Установка Microsoft Exchange Server 2010 на раз, два, три. Руководство для начинающих. Часть 13. Состояние сетевых служб операционной системы и проверка их доступности.

Или же можно провести поиск по словам Well Known Ports и отыскать множество сайтов со списками наиболее типичных портов.

Несмотря на то, что порты с 0 по 1023 — зарезервированные некоторыми службами, это не запрещает нам их использовать. Так, если на нашем сервере не запущена служба ssh, или она не занимает порт 22, то мы можем спокойно указать службе веб сервера использовать этот порт. Правда, тогда наш сайт будет открываться не сразу. Когда мы открываем интернет-браузер (firefox, opera, ie, safari) и вводим в строке адреса «адрес.домен» (например ubuntologia.ru), что компьютер делает?

1. идет в свой кэш dns -запросов.

2. не находит там ip-адрес ubuntologia.ru

3. идет в hosts

4. не находит там ip-адрес ubuntologia.ru

5. сравнивает по маске ip-адрес dns-сервера со своим

6. скорее всего посылает dns-запрос шлюзу, чтобы тот передал его dns-серверу

7. получает ip-адрес сервера, обрабатывающего сайт ubuntologia.ru

8. формирует http-запрос этому ip-адресу (опять-же через шлюз скорее всего)

9. получает ответ

10. передает его интернет-браузеру, а тот уже сам разбирается.

Однако, для dns-запроса и http-запроса заголовки пакетов (конверты) отличаются не только адресом получателя (dns-сервер и сервер ubuntologia.ru), но еще и портом назначения. Если бы порт был и в том и в другом случае одинаковым, то наш dns-сервер отбросил бы его, сказав «эй, у меня нет сайтов, я всего лишь dns «, или ubuntologia заявила бы: «я не dns, парень, ты чего». DNS-запрос был послан DNS -серверу на 53 порт протокола UDP, а HTTP-запрос — на 80 порт протокола TCP. Порт 80 интернет-браузер подставляет сам автоматически, т.к. он используется по умолчанию. Если мы указываем ftp://domain.ru, то браузер подставит порт 21 (ftp). В нашем случае в строке адреса необходимо указать явно порт назначения через двоеточие: ubuntologia.ru:22.

Состояние сетевых служб операционной системы и проверка их доступности.

В большинстве операционных систем можно посмотреть состояние сетевых служб при помощи команды (утилиты) netstat –an. В ОС семейства Windows результат работы этой команды выглядит примерно так:

Активные подключения

 Имя    Локальный адрес        Внешний адрес          Состояние

 TCP    0.0.0.0:135            0.0.0.0:0              LISTENING

 TCP    0.0.0.0:445            0.0.0.0:0              LISTENING

 TCP    127.0.0.1:1026         0.0.0.0:0              LISTENING

 TCP    127.0.0.1:12025        0.0.0.0:0              LISTENING

 TCP    127.0.0.1:12080        0.0.0.0:0              LISTENING

 TCP    127.0.0.1:12110        0.0.0.0:0              LISTENING

 TCP    127.0.0.1:12119        0.0.0.0:0              LISTENING

 TCP    127.0.0.1:12143        0.0.0.0:0              LISTENING

 TCP    192.168.0.16:139       0.0.0.0:0              LISTENING

 TCP    192.168.0.16:1572      213.180.204.20:80      CLOSE_WAIT

 TCP    192.168.0.16:1573      213.180.204.35:80      ESTABLISHED

 UDP    0.0.0.0:445            *:*

 UDP    0.0.0.0:500            *:*

 UDP    0.0.0.0:1025           *:*

 UDP    0.0.0.0:1056           *:*

 UDP    0.0.0.0:1057           *:*

 UDP    0.0.0.0:1066           *:*

 UDP    0.0.0.0:4500           *:*

 UDP    127.0.0.1:123          *:*

 UDP    127.0.0.1:1900         *:*

 UDP    192.168.0.16:123       *:*

 UDP    192.168.0.16:137       *:*

 UDP    192.168.0.16:138       *:*

 UDP    192.168.0.16:1900      *:*

 

Состояние (State) LISTEN (LISTENING) показывает пассивно открытые соединения («слушающие» сокеты). Именно они и предоставляют сетевые службы. ESTABLISHED — это установленные соединения, то есть сетевые службы в процессе их использования.

В случае обнаружения проблем с той или иной сетевой службой, для проверки ее доступности используют различные средства диагностики, в зависимости от их наличия в данной ОС.

Одно из самых удобных средств — команда (утилита) tcptraceroute (разновидность traceroute), которая использует TCP-пакеты открытия соединения (SYN|ACK) с указанным сервисом (по умолчанию — web-сервер, порт 80) интересующего хоста и показывает информацию о времени прохождения данного вида TCP-пакетов через маршрутизаторы, а также информацию о доступности службы на интересующем хосте, либо, в случае проблем с доставкой пакетов — в каком месте пути они возникли.

В качестве альтернативы можно использовать отдельно traceroute для диагностики маршрута доставки пакетов (недостаток — использование UDP-пакетов для диагностики) и telnet или netcat на порт проблемной службы для проверки ее отклика.

