Маршрутизатор dns: Как работают сети: что такое свитч, роутер, DNS, DHCP, NAT, VPN и ещё с десяток необходимых вещей

Содержание

Как работают сети: что такое свитч, роутер, DNS, DHCP, NAT, VPN и ещё с десяток необходимых вещей

Тема сетей, к сожалению, весьма скучна для большинства наших коллег. Всем основным задействованным технологиям, протоколам и лучшим практикам уже несколько десятков лет, они давно окружают нас и обеспечивают взаимодействие миллиардов устройств вокруг. Даже программисты чаще всего воспринимают сеть как данность и не задумываются о том, как же она работает.

Часто бывает у наших коллег: вроде бы слова IP и DNS используют каждый день, а понимания как это всё работает нет, и как это всё пощупать вживую тоже непонятно. Такое отношение не только некорректно, но и вредно для карьеры любого уважающего себя инженера из IT. Сколько бы JS-фреймворков ты не выучил, без знания основ сетей тебя никто всерьёз воспринимать не будет. Ни одна часть инфраструктуры не должна оставаться чёрной коробкой ни для разработчиков, ни для администраторов, ни уж тем более для тебя, будущего DevOps инженера.

Целью этой статьи не является дать исчерпывающее руководство по сетям. Внутри самой статьи и в её конце я приведу множество ссылок на ресурсы, которые помогут тебе углубить полученные знания. Не ленись и кликай по всем ссылкам и читай их все.

В этом же тексте мы сфокусируемся на структуре сети, основных её компонентах и рассмотрим как они используются на практике при помощи уже освоенных нами в предущей статье виртуальных машин и libvirt/KVM в частности.

Сетевая модель OSI

В первую очередь нам нужно познакомиться с сетевой моделью OSI. Эта модель стандартизирует взаимодействие сетевых протоколов.

OSI делит коммуникацию на 7 слоёв, на каждом слое есть свои протоколы. Ты часто будешь слышать вещи в духе «это происходит на Layer 3». Вот эти слои:

  1. Физический уровень (physical layer)
  2. Канальный уровень (data link layer)
  3. Сетевой уровень (network layer)
  4. Транспортный уровень (transport layer)
  5. Сеансовый уровень (session layer)
  6. Представительский уровень или уровень представления (presentation layer)
  7. Прикладной уровень (application layer)
Физический уровень (physical layer)

Протоколы этого уровня отвечают за связь между железками на самом низком уровне. Непосредственная передача данных по проводам (и без проводов) описывается как раз на физическом уровне. Примеры протоколов: Wi-Fi, Bluetooth, DSL.

Канальный уровень (data link layer)

Канальный уровень отвечает за передачу данных между устройствами одной сети. Данные передаются в виде кадров (frames), в кадре указан физический адрес получателя и отправителя. Этот адрес называется MAC-адрес.

Кто же выступает в роли отправителя и получателя?

Во-первых, у каждой машины (включая твой ноут) есть NIC — Network Interface Controller. Это железка (или виртуальная железка), которая отвечает за передачу и приём кадров. У NIC есть MAC-адрес — уникальный адрес, который обычно прошит в железке, или же генерируется системой виртуализации.

Само собой, у машины может быть несколько NIC. Посмотрим интерфейсы при помощи команды ip

:

[[email protected] ~]$ ip link show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
    link/ether 52:54:00:05:36:e6 brd ff:ff:ff:ff:ff:ff

В данном случае, интерфейс, использующийся для связи с внешним миром по сети, — это eth0, обладающий MAC-адресом 52:54:00:05:36:e6. Но что такое lo?

lo — это loopback device, специальный виртуальный интерфейс, который система использует, чтобы общаться самой с собой. Благодаря lo даже без подключения к сети локальные приложения могут взаимодействовать друг с другом.

Ты уже заметил, что из твоего компьютера не вылазят миллиарды проводов, напрямую подключённые ко всем другим компьютерам мира. Для организации сети нужны дополнительные устройства.

Например,

свитч (switch).

Свитч — это такое устройство, которое формирует сеть, и в которое подключаются наши машинки через порты. Задача свитча L2 (есть ещё более продвинутые, относящиеся к L3 и даже к L7) — перенаправлять кадры от MAC отправителя к MAC получателя. Множество машин, подключенных к одному свитчу формируют локальную сеть (LAN).

