3.2. A meglévő rendszermag ellenőrzése maszkolási szempontból

3.2.1. 2.4.x Linux rendszermag fordítása

• Először is szükség lesz a 2.4.x rendszermag-forrására (lehetőleg a legfrissebb verziójúra - AZ ÚJ *JOBB* A RÉGINÉL, LEGALÁBBIS A LINUX VILÁGÁBAN).

  • Megj. #1: Ahogy a 2.4.x rendszermag-fa és az IPTABLES program fejlesztése halad, a fordítási opciók lehet, hogy változnak. Ez a leírás az IPTABLES 1.2.7a és a 2.4.20-as kernel beállításait tárgyalja. Ha ennél újabb verziód van, a párbeszédek mások lehetnek. Ajánlott, hogy a legfrissebb verziót használd, a hozzáadott új képességek, teljesítményt és stabilitást növelő dolgok miatt.

• Ezen felül, attól függően, hogy milyen IPTABLES és rendszermag-forrást töltöttél le, lehet , hogy szükség lesz néhány "patch-o-matic" folt hozzáadására. Ezek az OPCIONÁLIS foltok kijavíthatnak néhány ismert hibát, és hozzáadhatnak néhány funkciót, amire szükséged lehet (H.323 protokoll, különböző hálózati játékokkal kapcsolatos dolgok stb.) Jegyezd meg, hogy a foltok régebben az IPTABLES archívummal együtt érkeztek. Ma már nem ez a helyzet, külön kell (ha vannak) letöltened őket. A 2.6 fejezetben találhatsz hivatkozásokat az IPTABLES, a Patch-O-Matic letöltéséről stb.

• Ha ez az első alkalom, hogy rendszermagot fordítasz, ne ijedj meg. Valójában ez meglehetősen egyszerű, és több helyen is tárgyalják, néhány közülük: 2.6 . Jegyezd meg, hogy az itt található információk csak egy lehetséges utat mutatnak a rendszermag fordítására. A teljes leírásért olvasd el a Linux Kernel HOWTO (Linux rendszermag HOGYAN) leírást.

  FIGYELEM: Jegyezd meg, hogy nem ajánlott az új rendszermag forrás át az /usr/src/linux könyvtárba helyezni. Tartsd meg az eredeti, a disztribúcióval szállított forrást ebben a könyvtárban. Több részletért e témában olvasd el a rendszermag könyvtárában található README fájlt.

• Ehhez a példához hozz létre a /usr/src/kernel könyvtárat. Ezek után lépj bele, és másold ide a legújabb 2.4.x-es rendszermag-forrást. Miután ez sikerült, add ki a következő parancsot (ha a letöltött fájl .tar.gz-re végződik): tar xvzf linux-2.4.x.tar.gz vagy (ha a fájl .tar.bzip2-re végződik): tar xyvf linux-2.4.x.tar.bz2. Helyettesítsd az x helyére a letöltött fájl verziószámát.

  Megj.: Néhány Linux disztribúció az "I" kapcsolót használja az "y" helyett a bzip2 archívumok kicsomagolására.

  Miután kicsomagoltad, az egyértelműség kedvéért ajánlatos átnevezni át a létrejött "linux" könyvtárat "linux-2.4.x"-re. Ehhez add ki a mv linux linux-2.4.x parancsot. Majd győződj meg, hogy van egy /usr/src/kernel/linux nevű szimbolikus link, amely erre a könyvtárra mutat, vagyis futtasd a következő parancsot: ln -s /usr/src/kernel/linux-2.4.x /usr/src/kernel/linux ahol az x megint csak a megfelelő verziószám.

• Ezek után ajánlatos még a rendszermag fordítása ELŐTT alkalmazni a szükséges vagy választható "foltozást". Az IPTABLES kód jól használható már a "gyári" rendszermagokkal is, és nem igényel semmilyen speciális foltozást olyan rendszereknél, amelyek "NAT-barát" hálózati alkalmazásokat futtatnak. A legtöbbjük csak néhány ismert hibát javít, hozzáad (néhány nagyon jó!) funkciót stb. Nézd meg a 2.6 fejezetet URL-ekért és az IP Masquerade Resources helyet friss információkért és a foltok lelőhelyeiért.

• Az IPTABLES rendszermag-foltok alkalmazása

  Töltsd le az iptables és az opcionális patch-o-matic csomagot innen: 2.6 , majd rakd egy könyvtárba, mondjuk legyen ez a /usr/src/archive/netfilter. Ezek után lépj ebbe az új könyvtárba, és csomagold ki az archívumot a következő paranccsal:

  tar xyvf iptables-x.y.z.tar.bz2 tar xyvf patch-o-matic-x.tar.bz2

  Most lépj be az új iptables-x.y.z könyvtárba, és futtasd a következő parancsot:

  #Az iptables v1.2.7a-hoz: make KERNEL_DIR=/usr/src/kernel/linux #Az iptables v1.2.4-hez (ha a Patch-o-matic be van építve): make pending-patches KERNEL_DIR=/usr/src/kernel/linux

  Megj.: ez feltételezi, hogy a 2.4.x rendszermag-forrás az /usr/src/kernel/linux könyvtárban van.

  Megj. #2: Ha "/" jelet teszünk a parancssor végére, hibaüzenetet kapsz, mely szerint "make: *** /usr/src/kernel/linux/include/asm/socket.h] Error 1". Távolítsd el a lezáró "/" jelet, és próbálkozz újra.

  Itt egy példa az IPTABLES v1.2.7a fordításáról. A kimenet más lehet a Te gépeden, attól függően, milyen verziót használsz.

• # make KERNEL_DIR=/usr/src/kernel/linux Extensions found: cc -O2 -Wall -Wunused -I/usr/src/kernel/linux/include -Iinclude/ -DIPTABLES_VERSION=\"1.2.7a\" -fPIC -o extensions/libipt_ah_sh.o -c extensions/libipt_ah.c ld -shared -o extensions/libipt_ah.so extensions/libipt_ah_sh.o cc -O2 -Wall -Wunused -I/usr/src/kernel/linux/include -Iinclude/ -DIPTABLES_VERSION=\"1.2.7a\" -fPIC -o extensions/libipt_conntrack_sh.o -c extensions/libipt_conntrack.c ld -shared -o extensions/libipt_conntrack.so extensions/libipt_conntrack_sh.o cc -O2 -Wall -Wunused -I/usr/src/kernel/linux/include -Iinclude/ -DIPTABLES_VERSION=\"1.2.7a\" -fPIC -o extensions/libipt_dscp_sh.o -c extensions/libipt_dscp.c extensions/libipt_dscp_helper.c:69: warning: `dscp_to_name' defined but not used ld -shared -o extensions/libipt_dscp.so extensions/libipt_dscp_sh.o . . . cc -O2 -Wall -Wunused -I/usr/src/kernel/linux/include -Iinclude/ -DIPTABLES_VERSION=\"1.2.7a\" -c -o libipulog/libipulog.o libipulog/libipulog.c ar rv libipulog/libipulog.a libipulog/libipulog.o a - libipulog/libipulog.o rm libiptc/libip6tc.o libiptc/libip4tc.o libipulog/libipulog.o libipq/libipq.o

• OK, remélhetőleg az IPTABLES lefordult. Most telepítened kell. Ehhez használd a következő parancsot:

  make install KERNEL_DIR=/usr/src/kernel/linux

• Itt egy példa az IPTABLES v1.2.7a telepítéséről. A kimenet más lehet a Te gépeden, attól függően, milyen verziót használsz.

• # make install KERNEL_DIR=/usr/src/kernel/linux cp iptables /usr/local/sbin/iptables cp iptables-save /usr/local/sbin/iptables-save cp iptables-restore /usr/local/sbin/iptables-restore cp ip6tables /usr/local/sbin/ip6tables cp extensions/libipt_ah.so /usr/local/lib/iptables/libipt_ah.so cp extensions/libipt_conntrack.so /usr/local/lib/iptables/libipt_conntrack.so cp extensions/libipt_dscp.so /usr/local/lib/iptables/libipt_dscp.so cp extensions/libipt_ecn.so /usr/local/lib/iptables/libipt_ecn.so cp extensions/libipt_esp.so /usr/local/lib/iptables/libipt_esp.so cp extensions/libipt_helper.so /usr/local/lib/iptables/libipt_helper.so . . . cp extensions/libip6t_udp.so /usr/local/lib/iptables/libip6t_udp.so cp extensions/libip6t_LOG.so /usr/local/lib/iptables/libip6t_LOG.so cp extensions/libip6t_MARK.so /usr/local/lib/iptables/libip6t_MARK.so

A következőkben, ha a Patch-O-Matic foltkészletet akarod alkalmazni, lépj be a patch-o-matic-X könyvtárba (/usr/src/archive/netfilter/patch-o-matic-X) és futtasd a következő parancsot:

• #Az iptables v1.2.7a-nál későbbi Patch-O-Matic-hoz: KERNEL_DIR=/usr/src/kernel/linux ./runme pending

  MEGJ:#1: A "pending" használata a leggyakoribb az IPMASQ funkciókhoz, de van néhány más is. Lásd alább.