Роль брандмауэра.

Описав сетевые уровни и обсудив взаимодействие приложений с помощью стека протоколов TCP/IP, можно перейти к описанию механизма связи между сетевыми приложениями через брандмауэры, уделив особое внимание используемым при этом сетевым портам. В следующем примере клиентский браузер устанавливает связь с Web-сервером по другую сторону брандмауэра, подобно тому как сотрудник компании обращается к Web-серверу в Internet.

Большинство Internet-брандмауэров работает на уровнях 3 и 4, чтобы исследовать, а затем разрешить или блокировать входящий и исходящий сетевой трафик. В целом администратор составляет списки управления доступом (ACL), которые определяют IP-адреса и сетевые порты блокируемого или разрешенного трафика. Например, чтобы обратиться в Web, нужно запустить браузер и нацелить его на Web-узел. Компьютер инициирует исходящее соединение, посылая последовательность IP-пакетов, состоящих из заголовка и полезной информации. Заголовок содержит информацию о маршруте и другие атрибуты пакета. Правила брандмауэра часто составляются с учетом информации о маршруте и обычно содержат IP-адреса источника и места назначения (уровень 3) и протокола пакета (уровень 4). При перемещениях по Web IP-адрес назначения принадлежит Web-серверу, а протокол и порт назначения (по умолчанию) — TCP 80. IP-адрес источника представляет собой адрес компьютера, с которого пользователь выходит в Web, а порт источника — обычно динамически назначаемое число, превышающее 1024. Полезная информация не зависит от заголовка и генерируется приложением пользователя; в данном случае это запрос Web-серверу на предоставление Web-страницы.

Брандмауэр анализирует исходящий трафик и разрешает его в соответствии с правилами брандмауэра. Многие компании разрешают весь исходящий трафик из своей сети. Такой подход упрощает настройку и развертывание, но из-за отсутствия контроля данных, покидающих сеть, снижается безопасность. Например, «троянский конь» может заразить компьютер в сети предприятия и посылать информацию с этого компьютера другому компьютеру в Internet. Имеет смысл составить списки управления доступом для блокирования такой исходящей информации.

В отличие от принятого во многих брандмауэрах подхода к исходящему трафику, большинство из них настроено на блокирование входящего трафика. Как правило, брандмауэры разрешают входящий трафик только в двух случаях. Первый — трафик, поступающий в ответ на исходящий запрос, посланный ранее пользователем. Например, если указать в браузере адрес Web-страницы, то брандмауэр пропускает в сеть программный код HTML и другие компоненты Web-страницы. Второй случай — размещение в Internet внутренней службы, такой как почтовый сервер, Web- или FTP-узел. Размещение такой службы обычно называется трансляцией порта или публикацией сервера. Реализация трансляции порта у разных поставщиков брандмауэров различна, но в основе лежит единый принцип. Администратор определяет службу, такую как TCP-порт 80 для Web-сервера и внутренний сервер для размещения службы. Если пакеты поступают в брандмауэр через внешний интерфейс, соответствующий данной службе, то механизм трансляции портов пересылает их на конкретный компьютер сети, скрытый за брандмауэром. Трансляция порта используется в сочетании со службой NAT, описанной ниже.

Основы NAT

Все адреса делятся на два типа: уникальные (белые, реальные, внешние) и не уникальные (серые, внутренние). Было много причин для их разделения, например: ограниченное количество реальных адресов (подключенных к услугам интернет компьютеров в мире намного больше, чем возможное количество внешних адресов); какая-никакая защищенность (благодаря фильтрации на шлюзах) и т.п.

Так уж договорились, что адреса, относящиеся к подсетям, представленным ниже, не используются в интернете в качестве реальных адресов.

10.0.0.0 — 10.255.255.255 (одна сеть класса A);

172.16.0.0 — 172.31.255.255 (шестнадцать сетей класса B);

192.168.0.0 — 192.168.255.255 (256 сетей класса C).

Это и есть «серые», «внутренние» адреса. Их используют в обособленных компьютерных сетях, которые если и имеют подключение к интернет, то через особый компьютер (шлюз), у которого есть внешний адрес (ну или он может быть в сети с тем компьютером, у которого внешний адрес и т.д.). Особый он тем, что у него настроен forwarding (пропуск) пакетов из одной сети в другую через него. Если у этого шлюза вторая сеть — интернет, и адрес как раз реальный (внешний), то необходимо настроить на нем технологию транслирования сетевых адресов (network address translation, NAT). Это делается для того, чтобы сетевые пакеты из локальной сети, прошедшие через него в интернет не имели серого адреса-отправителя, т.к. в этом случае сервер, для которого предназначен пакет, не поймет, кому именно из миллионов локальных сетей возвращать ответный пакет. При использовании NAT, шлюз меняет адрес-отправителя на свой внешний адрес, а у себя записывает «ответные пакеты с этого сервера перенаправлять такому-то компьютеру…». В этом случае используется SNAT (source network address translation).