Конечно, пачка серверов подключенных к одному свитчу — это весьма тривиальный способ создать сеть. А что если мы хотим объединить в одну сеть сервера, находящиеся в разных физических локациях? Или, например, хотим логически разделить сервера подключенные к одному свитчу в одной локации в разные сети?

Для таких случаев создают VLAN (виртуальную локальную сеть), которую можно реализовать, например, при помощи свитча. Работает это достаточно просто: к кадрам добавляется дополнительный заголовок с VLAN-тегом, по которому и определяется к какой сети принадлежит кадр.

Другое устройство — мост (bridge). Мост L2 используют чтобы объединить две сети, сформированные при помощи свитчей, примерно таким образом:

И свитчи и мосты (а ещё хабы (hub), о которых почитай сам) помогают объединить несколько машин в одну сеть. А есть ещё маршрутизаторы (или роутеры, routers), которые соединяют сети между собой и работают уже на L3. Например, твой Wi-Fi роутер соединяет твою локальную сеть (в которой находятся твой ноутбук, телефон и планшет) с Интернетом.

Помимо LAN разделяют ещё несколько типов сетей. Например, WAN. Интернет можно считать за WAN, за тем исключением, что Интернет полностью стирает географические границы сети.

Как я уже упомянул, есть ещё свитчи L3, которые могут не просто перенаправлять кадры от одного устройства к другому, но и обладают более продвинутыми фишками, типа маршрутизации. Чем же отличается роутер от свитча L3, спросишь ты? Тут всё сложно (и скучно), но если тебе интересно, то прочитай статью Layer 3 Switches compared to Routers

Сетевой уровень (network layer)

На третьем, сетевом уровне используются не MAC, а IP адреса. Посмотрим IP адрес нашей машины при помощи той же самой команды ip:

[[email protected] ~]$ ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 52:54:00:05:36:e6 brd ff:ff:ff:ff:ff:ff
    inet 192.168.122.212/24 brd 192.168.122.255 scope global dynamic eth0
       valid_lft 2930sec preferred_lft 2930sec
    inet6 fe80::5054:ff:fe05:36e6/64 scope link
       valid_lft forever preferred_lft forever

Интерфейсу eth0 присвоен адрес 192.168.122.212/24

.

Но что такое /24? И почему у loopback интерфейса стоит /8? Ты уже, наверное, слышал, что всего существует 4 294 967 296 IPv4 адресов. Интернет — это не одна большая сеть, а много сетей поменьше. При этом для отдельных типов сетей (например, частных, недоступных извне сетей) выделены отдельные блоки IP адресов.

IPv6 адресов гораздо больше. Но полный переход IPv6 ещё не произошёл 🙂

CIDR — это метод выделения блоков адресов отдельным сетям. А CIDR-нотация — это способ описать этот блок в виде 192.168.122.212/24, где число /24, называемое маской, как раз и позволяет понять, сколько адресов входит в этот блок.

IPv4 — это простое число длинной 32 бита, которое можно представить в двоичном виде. В двоичной форме IP адреса идут от 00000000000000000000000000000000 до 11111111111111111111111111111111. Для удобства разобьём это число на 4 части по 8 цифр:

11111111.8 степени, или 256 адресов. Значит, последний адрес сети будет равен 192.168.122.255.

Вручную всё считать необязательно, можно воспользоваться калькулятором.

ARP

Мы уже знаем, что на L2 используются MAC-адреса, а на L3 — IP адреса. Должен существовать какой-то механизм, который ассоциирует MAC-адрес сервера с его IP адресом. Этот механим называется ARP (Address Resolution Protocol).

В Линуксе есть одноимённая команда arp, которая позволит посмотреть табличку известных машине MAC-адресов и соответствующих им IP адресов:

[[email protected]]# arp -n
Address HWtype HWaddress Flags Mask Iface
192.168.178.1 ether 5c:49:79:99:f3:23 C wlp3s0

В данном случае, 192.168.178.1 — это IP адрес моего Wi-Fi роутера, к которому ноутбук подключен через интерфейс wlp3s0.

Команда arp считается deprecated и вместо неё рекомендуется использовать

ip neigh.

Один из видов кибер-атак связан с ARP и называется ARP spoofing. Цель такой атаки — подменить MAC-адрес, ассоциированный с определённым IP, на адрес машины хакера. Как страшно жить, да?