  MEGJ:#2: ez feltételezi, hogy a 2.4.x rendszermag-forrás az /usr/src/kernel/linux könyvtárban van.

  MEGJ:#3: Ha "/" jelet teszel a parancssor végére, hibaüzenetet kapsz, mely szerint "make: *** /usr/src/kernel/linux/include/asm/socket.h] Error 1". Távolítsd el a lezáró "/" jelet, és próbálkozz újra.

  Itt egy példa a Patch-O-Matic által megjelenített üzenetekről, amit a 2.4.20-as rendszermagnál a "20030107" Patch-O-Matic-készlettel kaphatsz. Futtathatod a "runme" programot is kötegelt módban a dolgok felgyorsítása érdekében, hozzáadhatsz kísérleti jellegű foltokat stb. A lehetőségek jobb megismeréséhez add ki a "./runme" parancsot önmagában. Jegyezd meg, hogy ezek a kimenetek VÁLTOZNAK az idők során.

• Welcome to Rusty's Patch-o-matic! Each patch is a new feature: many have minimal impact, some do not. Almost every one has bugs, so I don't recommend applying them all! ------------------------------------------------------- Already applied: submitted/01_2.4.19 submitted/02_2.4.20 submitted/ipt_ULOG-mac_len-fix submitted/ipt_multiport-invfix pending/01_ip_conntrack_proto_tcp-lockfix pending/02_newnat-udp-helper pending/03_REJECT-fwspotting-phrack60-fix pending/04_ftp-conntrack-msg-fix Testing... 05_ECN-tcpchecksum-littleendian-fix.patch NOT APPLIED (1 rejects out of 1 hunks) The pending/05_ECN-tcpchecksum-littleendian-fix patch: Author: Patrick McHardy Status: Pending for rendszermaginclusion The 2.4.20 rendszermagincluded the new iptables 'ECN' target, enabling a selective ECN disable mechanism. Unfortunately there was a bug in the incremental TCP checksum update, resulting in broken TCP checksums on little endian machines. This patch fixes the Bug. Testing patch pending/05_ECN-tcpchecksum-littleendian-fix.patch... Patch pending/05_ECN-tcpchecksum-littleendian-fix.patch applied cleanly. Applying patch pending/05_ECN-tcpchecksum-littleendian-fix.patch... Patch pending/05_ECN-tcpchecksum-littleendian-fix.patch applied cleanly. Excellent! Kernel is now ready for compilation.

• Ha minden rendben megy, akkor valami hasonló szöveget látsz majd a képernyő alján:

  Excellent! Kernel is now ready for compilation.'

  Ezen a ponton túl már nem kell semmit sem telepíteni. A következő lépés a FOLTOZOTT rendszermag fordítása lesz.

• Jó, a rendszermag kész a fordításhoz, de meg kell még bizonyosodnod, hogy a megfelelő iptables program is a gépeden van (csak a biztonság kedvéért). Futtasd a következő parancsot:

  • whereis iptables

  és győződj meg, hogy valóban telepítve van a gépen (az alapértelmezett hely a /usr/local/sbin/iptables. Ha nem találod ebben a könyvtárban, vagy más helyen, azt ajánlom, fordítsd újra a fentieknek megfelelően.

• Most, hogy a rendszermagot megfoltoztad, jöjjön a minimálisan szükséges beállítások sora, amelyek elengedhetetlenek az IPMASQ működéséhez. Vedd észre, hogy ez a leírás csak egy fajta utat mutat be a rendszermag fordítását illetően. A legfőbb eltérés e módszer és egy másik között az, hogy néhányan a dolgokat vagy modulként, VAGY statikusan a rendszermagba fordít. Alapvetően, a modulba való fordítás rugalmas megoldást ad arra, hogy mi van és mi nincs beleszőve a rendszermagba (csökkenti a feleslegesen felhasznált memória mennyiségét, és lehetővé teszi az azonnali bővítést [nem kell újraindítás]). Másrészről, a modulok bonyolultabbá teszi a beállítást, és néha a rendszermag automatikus modul-betöltője hibázhat (nem mintha én bármikor ezt tapasztaltam volna). A dolgok fixen a rendszermagba való fordítása egyszerűbb, DE elvesztjük a rugalmasságot. A következő a kettő kombinációja lesz (arra valószínűleg MINDIG szükséged lesz, hogy a MASQ funkciók működjenek).

  Széljegyzet: feltételezzük, hogy az egyéb eszközöket, mint például USB nyomtatók, hálózati eszközök, SCSI-vezérlők stb. szintén be fogjuk állítani. Lásd a Linux Kernel HOWTO (Linux rendszermag HOGYAN) valamint a rendszermag-forrás "README" fájlját és a "Documentation/" könyvtárát részletesebb infóért a rendszermag fordítást illetően.

A következő programban IGEN(Yes), NEM(No) vagy MODUL(Module) válaszokat kell adnod. Nem mindegyik opció áll rendelkezésre a megfelelő, előbb tárgyalt rendszermag-foltok alkalmazása nélkül. Lehet, hogy ez számodra nem is lényeges, mivel a legtöbb harmadik féltől származó foltozás csak a felhasználók egy csoportját érdekli.

Add ki a következő parancsokat a rendszermag beállításához:

• cd /usr/src/kernel/linux

• make menuconfig

Figyelem, a következő üzenetek a 2.4.20 rendszermag üzeneteit tükrözik (néhány választható Patch-O-Matic kiegészítéssel). Kérlek figyelmesen olvasd el az ajánlásokhoz:

[ Code maturity level options ] * Prompt for development and/or incomplete code/drivers (CONFIG_EXPERIMENTAL) [Y/n/?] - IGEN (Y): bár nem szükséges az IPMASQ-hoz, ez lehetővé teszi a MASQ-modulok elkészítését és a port-továbbítás lehetőségét. * Enable loadable module support (CONFIG_MODULES) [Y/n/?] - IGEN: megengedi a MASQ modulok betöltését. * Set version information on all module symbols (CONFIG_MODVERSIONS) [Y/n/?] - IGEN: lehetővé teszi az új rendszermagok a régebbi modulok betöltését, ha lehetséges. * Kernel module loader (CONFIG_KMOD) [Y/n/?] - VÁLASZTHATÓ: ajánlott: a rendszermag be tudja tölteni a különböző modulokat, amint szüksége van rájuk. == Átugorjuk a nem IPMASQ-specifikus fejezeteket. == (CPU-típus, memória, SMP, FPU-specifikus részek) [ General setup ] * Networking support (CONFIG_NET) [Y/n/?] - IGEN: engedélyezi a hálózati alrendszert. == Átugorjuk a nem IPMASQ-specifikus fejezeteket. == (különféle hardverek, PCI, rendszermagbinárisok, PCMCIA stb.) * Sysctl support (CONFIG_SYSCTL) [Y/n/?] - IGEN: engedélyezi olyan opciók be/kikapcsolását, mint a továbbítás, dinamikus IP-k stb. a /proc illesztőn keresztül. [ Block devices ] == Átugorjuk a nem IPMASQ-specifikus fejezeteket. == (kernel binárisok, energiagazdálkodás, PnP, RAID stb.) == Ne felejtsd el a szükséges hardverelemek beállítását: == IDE-vezérlők, HDD-k, CDROM stb. [ Networking options ] * Packet socket (CONFIG_PACKET) [Y/m/n/?] - IGEN: bár ez a lehetőség választható, mégis ajánlott, mert lehetővé teszi a TCPDUMP program használatát az IPMASQ hibakeresésekor. * Packet socket: mmapped IO (CONFIG_PACKET_MMAP) [N/y/?] y - IGEN: felgyorsítja a csomagprotokollt. * Kernel/User netlink socket (CONFIG_NETLINK) [Y/n/?] - VÁLASZTHATÓ: ajánlott: ez a lehetőség engedélyezi a tűzfal üzeneteinek naplózását, úgymint útválasztási üzenetek stb. * Routing messages (CONFIG_RTNETLINK) [N/y/?] (NEW) y - VÁLASZTHATÓ: engedélyezi a haladó szintű rendszermag útválasztási üzeneteket, ha engedélyezted a CONFIG_NETLINK opciót az előbb. * Netlink device emulation (CONFIG_NETLINK_DEV) [N/y/m/?] (NEW) - NEM: ez az opció semmilyen szerepet nem játszik a csomagszűrő tűzfal naplózásában. * Network packet filtering (replaces ipchains) (CONFIG_NETFILTER) [N/y/?] y - IGEN: ez az opció teszi lehetővé az IPTABLES számára a TCP/IP alrendszer beállítását. Ennek bejelölésével a haladó szintű útválasztási mechanizmusokat is, mint az IPMASQ, csomagszűrés stb., ki tudod választani. * Network packet filtering debugging (CONFIG_NETFILTER_DEBUG) [N/y/?] (NEW) n - NEM: nem szükséges az IPMASQ működéséhez, bár segíthet a hibakeresésben. Ellenben teljesítményromlást okoz, ha bekapcsoljuk. * Socket Filtering (CONFIG_FILTER) [Y/n/?] - VÁLASZTHATÓ: ajánlott: bár nincs köze az IPMASQ-hoz, ha tervezed egy DHCP- kiszolgáló beállítását a belső hálózatra, akkor be KELL jelölnöd ezt a lehetőséget. * Unix domain sockets (CONFIG_UNIX) [Y/m/n/?] - IGEN: engedélyezi a UNIX TCP/IP socketek használatát. * TCP/IP networking (CONFIG_INET) [Y/n/?] - IGEN: engedélyezi a TCP/IP protokollt. * IP: multicasting (CONFIG_IP_MULTICAST) [N/y/?] - VÁLASZTHATÓ: engedélyezheted, ha szeretnéd multicast forgalmat fogadni. Jegyezd meg, hogy a szolgáltatódnak támogatni kell a multicastot ahhoz, hogy az egész működjön. * IP: advanced router (CONFIG_IP_ADVANCED_ROUTER) [Y/n/?] - VÁLASZTHATÓ: bár ebben a fejezetben semmi elengedhetetlen nincs az IPMASQ-hoz, néhány specifikus lehetőség hasznos lehet. == Átugorjuk a nem IPMASQ-specifikus fejezeteket. == ( autoconf, tunneling ) * IP: multicast routing (CONFIG_IP_MROUTE) [N/y/?] n - VÁLASZTHATÓ: bár nem szükséges az IPMASQ-hoz, ennek engedélyezésével multicast forgalmat tudsz átengedni a Linux-gépeden. Ehhez a multicastnak a szolgáltatódnál is engedélyezve kell lennie. == Átugorjuk a nem IPMASQ-specifikus fejezeteket == (ARPd) * IP: TCP Explicit Congestion Notification support (CONFIG_INET_ECN) [N/y/?] n - NEM: bár ez egy nagyszerű lehetőség lehetne, sok internetes helyen nem engedik, blokkolják. Nyomd le a "?" billentyűt a konfigurálás közben, ha többet szeretnéd róla megtudni, de most ajánlatos inkább N-t válaszolni a kérdésre. * IP: TCP syncookie support (disabled per default) (CONFIG_SYN_COOKIES) [Y/n/?] - IGEN: ajánlott: az alapvető TCP/IP hálózati biztonságért. [ Networking options --> IP: Netfilter Configuration ] * Connection tracking (required for masq/NAT) (CONFIG_IP_NF_CONNTRACK) [N/y/m/?] (NEW) m - IGEN: (Modul) lehetővé teszi különböző hálózati kapcsolatok nyomon követését. Ez a lehetőség szükséges az maszkoláshoz ugyanúgy, ahogy a Stateful tracking opció a különböző tűzfal-mechanizmusokhoz. Jegyezd meg, ha ezt közvetlenül a rendszermagba fordítod, akkor nem tudod használni az örökölt IPCHAINS vagy IPFWADM kompatibilitási modulokat. * FTP protocol support (CONFIG_IP_NF_FTP) [M/n/?] (NEW) m - IGEN: (Modul) ez teszi lehetővé a megfelelő FTP-maszkolási lehetőségeket, ha a CONFIG_IP_NF_CONNTRACK-et engedélyeztük az előbb. * IRC protocol support (CONFIG_IP_NF_IRC) [M/n/?] (NEW) m - IGEN: (Modul) ez teszi lehetővé a megfelelő IRC-maszkolási lehetőségeket, ha a CONFIG_IP_NF_CONNTRACK-et engedélyezted az előbb. * Userspace queueing via NETLINK (EXPERIMENTAL) (CONFIG_IP_NF_QUEUE) [N/y/m/?] (NEW) m - VÁLASZTHATÓ: bár választható, ezzel a lehetőséggel az IPTABLES képes lesz bizonyos csomagok felhasználói szintre való másolására, további ellenőrzés céljából. * IP tables support (required for filtering/masq/NAT) (CONFIG_IP_NF_IPTABLES) [N/y/m/?] (NEW) m - IGEN: (Modul) engedélyezi az IPTABLES lehetőségét * limit match support (CONFIG_IP_NF_MATCH_LIMIT) [N/y/m/?] (NEW) y - VÁLASZTHATÓ:(Modul) ajánlott: bár nem szükséges, de felhasználhatod arra, hogy az ú.n. rate limiting segítségével mind a forgalom, mind a naplózó bejegyzések számát korlátozhatod a Denial of Service (DoS) jellegű támadások lassítására. * MAC address match support (CONFIG_IP_NF_MATCH_MAC) [N/y/m/?] (NEW) m - VÁLASZTHATÓ: bár nem elengedhetetlen, a segítségével szűrni tudod a forgalmat a FORRÁSOLDALI Ethernet MAC-címek alapján. * netfilter MARK match support (CONFIG_IP_NF_MATCH_MARK) [N/y/m/?] (NEW) y - IGEN:(Modul) ajánlott: ez teszi lehetővé az IPTABLES akcióba lépését megjelölt csomagok esetén. Ezzel a mechanizmussal érheted el a port-továbbítást, a TOS mező szerinti megjelölést stb. * Multiple port match support (CONFIG_IP_NF_MATCH_MULTIPORT) [N/y/m/?] (NEW) y - IGEN:(Modul) ajánlott: ez teszi lehetővé több forrás/cél port-tartomány elfogadását (amelyek nem folytonosak) ahelyett, hogy egyetlen port-tartományt fogadjon el az IPTABLES állításonként. * TOS