bezporednio z internetem, tak wic nie
ma tu zastosowania dla serwera poredniczcego. Sieci Mercenary i Troop
znajduj si za cian ogniow wic potrzebny im serwer proxy.
Konfiguracja obu jest bardzo podobna. Oba maj takie same adresu IP. 
Jedyna rnica polega na nieco innych parametrach. 
<P>
<OL>
<LI>Nie kady moe uy serwera plikw dla dostpu do Interntu. 
Wystawia to go na wirusy i inne brzydkie rzeczu. 

</LI>
<LI>Nie chcemy zezwoli sieci Troop na dostp do WWW. Przechodz szkolenie 
I jaki kolwiek przepy informacji mgby zniszczy jego efekty.
</LI>
</OL>
<P>Tak wic w pliku <CODE>sockd.conf</CODE> w linuxie w sieci Troop znajdzie
si nastpujca linia.
<P>
<PRE>
  deny 192.168.2.17 255.255.255.255
</PRE>

a w stacji przeznaczonej dla Mercenary:
<P>
<PRE>
  deny 192.168.2.23 255.255.255.255
</PRE>

Teraz w stacji linuxowej sieci Troop wpisujemy:
<P>
<PRE>
  deny 0.0.0.0 0.0.0.0 eq 80
</PRE>

Ten tekst mwi e zabraniamy dostpu wszystkich maszynom
prbujcym si dosta do portu rwnego (eq) 80 (http).
Nadal pozwala si na dostp do wszystkich usug z wyjtkiem WWW.
<P>Teraz oba pliki powinny zawiera linie:
<P>
<PRE>
  permit 192.168.2.0 255.255.255.0
</PRE>

by zezwoli wszystkim komputerom z sieci 192.168.2.xxx na uycie
tego serwera poredniczcego zamiast tego ktry zosta zakazany (np.
serwer plikw i dostp do WWW z sieci Troop).
<P>
<P>W sieci Troop w pliku <CODE>sockd.conf</CODE> powinien wyglda w ten
sposb:
<P>
<PRE>
  deny 192.168.2.17 255.255.255.255
  deny 0.0.0.0 0.0.0.0 eq 80
  permit 192.168.2.0 255.255.255.0
</PRE>
<P>a w sieci Mercenary mniej wicej tak:
<P>
<PRE>
  deny 192.168.2.23 255.255.255.255
  permit 192.168.2.0 255.255.255.0
</PRE>
<P>To powinno zakoczy konfiguracj wszystkiego. Kada z sieci jest
izolowana, z prawidowymi ustawieniami interakcji. Kady powinien by
szczliwy.
<P>Dalej... Podbij wiat... 
<H2><A NAME="s10">10. Od tumacza.</A></H2>

<P>Zdaj sobie spraw ile w tym tekscie jest potkni jzykowych, przeinacze. 
Jeli ktre ci drani przelij mi swoje uwagi. 
Aha, jeszcze jedno. Wyraenia <CODE>firewall</CODE> i <CODE>ciana ogniowa</CODE>
oraz <CODE>proxy</CODE> i <CODE>serwer poredniczcy </CODE> traktuj 
(przynajmniej na razie) zamiennie. (choc ju wikszo polskich
odpowiednikw (na yczenie publicznoci) usunem. 
<P>Celowo pozostawiam tekst bez zwyczajowego (c) tumacza ;-) 
<P>
</BODY>
</HTML>