Первые две команды совпадают с двумя последними, за исключением того, что вместо действия

в них указано действие . Второе и третье правила можно поменять местами, при этом результаты не изменятся. Между правилами, предусматривающими действия и , можно включить дополнительные правила, но при этом становится менее очевидно, что данные правила связаны между собой.

В результате протоколирования в файл

записываются сведения, подобные приведенным ниже.

В состав записи входят следующие данные.

• Дата и время. Первый компонент записи сообщает время получения пакета.

• Имя системы. В данном примере компьютер имеет имя

.

• Входной интерфейс. Поле

указывает на то, что пакет был получен через интерфейс .

• Выходной интерфейс. Данный пакет является входным, поэтому поле

отсутствует в составе записи.

• MAC-адрес. В поле

указываются два MAC-адреса: локальной и удаленной систем.

• IP-адреса источника и назначения. Поля

и содержат соответственно IP-адреса источника и назначения.

• Порты источника и назначения. Поля

и содержат соответственно порты источника и назначения.

• Информация о пакете. Остальные поля предоставляют дополнительные сведения о пакете, в частности, его длину (

), время жизни () и другие данные.

При определении правила

могут быть заданы дополнительные опции, которые позволяют указать, какие сведения должны быть записаны в файл протокола. Наиболее часто применяется опция . Она позволяет задать строку длиной до 29 символов, которая дает возможность идентифицировать правило, вызвавшее появление этой записи.

Программа

часто применяется для создания брандмауэров, настройки средств NAT, организации перенаправления портов и протоколирования хода обработки пакетов. Часто различные способы обработки пакетов используются совместно. Так, например, на одном компьютере могут быть реализованы брандмауэр, NAT-маршрутизатор и протоколирование хода обработки. Каждый вызов задает отдельное правило, но для решения большинства задач необходимо определить несколько правил. Поэтому последовательность вызовов организуется в виде сценария.

Одна из проблем передачи данных в Internet связана с шифрованием информации. Во многих часто применяющихся протоколах, например Telnet и FTP, не предусмотрено кодирование информации. Данные, в том числе пользовательское имя и пароль, передаются в незашифрованном виде. Такая ситуация может считаться приемлемой в локальной сети, где администратор имеет возможность контролировать действия пользователей, но в Internet, где между передающим и принимающим узлами находится несколько маршрутизаторов, передавать важную информацию с помощью подобных протоколов недопустимо.

Внимание

Не следует считать, что в локальной сети информация полностью защищена. Не исключено, что взломщик получит контроль над компьютером сети и использует его для дальнейшего сбора информации. Применение протоколов, предусматривающих кодирование данных, позволяет исправить ситуацию. Для повышения степени защиты локальной сети можно использовать систему Kerberos, описанную в главе 6.

Иногда у пользователей возникает необходимость обратиться к ресурсам локальной сети с удаленных компьютеров. Некоторые из них работают дома или в дороге на портативных компьютерах. Один из способов, позволяющих обеспечить работу удаленных пользователей, не подвергая данные существенному риску, состоит в организации виртуальной частной сети (VPN — Virtual Private Network). Такая сеть предоставляет удаленному пользователю доступ к ресурсам так, как будто он работает в пределах локальной сети. Клиент и сервер VPN создают виртуальные сетевые интерфейсы и связывают их через Internet, причем данные передаются в закодированном виде. Таким образом, VPN позволяет связать удаленные компьютеры или удаленные сети с локальной сетью. В данной главе приводятся основные сведения, касающиеся конфигурации средств VPN, а также рассматриваются протоколы VPN: PPTP и FreeS/WAN, обеспечивающие работу.

VPN позволяет расширить локальную сеть за счет взаимодействия с внешними компьютерами. Очевидно, что если локальная сеть подключена к Internet, внешние пользователи могут обращаться к ней без VPN. Однако VPN имеет ряд преимуществ перед обычными типами сетевого обмена.

• VPN создает иллюзию локального доступа. Во многих локальных сетях используются средства защиты против нежелательных обращений извне. Так, например, доступ к сетям и отдельным компьютерам ограничивается с помощью брандмауэров, кроме того, для контроля взаимодействия применяются также TCP Wrappers и средства, предоставляемые суперсервером и различными серверными программами. VPN позволяет обращаться к компьютеру так, как будто взаимодействие происходит в пределах локальной сети, что упрощает настройку многих серверов.