match support (CONFIG_IP_NF_MATCH_TOS) [Y/m/n/?] n - VÁLASZTHATÓ: ezzel tudja az IPTABLES kiszűrni azokat a csomagokat, amelyeket az ú.n. DIFFSERV beállítások alapján kell kezelni. * LENGTH match support (CONFIG_IP_NF_MATCH_LENGTH) [N/m/?] (NEW) n - VÁLASZTHATÓ: ezzel tudja az IPTABLES kiszűrni azokat a csomagokat, amelyekkel a méretük alapján kell foglalkozni. * TTL match support (CONFIG_IP_NF_MATCH_TTL) [N/m/?] (NEW) ? n - VÁLASZTHATÓ: ezzel tudja az IPTABLES kiszűrni azokat a csomagokat, amelyekkel a a TTL-beállításaik alapján kell foglalkozni. * tcpmss match support (CONFIG_IP_NF_MATCH_TCPMSS) [N/y/m/?] m - VÁLASZTHATÓ: (Modul) ajánlott: ezzel tudják a felhasználók megvizsgálni az ú.n. MSS-értéket a TCP SYN csomagoknál. Ez haladó szintű beállítás, de nagyon jól jöhet MTU-problémák kiderítésénél. * Connection state match support (CONFIG_IP_NF_MATCH_STATE) [M/n/?] m - IGEN: (Modul) ajánlott: ez engedélyezi a hálózati kapcsolatok állapot- nyomkövetését. * Unclean match support (EXPERIMENTAL) (CONFIG_IP_NF_MATCH_UNCLEAN) [N/y/m/?] y - IGEN: (Modul) ajánlott: ez teszi lehetővé a furcsa csomagok állapot- nyomkövetését. A lehetséges rosszindulatú csomagok felderítésében is segít. A "rossz fiúk" nyomon követésében jöhet jól. * Owner match support (EXPERIMENTAL) (CONFIG_IP_NF_MATCH_OWNER) [N/y/m/?] n - VÁLASZTHATÓ: ezzel az opcióval az IPTABLES képes lesz a forgalom belépésen, csoporttagságon stb. alapuló szűrésére, vagyis, hogy ki generálta a forgalmat. * Packet filtering (CONFIG_IP_NF_FILTER) [N/y/m/?] ? y - IGEN: (Modul) ez teszi lehetővé a rendszermag forgalomszűrését az INPUT, az OUTPUT és a FORWARD pontoknál. * REJECT target support (CONFIG_IP_NF_TARGET_REJECT) [N/y/m/?] (NEW) y - IGEN: (Modul) ezzel a lehetőséggel élve a tűzfal ICMP Reject üzenetet tud visszaküldeni a feladónak, ha a csomagját blokkoltuk. * MIRROR target support (EXPERIMENTAL) (CONFIG_IP_NF_TARGET_MIRROR) [N/y/m/?] (NEW) n - VÁLASZTHATÓ: ezzel a csomagszűrő tűzfal tükrözni tudja ugyanazt a csomagot a feladó címére, amelyet küldött, ha blokkolásra kerülne. Ez hasonló a REJECT opcióhoz, de ez egy az egyben vissza is küldi a csomagot. Emiatt a rosszindulatú felhasználó például önmagát pásztázza (portscan). * Full NAT (CONFIG_IP_NF_NAT) [M/n/?] m - IGEN: (Modul) ez az opció nyitja ki a további menüpontokat az maszkolás, port-továbbítás, teljes (1:1) NAT stb. témaköréhez. * MASQUERADE target support (CONFIG_IP_NF_TARGET_MASQUERADE) [M/n/?] (NEW) m - IGEN: (Modul) ez az opció kifejezetten engedélyezi az maszkolást a rendszermagban. * REDIRECT target support (CONFIG_IP_NF_TARGET_REDIRECT) [N/y/m/?] n - VÁLASZTHATÓ: nem szükséges a normál MASQ-hoz, bár akik átlátszó proxyzást szeretnének a Squid segítségével, bejelölhetik. * Basic SNMP-ALG support (EXPERIMENTAL) (CONFIG_IP_NF_NAT_SNMP_BASIC) [N/m/?] n - VÁLASZTHATÓ: ez teszi lehetővé az IPTABLES számára a belső SNMP csomagok megfelelő NAT-olását, így azokat a gépeket, amelyek többszörös címtartománnyal rendelkeznek, szintén jól kezeli. * Packet mangling (CONFIG_IP_NF_MANGLE) [N/y/m/?] y - IGEN: (Modul) ezzel lehet a haladó szintű IPTABLES csomagkezelési opciókat bekapcsolni. * TOS target support (CONFIG_IP_NF_TARGET_TOS) [N/y/m/?] (NEW) n - VÁLASZTHATÓ: engedi a TOS-mező módosítását a csomagon belül, mielőtt útválasztásra kerülne. * MARK target support (CONFIG_IP_NF_TARGET_MARK) [N/y/m/?] (NEW) m - VÁLASZTHATÓ: (Modul) ajánlott: ezzel tudja a rendszermag az olyan csomagokat manipulálni, amelyek a MARK mezővel rendelkeznek. Ezt a port- továbbításhoz és más dolgokhoz tudod felhasználni. * LOG target support (CONFIG_IP_NF_TARGET_LOG) [N/y/m/?] m - IGEN: (Modul) ezzel tudod a csomagokat naplózni, mielőtt elfogadd, eldobjuk, visszautasítjuk stb. * TCPMSS target support (CONFIG_IP_NF_TARGET_TCPMSS) [N/y/m/?] ? m - IGEN: (Modul) ez segít néhány helyen az MTU-problémák felderítésében. Tipikusan 1500-ra állítja a legtöbb felhasználó az internet kapcsolata MTU-értékét ugyanúgy, mint az ÖSSZES belső gépénél. Ezzel az opcióval az egész MTU-téma végleg megoldható. * ipchains (2.2-style) support (CONFIG_IP_NF_COMPAT_IPCHAINS) [N/y/m/?] m - VÁLASZTHATÓ: (Modul) ajánlott: ha van meglévő IPCHAINS (2.2.x rendszermag) tűzfal-szabályrendszered, tovább használhatod ezeket az IPCHAINS programmal, kivéve a 2.2.x-specifikus modulokat. Vedd figyelembe, ha ez az IPCHAINS modul be van töltve, MINDEN iptables modul elveszti a működőképességét. Ez tehát csak az örökölt szabályok megtartásához szükséges. * ipfwadm (2.0-style) support (CONFIG_IP_NF_COMPAT_IPFWADM) [N/y/m/?] n - VÁLASZTHATÓ: ha van meglévő régebbi IPFWADM (2.0.x rendszermagbeli) tűzfal-szabályrendszered, tovább használhatod ezeket az IPFWADM programmal, kivéve a 2.0.x-specifikus modulokat. Vedd figyelembe, ha ez az IPFWADM modul be van töltve, MINDEN iptables modul elveszti a működőképességét. Ez tehát csak az örökölt szabályok megtartásához szükséges. == Átugorjuk a nem MASQ-specifikus fejezeteket == (IPv6, khttpd, ATM, IPX, AppleTalk stb.) -- * Fast switching (read help!) (CONFIG_NET_FASTROUTE) [N/y/?] n - NEM: ez a teljesítménynövelő opció NEM kompatibilis az IPMASQ-kal, sem a csomagszűréssel. == Átugorjuk a nem MASQ-specifikus fejezeteket. == (QoS, Telephony, IDE, SCSI, 1394FW, I2O stb.) == Ne felejtsd el befordítani a hardveredhez szükséges fejezeteket: == IDE: HDD, CDROM stb. == SCSI: HDD, CDROM stb. [ Network device support ] * Network device support (CONFIG_NETDEVICES) [Y/n/?] - IGEN: engedélyezi a Linux hálózati alrendszert. == Átugorjuk a nem MASQ specifikus fejezeteket. == (Arcnet) * Dummy net driver support (CONFIG_DUMMY) [M/n/y/?] - IGEN: bár választható, ez segíthet a hibakeresési problémáknál. == Átugorjuk a nem MASQ specifikus fejezeteket == (EQL stb.) == Ne felejtsd el befordítani a hardveredhez szükséges fejezeteket: == NIC: eth, tr stb. == MODEM: ppp (ppp async) illetve slip == WAN: T1, T3, ISDN stb. == ISDN: a belső ISDN modemekhez == Átugorjuk a nem MASQ specifikus fejezeteket. == (Amateur Radio, IrDA, ISDN, USB stb.) [ Character devices ] == Ne felejts el soros port támogatást befordítani, ha modemed van. == Ne felejts el egértámogatást befordítani. == Átugorjuk a nem MASQ specifikus fejezeteket. == (I2C, Watchdog kártyák, Ftape, Video for Linux stb. ) [ File systems ] == Átugorjuk a nem MASQ specifikus fejezeteket. == (Quota, ISO9660, NTFS stb. ) * /proc filesystem support (CONFIG_PROC_FS) [Y/n/?] - IGEN: szükséges a Linux továbbítási és NAT rendszerének dinamikus konfigurálásához. == Átugorjuk a nem MASQ specifikus fejezeteket. == (Console drivers, Sound, USB, Kernel Hacking)