Если же нам необходимо изменять адрес получателя (например, в нашей локальной сети есть почтовый сервер с серым адресом, а мы бы хотели иметь к нему доступ из интернета), то можно использовать на нашем шлюзе DNAT (destination network address translation) или, как говорят в простонародье «проброс портов». То есть мы указываем в правилах файервола, что пакеты, предназначенные нам и пришедшие на порт 110 перенаправлять на внутренний серый адрес почтового сервера.

Благодаря NAT многочисленные компьютеры компании могут совместно занимать небольшое пространство общедоступных IP-адресов. В случае изолированной сети DHCP-сервер компании может выделять IP-адрес из одного из блоков частных, Internet-немаршрутизируемых IP-адресов, определенных в документе Request for Comments (RFC) № 1918. Несколько компаний также могут совместно использовать одно пространство частных IP-адресов. Примеры частных IP-подсетей — 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16. Если же сеть должна работать как составная часть Интернета, то адрес сети выдаётся провайдером либо pегиональным интернет-регистратором (Regional Internet Registry, RIR).

Всего существует пять RIR: ARIN, обслуживающий Северную Америку; APNIC, обслуживающий страны Юго-Восточной Азии; AfriNIC, обслуживающий страны Африки; LACNIC, обслуживающий страны Южной Америки и бассейна Карибского моря; и RIPE NCC, обслуживающий Европу, Центральную Азию, Ближний Восток. Региональные регистраторы получают номера автономных систем и большие блоки адресов у ICANN, а затем выдают номера автономных систем и блоки адресов меньшего размера локальным интернет-регистраторам (Local Internet Registries, LIR), обычно являющимся крупными провайдерами.

Номер узла в протоколе IP назначается независимо от локального адреса узла. Маршрутизатор по определению входит сразу в несколько сетей. Поэтому каждый порт маршрутизатора имеет собственный IP-адрес. Конечный узел также может входить в несколько IP-сетей. В этом случае компьютер должен иметь несколько IP-адресов, по числу сетевых связей. Таким образом, IP-адрес характеризует не отдельный компьютер или маршрутизатор, а одно сетевое соединение.

Реальный (внешний) IP-адрес нужен в том случае, когда клиент желает, что бы его компьютер был доступен из внешнего Интернета. Примеры для чего может быть необходима данная услуга: использование специфичного программного обеспечения, требующего удаленного прямого доступа; получение возможности указывать в качестве SMTP-сервера для E-mail — любой почтовый сервер; использование IP-телефонии, предоставляемой сторонней компанией; организация сервера, доступного из внешнего Интернета и прочее.

Маршрутизаторы Internet блокируют любые пакеты, направляемые в один из частных адресов. NAT — функция брандмауэра, с помощью которой компании, в которых используются частные IP-адреса, устанавливают связь с другими компьютерами в Internet. Брандмауэру известно, как транслировать входящий и исходящий трафик для частных внутренних IP-адресов, чтобы каждый компьютер имел доступ в Internet.

 

 

 

На рисунке показана базовая схема NAT-соединения между клиентом и Web-сервером. На этапе 1 трафик, направляемый в Internet с компьютера корпоративной сети, поступает на внутренний интерфейс брандмауэра. Брандмауэр получает пакет и делает запись в таблице отслеживания соединений, которая управляет преобразованием адресов. Затем брандмауэр подменяет частный адрес источника пакета собственным внешним общедоступным IP-адресом и посылает пакет по месту назначения в Internet (этап 2). Компьютер назначения получает пакет и передает ответ в брандмауэр (этап 3). Получив этот пакет, брандмауэр отыскивает отправителя исходного пакета в таблице отслеживания соединений, заменяет IP-адрес назначения на соответствующий частный IP-адрес и передает пакет на исходный компьютер (этап 4).

 

http://ru.wikibooks.org/wiki/TCP/IP

http://orbiter.ucoz.ru/publ/27-1-0-132

http://help.fregat.com/general/ports

http://help.fregat.com/general/firewall

http://linuxforum.ru/viewtopic.php?id=129

http://www.xnets.ru/plugins/content/content.php?content.207.5

http://www.russianproxy.ru/node/325

http://www.alexhost.ru/hosting_article_44.php

http://sysadminblog.ru/windows/2010/05/21/probros-portov-port-forwarding-v-windows-2003-server-1.html

http://www.alexhost.ru/hosting_article_53.php

http://sysadminblog.ru/cisco/2010/05/25/nastroyka-probrosa-portov-port-forwarding-v-cisco-2.html

http://sysadminblog.ru/blog/cisco/12.html

http://sysadminblog.ru/microsoft/2011/03/14/porty-ispolzuemye-microsoft-exchange-server-2010.html

http://www.alexhost.ru/hosting_article_46.php

http://technet.microsoft.com/ru-ru/library/bb331973.aspx

http://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1%82%D0%B5%D0%B2%D1%8B%D0%B5_%D1%81%D0%B5%D1%80%D0%B2%D0%B8%D1%81%D1%8B

Пока нет комментариев.

Вы должны зайти чтобы оставить комментарийt.

Нет трэкбэков.
 

You need to log in to vote

The blog owner requires users to be logged in to be able to vote for this post.

Alternatively, if you do not have an account yet you can create one here.

Powered by Vote It Up