de51123e

Частная сеть: традиционные прокси


В этом сценарии, пакеты из частной сети никогда не выходят в Internet, и наоборот. Адреса IP частной сети должны быть назначены по RFC1597 Private Network Allocations (то есть, 10.*.*.*, 172.16.*.* или 192.168.*.*).

Единственный способ подсоединиться к Internet - через firewall, который является единственной машиной в обеих сетях, которая перераспределяет соединения. Вы запускаете программу (на firewall), называемую proxy, которая все это делает (имеются прокси для FTP, web, telnet, RealAudio, Usenet и других услуг). См. Firewall HOWTO.

Любые услуги Интернет, которые вам потребовались, должны быть на firewall.

(Однако см. ``Ограниченные внутренние услуги" ниже).

Пример: Разрешить доступ из частной сети к web-сервису Интернет.

  1. Частной сети назначены адреса 192.168.1.*, myhost имеет адрес 192.168.1.100, а ethernet интерфейс firewall'а 192.168.1.1.

  2. Web proxy (напр. "Squid") установлен и сконфигурирован на firewall, скажем, на порту 8080.

  3. Netscape в частной сети сконфигурирован для использования firewall порта 8080 в качестве прокси.

  4. DNS в частной сети не нужно настраивать.

  5. DNS должен быть настроен на firewall.

  6. В частной сети маршрут по умолчанию (он же - гейт) не нужно настраивать.

    7. Netscape на myhost обращается к http://slashdot.org.

    1. Netscape соединяется с firewall портом 8080, используя порт 1050 на myhost. Он запрашивает страницу web "http://slashdot.org".

    2. Proxy переводит имя "slashdot.org" в IP адрес, и получает 207.218.152.131. Затем он открывает соединение с этим адресом IP (используя порт 1025 на внешнем интерфейсе firewall'а), и запрашивает у web-сервера (порт 80) страницу web.

    3. Как только он получит страницу web через соединение с сервером web, он скопирует данные в соединение с Netscape.

    4. Netscape отображает страницу.

      5. То есть, с точки зрения slashdot.org, было создано соединение между адресом 1.2.3.4 (интерфейсом PPP firewall'а) порт 1025 и адресом 207.218.152.131 (slashdot.org) порт 80. С точки зрения myhost, соединение создано с 192.168.1.100 (myhost) порт 1050 и 192.168.1.1 (ethernet интерфейс firewall'а) порт 8080.



      Содержание раздела




      Главная сайта