Mindezek után válaszd az "exit"-et. Ezután felszólítást kapsz a beállításaid mentésére.

Megj.: ezek csak azok a komponensek, amikre az IP-maszkoláshoz szükséged lesz. Ezen kívül azokat az opciókat is ki kell választanod, amelyek a saját egyedi beállításaidhoz kellenek. Ha több infót szeretnéd arról, mit csinálnak ezek a rendszermag-modulok, lásd a 7 fejezetben.

• Most fordítsd le a rendszermagot (make dep; make clean; make bzImage; make modules; make modules_install). Ismét csak, ha valami problémánk van ezzel, az már nem ennek a leírásnak a témája. Lásd itt 2.6 az URL-eket a KERNEL-HOWTO (Linux rendszermag HOGYAN) és egyebekhez.

• Ezek után be kell másolnod a helyére a rendszermag bináris fájlját, frissíteni a betöltésvezérlőt (LILO, Grub stb.), majd újraindítani a gépet. Ha kérdésed van a rendszermag fordításról, melegen ajánlom a fentebb felsorolt URL-ek megtekintését.

3.2.2. 2.2.x Linux rendszermag fordítása

Lásd a 2.7 fejezetet a különböző szükséges programok, foltok stb. listájáért.

• Először is szükséged lesz a 2.2.x rendszermag forrására (lehetőleg a legfrissebb verzióra).

  • Megj. #1: --- FRISSÍTSD A RENDSZERMAGOT --- Azok a Linux 2.2.x rendszermagok, amelyek verziószáma kisebb 2.2.20-nál, több különböző biztonsági rést tartalmaznak (néhány az IPMASQ-kal kapcsolatos). Néhány 2.2.20-nál régebbi rendszermaghelyileg sebezhető. A 2.2.16-nál régebbiek TCP root exploittal sebezhetők, és a 2.2.11-nél régebbiekben IPCHAINS fregmentációs hiba van. Mindezek miatt azok a felhasználók, akik erős IPCHAINS szabálysorral rendelkeznek, védtelenek a lehetséges behatolások ellen. Ezért frissítsd a rendszermagot egy javított verzióra.

  • Megj.#2: Ahogy a 2.2.x rendszermag-fa és az IPCHAINS program fejlesztése halad, egyes opciók változhatnak. Ez a leírás a 2.2.20-as beállításait tárgyalja.

    Ha ennél újabb verziód van, a párbeszédek mások lehetnek. Ajánlott, hogy a legfrissebb verziót használd a hozzáadott új képességek, a teljesítményt és a stabilitást növelő dolgok miatt.

• Ha ez az első alkalom, hogy rendszermagot fordítasz, ne ijedj meg. Valójában ez meglehetősen egyszerű, és több helyen is tárgyalják, néhány közülük: 2.7 . Jegyezd meg, hogy az itt található információk csak egy lehetséges utat mutatnak a rendszermag fordítására. Lásd a Linux Kernel HOWTO (Linux rendszermag HOGYAN) dokumentumot a teljes leírásért.

  FIGYELEM: Jegyezd meg, hogy nem ajánlott az új rendszermag forrását az /usr/src/linux könyvtárba helyezni. Tartsd meg az eredeti, a disztribúcióval szállított forrást ebben a könyvtárban. Több részletért e témában olvasd el a rendszermag könyvtárában található README fájlt.

• Ehhez a példához hozd létre a /usr/src/kernel könyvtárat. Ezek után lépj bele, és másold ide a legújabb 2.2.x-es rendszermag-forrást. Miután ez sikerült, add ki a következő parancsot (ha a letöltött fájl .tar.gz-re végződik): tar xvzf linux-2.2.x.tar.gz vagy (ha a fájl .tar.bzip2-re végződik): tar xyvf linux-2.2.x.tar.bz2. Helyettesítsd az x helyére a letöltött fájl verziószámát.

  Megj.: Néhány Linux disztribúció az "I" kapcsolót használja az "y" helyett a bzip2 archívumok kicsomagolására.

  Miután kicsomagoltad, az egyértelműség kedvéért ajánlott a létrejött "linux" könyvtárat "linux-2.2.x"-re átnevezni. Ehhez add ki a mv linux linux-2.2.x parancsot. Majd győződj meg, hogy van egy /usr/src/kernel/linux nevű szimbolikus hivatkozás, amely erre a könyvtárra mutat. Futtasd le a következőt: ln -s /usr/src/kernel/linux-2.2.x /usr/src/kernel/linux, ahol az x megint csak a megfelelő verziószám.

• Alkalmazd a szükséges, illetve választható foltozást. Alapértelmezésben a "gyári" Linux rendszermagok nem igényelnek foltokat ahhoz, hogy működjenek. Az olyan szolgáltatások, mint a PPTP/IPSEC maszkolás már beépítve található az új rendszermagokban, de más eszközök, mint pl. az X Window-továbbítók választhatóak. Lásd a 2.7 helyet URL-ekért és a IP Masquerade Resources helyet naprakész infóért és a foltok lelőhelyeiért.

• Most, hogy a rendszermagot megfoltoztad, jöjjön a minimálisan szükséges beállítási opciók sora, ami elengedhetetlen az IPMASQ működéséhez. Vedd észre, hogy ez a leírás csak egy fajta utat mutat be a rendszermag fordítását illetően. A legfőbb eltérés e módszer és egy másik között az, hogy néhányan a dolgokat vagy modulként, VAGY statikusan a rendszermagba fordítják. Alapvetően, a modulba való fordítás rugalmas megoldást ad arra, hogy mi van és mi nincs beleszőve a rendszermagba (csökkenti a fel nem használt memória mennyiségét, és lehetővé teszi az azonnali bővítést [nem kell újraindítás]), DE bonyolultabbá teszi a beállítást. Másrészről, a dolgoknak fixen a rendszermagba való fordítása egyszerűbb, DE elvesztjük a rugalmasságot. A következő a kettő kombinációja lesz.

  Széljegyzet: feltételezzük, hogy az egyéb eszközeinket, mint például hálózati eszközök, SCSI-vezérlők stb. szintén be fogjuk állítani. Lásd a Linux Kernel HOWTO (Linux rendszermag HOGYAN), valamint a rendszermag-forrás README fájlját és a Documentation/ könyvtárát részletesebb infóért a rendszermag fordítást illetően.

Figyeld meg az IGEN vagy NEM válaszokat a következőkben. Nem mindegyik opció áll rendelkezésre a megfelelő, előbb tárgyalt rendszermag-foltok alkalmazása nélkül.

Add ki a következő parancsokat a rendszermag beállításához:

• cd /usr/src/kernel/linux

• make menuconfig

A következő üzeneteket a 2.2.20-as rendszermagnál találjuk meg:

