Przenoszenie i tunelowanie połączeń

Warsztat administ ratora
SYSADMIN
Active Port Forwa
Przenoszenie
i tunelowanie połączeń
Nawet jeśli twoja maszyna pracuje
za firewallem lub serwerem NAT,
dzięki pakietowi Active Port Forwarder możliwe jest „wystawianie” na
niej usług internetowych.
CHARLY KÜHNAST
W
adres IP do zewnętrznego adresu routera, natomiast moja sieć domowa korzystała z adresów prywatnych z zakresu 192.168.X.X.
Innymi słowy, router efektywnie chroni
moje lokalne maszyny przed dostępem
z otwartego Internetu – co w normalnych warunkach jest pożądane ze względów bezpieczeństwa. Nowoczesne firewalle linuksowe
umożliwiają użycie tzw. DNAT (Destination
NAT) do przekazywania połączeń z interfejsu
zewnętrznego do portu na maszynie wewnątrz sieci chronionej, jednak wiele urządzeń sieciowych (np. routery DSL) nie posiada takiej możliwości.
ielu administratorów uruchamia swoje prywatne serwery
w pracy. Moją intencją było oddzielenie spraw prywatnych i pracy.
W przypadku mojego serwera WWW oznaTyłem do przodu
cza to, że uruchomiłem go w domu.
Ponieważ routery NAT zazwyczaj są dość liberalne, jeśli chodzi o ruch wychodzący
Ponieważ nie mam w domu linii dzierża(wyjątkiem są routery z regułami filtra pawionej, adres IP mojego serwera zmienia się
kietów), nie miałem problemów z zestawiaza każdym razem, kiedy łączę się z Interneniem połączeń do Internetu. Wszystko, czetem. Jednym z typowych sposobów rozwiązago potrzebuję, to
nia tego problemu
odpowiednie
jest użycie usługi
oprogramowanie,
DNS, takiej jak
które umożliwili
Dyndns [1], która
mi zbudowanie
mapuje nazwę sertunelu zwrotnego
wera do jego bieżądo mojej sieci
cego adresu IP. JedRysunek 1: Serwer AF stanowi punkt wejściowy
prywatnej (Rysunak nie było to dla
do Internetu.
nek 1). I to jest
mnie dobre rozwiądokładnie to, co robi Active Port Forwarder
zanie, ponieważ moja maszyna pracowała za
[2] (wersja 0.5.3).
gateway-em NAT, którym jest router DSL. Administratorzy routera przypisali publiczny
Po skompilowaniu kodu źródłowego otrzymujemy dwa komponenty – serwer i klienta.
Ostatnim niezbędnym elementem jest serSYSADMIN
wer-brama (brigdehead), pracujący w InterMobile IP ................................62
necie, serwer ten powinien umożliwiać doPrzełączanie się do różnych sieci z tym sastęp z poziomu shell-a. Moj przyjaciel był na
mym adresem IP.
tyle uprzejmy, że dał mi dostęp do jednego ze
swoich serwerów pracujących w otwartym InProFTPD .................................66
ternecie. Teraz wystarczyło skompilować port
Instalacja i konfiguracja popularnego serforwarder na tym serwerze, będzie on pełnił
wera FTP, ProFTPD.
rolę pomostu do Internetu. Potrzebny jest
No Cat Auth ..........................70
tam jedynie komponent stanowiący serwer,
Serwer autoryzacyjny dla sieci WLAN
uruchamiamy go poleceniem./afserver. Doi nie tylko.
myślnie używa on następujących ustawień:
■ Serwer będzie oczekiwał na połączenia na
porcie 50127.
■ Klient będzie się łączył z portem 50126.
■ Serwer będzie obsługiwał maksymalnie
pięć równoczesnych połączeń TCP.
■ Logowanie jest wyłączone.
Jeśli te ustawienia nie są dla nas odpowiednie, po prostu tworzymy nowy plik
konfiguracyjny (pakiet zawiera przykład takiego pliku) i uruchamiamy serwer:
./afserver -f configfile
Teraz trzeba uruchomić klienta. W moim
przypadku po prostu skompilowałem pakiet
na moim domowym serwerze WWW i uruchimiłem klienta w następujący sposób:
./afclient -n servername -p 80
Oczywiście servername zastępujemy nazwą
FQDN lub adresem bridge. I już! Wejście
na port 50127 na moim serwerze spowoduje, że zostanę przeniesiony do mojego domowego serwera WWW. Połączenie między
tymi dwiema maszynami jest szyfrowane
przy użyciu SSL.
■
INFO
[1] Dyndns: http://www.dyndns.org
[2] Active Port Forwarder:
http://www.gray-world.net/pr_af.shtml
www.linux-magazine.pl
Kwiecień 2004
61