[ Code maturity level options ] * Prompt for development and/or incomplete code/drivers (CONFIG_EXPERIMENTAL) [Y/n/?] - IGEN (Y): bár nem szükséges az IPMASQ-hoz, ez lehetővé teszi a MASQ modulok elkészítését és a port-továbbítás lehetőségét. == Átugorjuk a nem MASQ-specifikus fejezeteket. == (CPU, memory, MTRR, SMP stb.) [ Loadable module support ] * Enable loadable module support (CONFIG_MODULES) [Y/n/?] y - IGEN: megengedi a MASQ-modulok betöltését. * Set version information on all symbols for modules (CONFIG_MODVERSIONS) [N/y/?] y - IGEN: lehetővé teszi az új rendszermagok a régebbi modulok betöltését, ha lehetséges. * Kernel module loader (CONFIG_KMOD) [Y/n/?] y - VÁLASZTHATÓ: ajánlott: a rendszermag be tudja tölteni a különböző modulokat, amint szüksége van rájuk. [ General setup ] * Networking support (CONFIG_NET) [Y/n/?] - IGEN: engedélyezi a hálózati alrendszert. == Átugorjuk a nem MASQ-specifikus fejezeteket. == (PCI, rendszermagbinárisok, specifikus hardver opciók stb.) * Sysctl support (CONFIG_SYSCTL) [Y/n/?] - IGEN: engedélyezi olyan opciók be/kikapcsolását, mint a továbbítás, dinamikus IP-k stb. a /proc illesztőn keresztül. [ Block devices ] == Átugorjuk a nem IPMASQ-specifikus fejezeteket. == (kernel binárisok, energiagazdálkodás, PnP, RAID stb.) == Ne felejtsd el a szükséges hardverelemek beállítását: == IDE vezérlők, HDD-k, CDROM stb. [ Networking options ] * Packet socket (CONFIG_PACKET) [Y/m/n/?] y - IGEN: bár ez a lehetőség választható, mégis ajánlott, mert lehetővé teszi a TCPDUMP program használatát az IPMASQ hibakeresésekor. * Kernel/User netlink socket (CONFIG_NETLINK) [Y/n/?] y - VÁLASZTHATÓ: ajánlott: ez a lehetőség engedélyezi a tűzfal üzeneteinek naplózását, úgymint útválasztási üzenetek stb. * Routing messages (CONFIG_RTNETLINK) [Y/n/?] y - VÁLASZTHATÓ: ha engedélyezted a CONFIG_NETLINK opciót az előbb, akkor lehetővé válik az útválasztási és egyéb üzenetek naplózása a SYSLOG-on keresztül. * Netlink device emulation (CONFIG_NETLINK_DEV) [N/y/m/?] (NEW) n - NEM: ez az opció semmilyen szerepet nem játszik a csomagszűrő tűzfal naplózásban. * Network firewalls (CONFIG_FIREWALL) [Y/n/?] y - IGEN: engedélyezi a rendszermag beállítását az IPCHAINS tűzfal-program segítségével. * Socket Filtering (CONFIG_FILTER) [Y/n/?] y - VÁLASZTHATÓ: ajánlott: bár nincs köze az IPMASQ-hoz, ha tervezed egy DHCP- kiszolgáló beállítását a belső hálózatra, akkor be KELL jelölnöd ezt a lehetőséget. * Unix domain sockets (CONFIG_UNIX) [Y/m/n/?] y - IGEN: engedélyezi a UNIX TCP/IP socketek használatát. * TCP/IP networking (CONFIG_INET) [Y/n/?] y - IGEN: engedélyezi a TCP/IP protokollt. * IP: multicasting (CONFIG_IP_MULTICAST) [N/y/?] y - VÁLASZTHATÓ: engedélyezheted, ha szeretnél multicast forgalmat fogadni. Jegyezd meg, hogy a szolgáltatódnak támogatni kell a multi- castot ahhoz, hogy az egész működjön. * IP: advanced router (CONFIG_IP_ADVANCED_ROUTER) [Y/n/?] n - VÁLASZTHATÓ: bár ebben a fejezetben semmi elengedhetetlen nincs az IPMASQ-hoz, néhány specifikus lehetőség hasznos lehet. * IP: rendszermaglevel autoconfiguration (CONFIG_IP_PNP) [N/y/?] ? - NEM: nem kell a normál MASQ működtetéséhez. * IP: firewalling (CONFIG_IP_FIREWALL) [Y/n/?] y - IGEN: ez engedélyezi a rendszermagban a csomagszűrést, a NAT-ot stb. * IP: firewall packet netlink device (CONFIG_IP_FIREWALL_NETLINK) [Y/n/?] n - VÁLASZTHATÓ: bár csak választható, de ezzel az IPCHAINS képes csomagok másolására a felhasználói szinten futó programok számára, további ellenőrzés céljából. * IP: transparent proxy support (CONFIG_IP_TRANSPARENT_PROXY) [N/y/?] n - VÁLASZTHATÓ: nem kell a normál MASQ működéshez, bár akik szeretnének átlátszó proxyzást a Squid segítségével, bejelölhetik. Megjegyzendő, hogy TELJESÍTMÉNYCSÖKKENÉST okoz. * IP: masquerading (CONFIG_IP_MASQUERADE) [Y/n/?] y - IGEN: engedélyezi az IP-maszkoláshoz a specifikus címátírást (belsőről a külsőre) a TCP/IP-csomagoknál. * IP: ICMP masquerading (CONFIG_IP_MASQUERADE_ICMP) [Y/n/?] y - IGEN: engedélyezi az ICMP-csomagok maszkolását (az ICMP-hibaüzenetek erre való tekintet nélkül maszkolásra kerülnek). Ez a hibaelhárítás miatt fontos beállítás. * IP: masquerading special modules support (CONFIG_IP_MASQUERADE_MOD) [Y/n/?] y - IGEN: bár csak választható, ezzel engedélyezhető később a PORTFW-hez hasonló modulok működése, hogy a külső gépek közvetlenül kapcsolatba kerülhessenek belső, maszkolott gépekkel. * IP: ipautofw masq support (EXPERIMENTAL) (CONFIG_IP_MASQUERADE_IPAUTOFW) [N/y/m/?] n - NEM: NEM ajánlott: az IPautofw egy régebbi módszer a port-továbbításra. Régi a kódja, és sok vele a probléma. * IP: ipportfw masq support (EXPERIMENTAL) (CONFIG_IP_MASQUERADE_IPPORTFW) [Y/m/n/?] y - VÁLASZTHATÓ: ajánlott: ez engedélyezi a port-továbbítást, ami a külső gépek számára lehetővé teszi a belső, MASQ-olt gépekkel való kapcsolattartást. Ezt a lehetőséget tipikusan a belső SMTP, TELNET és WWW-kiszolgálókhoz való hozzáférésre használhatod. Jegyezd meg, hogy az FTP port-továbbításhoz kiegészítő folt szükséges, amint azt a GYIK-fejezetben leírtuk. Ott találsz bővebb infót. * IP: ip fwmark masq-forwarding support (EXPERIMENTAL) (CONFIG_IP_MASQUERADE_MFW) [Y/m/n/?] y - VÁLASZTHATÓ: ez egy ÚJ módszer a port-továbbításhoz hasonló szerepre, ami hasonlít arra, ahogy a 2.4.x-es rendszermagok csinálják ezt. Ezzel az IPCHAINS képes megjelölni csomagokat, ami alapján további dolgokat lehet velük csinálni. Felhasználói szinten futó programokkal, mint az IPMASQADM vagy IPPORTFW, az IPCHAINS aztán át tudja őket címezni, megváltoztatni a TOS-mezőt stb. Jelenleg ezt a kódot még nem tesztelték annyira, mint a PORTFW-ot, de megbízhatónak tűnik. Jelen pillanatban ez a HOGYAN még az IPMASQADM ill. az IPPORTFW használatát tanácsolja. Ha van ezzel kapcsolatos észrevételed, küldj e-mailt. * IP: optimize as a router not host (CONFIG_IP_ROUTER) [Y/n/?] y - IGEN: ez optimalizálja a rendszermagot a hálózati alrendszer számára, bár nem ismeretes, hogy jelentős teljesítménybeli eltérést eredményez-e vagy sem. == Átugorjuk a nem MASQ-specifikus fejezeteket. == ( autoconf, tunneling, GRE ) * IP: multicast routing (CONFIG_IP_MROUTE) [N/y/?] n - VÁLASZTHATÓ: bár nem kell az IPMASQ-hoz, ennek engedélyezésével képes lesz a Linux a multicast forgalom átengedésére. Jegyezd meg, hogy a szolgáltatódnak is támogatnia kell ezt. == Átugorjuk a nem MASQ-specifikus fejezeteket. == (Aliasing, ARPd) * IP: TCP syncookie support (disabled per default) (CONFIG_SYN_COOKIES) [Y/n/?] - IGEN: ajánlott: az alapvető TCP/IP hálózati biztonságért. * IP: GRE tunnels over IP (CONFIG_NET_IPGRE) [N/y/m/?] - NEM: ez a VÁLASZTHATÓ kapcsoló engedélyezi a PPTP- és GRE-csatornák működését a MASQ-gépen keresztül. == Átugorjuk a nem IPMASQ-specifikus fejezeteket. == (aliasing, ARPd) == (RARP) * IP: Allow large windows (not recommended if <16Mb of memory) * (CONFIG_SKB_LARGE) [Y/n/?] - IGEN: ajánlott a Linux TCP-ablakának optimalizálásához. == Átugorjuk a nem IPMASQ-specifikus fejezeteket. == (IPv6, IPX, WAN router stb.) * Fast switching (read help!) (CONFIG_NET_FASTROUTE) [N/y/?] n - NEM: ez a teljesítménynövelő opció NEM kompatibilis az IPMASQ-kal, sem a csomagszűréssel. == Átugorjuk a nem IPMASQ-specifikus fejezeteket. == (Slow CPU, Telephony, SCSI, I2O stb. ) == Ne felejtsd el befordítani a hardveredhez szükséges fejezeteket: == SCSI: HDD, CDROM stb. [ Network device support ] * Network device support (CONFIG_NETDEVICES) [Y/n/?] - IGEN: engedélyezi a Linux hálózati alrendszerét. == Átugorjuk a nem MASQ specifikus fejezeteket. == (Arcnet) * Dummy net driver support (CONFIG_DUMMY) [M/n/y/?] - IGEN: bár választható, ez segíthet a hibakeresési problémáknál. == Átugorjuk a nem MASQ specifikus fejezeteket. == (EQL, NICs, Wireless, IrDA, ISDN stb.) == Ne felejtsd el befordítani a hardveredhez szükséges fejezeteket: == NIC: eth, tr stb. == MODEM: ppp (ppp async) illetve slip == WAN: T1, T3, ISDN stb. == ISDN: a belső ISDN modemekhez [ Character devices ] == Ne felejts el soros porti támogatást fordítani, ha modemed van. == Ne felejts el egértámogatást befordítani. == Átugorjuk a nem MASQ specifikus fejezeteket. == (I2C, Watchdog kártyák, Ftape, Video for Linux, USB stb. ) [ File systems ] == Átugorjuk a nem MASQ-specifikus fejezeteket. == (Quota, ISO9660, NTFS stb. ) * /proc filesystem support (CONFIG_PROC_FS) [Y/n/?] - IGEN: szükséges a Linux továbbítási és NAT-rendszerének dinamikus konfigurálásához. == Átugorjuk a nem MASQ-specifikus fejezeteket. == (network fs, NLS, video szekció, sound, rendszermaghacking)

Mindezek után válaszd az "exit"-et. Ezután felszólítást kapsz a beállítások mentésére.

Megj.: ezek csak azok a komponensek, amelyekre az IP-maszkoláshoz szükséged lesz. Ezen kívül azokat az opciókat is ki kell választanod, amelyek a saját egyedi beállításainkhoz kellenek.

• Most fordítsd a rendszermagot (make dep; make clean; make bzImage; make modules; make modules_install). Ismét csak, ha valami problémánk van ezzel, az már nem ennek a leírásnak a témája. Lásd a 2.7 fejezetben az URL-eket a KERNEL-HOWTO (Linux rendszermag HOGYAN) dokumentumhoz és egyebekhez.

• Ezek után be kell másolnod a helyére a rendszermag bináris fájlját, frissíteni a betöltésvezérlődet (LILO, Grub stb.), majd újraindítani a gépet. Ha kérdésed van a rendszermag fordításról, lásd a fenti URL-eket.

3.2.3. 2.0.x Linux rendszermag fordítása

Lásd a 2.8 fejezetet a szükséges programok, foltok stb. tekintetében.

• Először is szükség lesz a 2.0.x rendszermag forrására (lehetőleg a legfrissebb verzióra)

  • Amint a 2.0.x rendszermag-fa fejlődik, a fordítás közbeni opciók változhatnak. Az itt tárgyalt beállítások a 2.0.39 beállításaira vonatkoznak.

• Ha ez az első alkalom, hogy rendszermagot fordítasz, ne ijedj meg. Valójában ez meglehetősen egyszerű, és több helyen is tárgyalják, néhány közülük: 2.8 . Jegyezd meg, hogy az itt található információk csak egy lehetséges utat mutatnak a rendszermag fordítására. Lásd a Linux Kernel HOWTO (Linux rendszermag HOGYAN) dokumentumot a teljes leírásért.

  FIGYELEM: Jegyezd meg, hogy nem ajánlott az új rendszermag forrását az /usr/src/linux könyvtárba elhelyezni. Tartsd meg az eredeti, a disztribúcióval szállított forrást ebben a könyvtárban. Több részletért e témában olvasd el a rendszermag könyvtárában található README fájlt.

• Ehhez a példához hozd létre a /usr/src/kernel könyvtárat. Ezek után lépj bele, és töltsd le ide a legújabb 2.0.x-es rendszermag-forrást. Miután ez sikerült, add ki a következő parancsot (ha a letöltött fájl .tar.gz-re végződik): tar xvzf linux-2.0.x.tar.gz vagy (ha a fájl .tar.bzip2-re végződik): tar xyvf linux-2.0.x.tar.bz2. Helyettesítsd be az x helyére a letöltött fájl verziószámát.

  Miután kicsomagoltad, az egyértelműség kedvéért ajánlott a létrejött "linux" könyvtárat "linux-2.0.x"-re átnevezni. Ehhez add ki a mv linux linux-2.2.x parancsot. Majd győződj meg, hogy van egy /usr/src/kernel/linux nevű szimbolikus link, amely erre a könyvtárra mutat. Futtasd a következőt: ln -s /usr/src/kernel/linux-2.2.x /usr/src/kernel/linux, ahol az x megint csak a megfelelő verziószám.

• Alkalmazd a szükséges vagy opcionális foltokat a rendszermag-forrásra. Alapértelmezésben a "gyári" Linux rendszermagok nem igényelnek speciális foltozást ahhoz, hogy a rendszer működjön. Az olyan kiegészítések, mint az IPPORTFW, PPTP és az X Window-továbbítók opcionálisak, de nagyon hasznosak. Lásd a 2.8 fejezetet URL-ekért és a IP Masquerade Resources oldalt a legfrissebb információkért és a foltok lelőhelyeiért.

• Most, hogy a rendszermagot megfoltoztad, jöjjön a minimálisan szükséges beállítási opciók sora, ami elengedhetetlen az IPMASQ működéséhez. Vedd észre, hogy ez a leírás csak egy fajta utat mutat be a rendszermag fordítását illetően. A legfőbb eltérés e módszer és egy másik között az, hogy néhányan a dolgokat vagy modulként, VAGY statikusan a rendszermagba fordítják. Alapvetően, a modulba való fordítás rugalmas megoldást ad arra, hogy mi van és mi nincs beleszőve a rendszermagba (csökkenti a fel nem használt memória mennyiségét, és lehetővé teszi az azonnali bővítést [nem kell újraindítás]), DE bonyolultabbá teszi a beállítást. Másrészről, a dolgoknak fixen a rendszermagba való fordítása egyszerűbb, DE elvesztjük a rugalmasságot. A következő a kettő kombinációja lesz.

  Széljegyzet: feltételezzük, hogy az egyéb eszközeinket, mint például hálózati eszközök, SCSI-vezérlők stb. szintén be fogod állítani. Lásd a Linux Kernel HOWTO (Linux rendszermag HOGYAN), valamint a rendszermag-forrás README fájlját és a Documentation/ könyvtárát részletesebb infóért a rendszermag fordítást illetően.

Figyeld meg az IGEN vagy NEM válaszokat a következőkben. Nem mindegyik opció áll rendelkezésre a megfelelő, előbb tárgyalt rendszermag-foltok alkalmazása nélkül.

Futtasd a következő parancsokat a rendszermag beállításához:

• cd /usr/src/kernel/linux

• make menuconfig

A következő üzenetek a 2.0.39 verzió üzeneteit tükrözik:

[ Code maturity level options ] * Prompt for development and/or incomplete code/drivers (CONFIG_EXPERIMENTAL) [Y/n/?] - IGEN: ez később lehetővé teszi az IPMASQ kód beállításainak elérését [ Loadable module support ] * Enable loadable module support (CONFIG_MODULES) [Y/n/?] y - IGEN: megengedi az IPMASQ modulok betöltését * Set version information on all module symbols (CONFIG_MODVERSIONS) [N/y/?] y - IGEN: az új rendszermagok megengedi (ha lehetséges) a régebbi modulok használatát * Kernel daemon support (e.g. autoload of modules) (CONFIG_KERNELD) [N/y/?] y - OPCIONÁLIS: lehetővé teszi, hogy a rendszermag automatikusan töltsön be bizonyos modulokat, ha szükséges [ General setup ] == Átugorjuk a nem MASQ-specifikus fejezeteket == (FPU, memory) * Networking support (CONFIG_NET) [Y/n/?] y - IGEN: engedélyezi a hálózati alrendszert == Átugorjuk a nem MASQ-specifikus fejezeteket == (memory, PCI, binary format, APM, stb.) == NE felejtsük el a szükséges eszközöket befordítani == IDE controllers, HDs, CDROMs, stb. [ Networking options ] * Network firewalls (CONFIG_FIREWALL) [Y/n/?] y - IGEN: engedélyezi az IPFWADM eszközt == Átugorjuk a nem MASQ-specifikus fejezeteket == (Aliasing) * TCP/IP networking (CONFIG_INET) [Y/n/?] y - IGEN: engedélyezi a TCP/IP protokollt * IP: forwarding/gatewaying (CONFIG_IP_FORWARD) [N/y/?] y - IGEN: engedélyezi a Linux csomagtovábbítást és útválasztást - az IPFWADM felügyeli * IP: multicasting (CONFIG_IP_MULTICAST) [N/y/?] y - OPCIONÁLIS: engedélyezheted, ha multicast forgalmat szertnél fogadni. Jegyezd meg, hogy az ISP-nek is támogatnia kell a multicast-ot, hogy mindez működjön * IP: syn cookies (CONFIG_SYN_COOKIES) [Y/n/?] y - IGEN: nagyon ajánlott az alapvető hálózati biztonsághoz * IP: firewalling (CONFIG_IP_FIREWALL) [Y/n/?] y - IGEN: engedélyezi a csomagszűrő tűzfalat * IP: firewall packet logging (CONFIG_IP_FIREWALL_VERBOSE) [Y/n/?] y - IGEN: engedélyezi a tűzfalon áthaladó bizonyos csomagok naplózását * IP: masquerading (CONFIG_IP_MASQUERADE [Y/n/?] y - IGEN: engedélyezi az IPMASQ NAT funkciókat * IP: ipautofw masquerade support (EXPERIMENTAL) (CONFIG_IP_MASQUERADE_IPAUTOFW) [Y/n/?] n - NEM: NEM ajánlott: az IPautofw egy elavult módszer a TCP/IP csomagtovábbításra. Bár működik ez is, de az IPPORTFW jobb megoldás. * IP: ipportfw masq support (EXPERIMENTAL) (CONFIG_IP_MASQUERADE_IPPORTFW) [Y/n/?] y - IGEN: ez az opció CSAK EGY FOLT SEGÍTSÉGÉVEL érhető el a 2.0.x rendszermagoknál. Ezzel az opcióval a külső, Internetes gépek közvetlenül kommunikálhatnak a megadott belső gépekkel. A funkció tipikusan a belső hálózaton lévő SMTP, Telnet és WWW szer- verek elérésére használatos. Az FTP port-továbbításhoz néha egyéb foltok is szüksé- gesek, amint az a GYIK-fejezetben megtalálható. A port-továbításról további információ található a HOGYAN megfelelő részében. * IP: MS PPTP masq support (EXPERIMENTAL) (CONFIG_IP_MASQUERADE_PPTP) [N/y/?] (NEW) n - OPCIONÁLIS: ennek az engedélyezésével a belső kliensek megfelelően tudnak kapcsolódni az Internetes PPTP szerverekhez. * IP: MS PPTP Call ID masq support (CONFIG_IP_MASQUERADE_PPTP_MULTICLIENT) [N/y/?] (NEW) n - OPCIONÁLIS: ha engedélyezted a CONFIG_IP_MASQUERADE_PPTP-t az előbb, akkor ez lehetővé teszi több belső kliens kapcsolódását ugyanahhoz a külső PPTP szerverhez. * IP: MS PPTP masq debugging (DEBUG_IP_MASQUERADE_PPTP) [N/y/?] n - OPCIONÁLIS: NEM ajánlott: ez nem szükséges az IPMASQ vagy maszkolott PPTP kapcsolatokhoz, hacsak nem akarsz több segítséget a hibakereséshez. Ha engedélyezed, hamar feltöltheti a naplóállományaidat. * IP: MS PPTP masq verbose debugging (DEBUG_IP_MASQUERADE_PPTP_VERBOSE) [N/y/?] (NEW) n - OPCIONÁLIS: NEM ajánlott: ha engedélyezted a DEBUG_IP_MASQUERADE_PPTP-t az előbb, ez még bőbeszédűbbé teszi a naplózást. * IP: IPSEC ESP & ISAKMP masq support (EXPERIMENTAL) * (CONFIG_IP_MASQUERADE_IPSEC) [N/y/?] m - OPCIONÁLIS: lehetővé teszi bizonyos fajta IPSEC alagutak maszkolását * IP: IPSEC masq table lifetime (minutes) (CONFIG_IP_MASQUERADE_IPSEC_EXPIRE) * [30] (NEW) - OPCIONÁLIS: lehetővé teszi a MASQ táblák időtúllépésének változtatását, azért, hogy a nem működő IPSEC alagutak ne legyenek túl korán lecsatolva. * IP: Disable inbound ESP destination guessing * (CONFIG_IP_MASQUERADE_IPSEC_NOGUESS) [N/y/?] n - OPCIONÁLIS: ez az opció segít a rendszermagok abban, hogy kitalálja, hova csatlakoznak a teljesen titkosított IPSEC VPN-ek, és hozzá tudja adni őket a MASQ táblákhoz. * IP: IPSEC masq debugging (DEBUG_IP_MASQUERADE_IPSEC) [N/y/?] ? n - OPCIONÁLIS: NEM ajánlott: ez nem szükséges az IPMASQ vagy maszkolott IPSEC kapcsolatokhoz, hacsak nem akarsz több segítséget a hibakereséshez. Ha engedélyezed, hamar feltöltheti a naplóállományaidat. * IP: IPSEC masq verbose debugging (DEBUG_IP_MASQUERADE_IPSEC_VERBOSE) [N/y/?] (NEW) n - OPCIONÁLIS: NEM ajánlott: ha engedélyezted a DEBUG_IP_MASQUERADE_IPSEC-t az előbb, ez még bőbeszédűbbé teszi a naplózást. * IP: ICMP masquerading (CONFIG_IP_MASQUERADE_ICMP) [Y/n/?] - IGEN: engedi az ICMP csomagok maszkolását. Bár opcionális, sok program NEM működik rendesen E nélkül. * IP: transparent proxy support (EXPERIMENTAL) (CONFIG_IP_TRANSPARENT_PROXY) [N/y/?] n _ OPCIONÁLIS: nem szükséges a normál MASQ működéshez, bár azok, akik a Squid-del akarnak transzparens proxy-t megvalósítani, igénybe vehetik. Jegyezd meg, hogy TELJESÍTMÉNY- ROMLÁST okoz a bekapcsolása. * IP: loose UDP port managing (EXPERIMENTAL) (CONFIG_IP_MASQ_LOOSE_UDP) [Y/n/?] - IGEN: ez az opció CSAK EGY FOLT SEGÍTSÉGÉVEL érhető el a 2.0.x rendszermagoknál. A segítségével a belső gépek NAT-barát játékokat tudnak játszani az Interneten keresztül. Részletek a GYIK fejezetben találhatók. * IP: always defragment (CONFIG_IP_ALWAYS_DEFRAG) [Y/n/?] - IGEN: optimalizálja a MASQ kapcsolatokat == Átugorjuk a nem MASQ-specifikus fejezeteket == (Accounting) * IP: optimize as router not host (CONFIG_IP_ROUTER) [Y/n/?] - IGEN: optimalizálja a rendszermagot a hálózati alrendszerhez == Átugorjuk a nem MASQ-specifikus fejezeteket == (Tunneling, Mcast routing, RARP, PMTU, stb.) * IP: Drop source routed frames (CONFIG_IP_NOSR) [Y/n/?] - IGEN: NAGYON ajánlott a hálózati biztonsághoz == Átugorjuk a nem MASQ-specifikus fejezeteket == (IPX, Bridging, SCSI, stb.) == Ne felejtsd el befordítani a szükséges eszközöket == SCSI controllers, HDs, CDROMs, stb. [ Network device support ] * Network device support (CONFIG_NETDEVICES) [Y/n/?] - IGEN: engedélyezi a hálózati eszköz alréteget == Átugorjuk a nem MASQ-specifikus fejezeteket == (Dummy, EQL, PPP, SLIP, NICs, Wireless, stb.) == Ne felejtsd el befordítani a szükséges hardver-elemeket == NICs: eth, tr, stb. == MODEMs: ppp és/vagy slip == WANs: T1, T3, ISDN, stb. == ISDN: belső ISDN modemekhez [ File systems ] == Átugorjuk a nem MASQ-specifikus fejezeteket == (Quota, ISO9660, Codepages, NTFS, stb. ) * /proc filesystem support (CONFIG_PROC_FS) [Y/n/?] - IGEN: szükséges a Linux továbbítási és NAT rendszerének dinamikus beállításához [ Character devices ] == Átugorjuk a nem MASQ-specifikus fejezeteket == (multi-port serial, parallel, mice, Ftape, Sound, stb. ) == Ne felejtsd el soros portot beállítani, ha modemed van == Ne felejtd el az egértámogatást

Menj tovább, és lépj az "exit"-re, ahol felkínálja a beállítások mentését.

MEGJEGYZÉS: ezek csak azok a komponensek, amik az IPMASQ működéséhez kellenek. Ahhoz, hogy a specifikus hálózati és hardver beállításaid működjenek, valószínűleg még további opciókat is ki kell választanod.

• Most fordítsd a rendszermagot (make dep; make clean; make bzImage; make modules; make modules_install). Ismét csak, ha valami problémánk van ezzel, az már nem ennek a leírásnak a témája. Lásd a 2.8 fejezetben az URL-eket a Linux Kernel HOWTO (Linux rendszermag HOGYAN) dokumentumhoz és egyebekhez.

• Ezek után másold a helyére a rendszermag bináris fájlját, frissítsd a betöltésvezérlődet (LILO, Grub stb.), majd indítsd újra a gépet. Ha kérdésed van a rendszermag fordításról, lásd a fenti URL-eket.