DHCP

Но как именно у сетевого интерфейса появляется IP адрес? Один из вариантов — задать его вручную. Недостаток: ручная работа. Если руки кривые, то можно настроить дублирующиеся адреса и получить конфликт 🙂

Другой вариант: Dynamic Host Configuration Protocol (DHCP), протокол, использующийся для автоматического выставления различной конфигурации, в том числе IP-адресов.

За детальным изучением DHCP обратись к документации в RFC: https://www.ietf.org/rfc/rfc2131.txt

Для работы DHCP нужен DHCP-сервер, раздающий IP-адреса и DHCP-клиент на твоей машине, который будет запрашивать адрес для этой машины. В домашних условиях чаще всего DHCP-сервер находится на роутере.

Чтобы понять как именно работает DHCP, нам нужно отвлечься на понятие "broadcasting". Это процесс, в котором наш сервер отправляет сообщение на

все сервера в сети, так как он не знает где именно находится та информация, которая ему нужна. Ближе всего такое broadcast общение к радио вещанию.

Как это происходит в случае с DHCP:

  1. DHCP-клиент отправляет broadcast сообщение с вопросом "Хочу IP адрес"
  2. DHCP-сервер его ловит и в ответ отправляет так же broadcast сообщение "У меня есть адрес x.x.x.x, хочешь его?"
  3. DHCP-клиент получает это сообщение и отправляет ещё одно: "Да, я хочу адрес x.x.x.x"
  4. DHCP-сервер отвечает "Хорошо, тогда x.x.x.x принадлежит тебе"

Вот в этом видео чуть более наглядно показан весь процесс: https://www.youtube.com/watch?v=RUZohsAxPxQ

А где хранятся настройки соединений?

Настройки сетевых подключений хранятся в /etc/sysconfig/network-scripts. Там ты можешь отредактировать такие вещи, как способ получения IP адреса (автоматический или статичный), стартовать ли соединение автоматически при загрузке системы и т.п. Например, вот так выглядит мой конфиг для Wi-Fi-соединения:

[[email protected] network-scripts]# cat ifcfg-FRITZ-Box_7490
HWADDR=4C:34:88:54:C1:2B
ESSID="FRITZ!Box 7490"
MODE=Managed
KEY_MGMT=WPA-PSK
TYPE=Wireless
BOOTPROTO=dhcp
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
NAME="FRITZ!Box 7490"
UUID=55ba9218-1d2f-407d-af13-51502d542edb
ONBOOT=yes
SECURITYMODE=open
PEERDNS=yes
PEERROUTES=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes

Обрати внимание на BOOTPROTO=dhcp — эта опция означает, что будет использован DHCP-сервер, в том числе для получения IP адреса. Для сравнения, конфиг соединения для loopback устройства:

[[email protected] network-scripts]# cat ifcfg-lo
DEVICE=lo
IPADDR=127.0.0.1
NETMASK=255.0.0.0
NETWORK=127.0.0.0
# If you're having problems with gated making 127.0.0.0/8 a martian,
# you can change this to something else (255.255.255.255, for example)
BROADCAST=127.255.255.255
ONBOOT=yes
NAME=loopback

Здесь прописан статичный адрес: IPADDR=127.0.0.1. В домашнаних условиях вместо редактирования конфигов вручную можно использовать утилиту nmcli, либо установить пакетик NetworkManager-tui, который предоставит удобный текстовый интерфейс прямо в консоли. В боевых условиях на серверах лучше так не делать, а использовать систему конфигурации (Puppet, Chef, Salt).

Ещё одна важная часть конфигурации: роутинг. Как понять, куда именно побежит трафик? Всё просто: достаточно посмотреть локальную таблицу роутинга при помощи команды ip r. На момент написания этих строк я сижу в кофейне с ноутбука, который использует телефон как роутер. Вот что мне выдаёт ip r:

default via 172.20.10.1 dev wlp3s0 proto static metric 600
172.20.10.0/28 dev wlp3s0 proto kernel scope link src 172.20.10.3 metric 600
192.168.100.0/24 dev virbr2 proto kernel scope link src 192.168.100.1
192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1

Как видишь, весь трафик идёт по-умолчанию на машинку с адресом 172.20.10.1. А если выполнить ip addr show, то можно увидеть, что у сетевого интерфейса в ноутбуке так же есть IP адрес из этой сети:

4: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 4c:34:88:54:c1:2b brd ff:ff:ff:ff:ff:ff
    inet 172.20.10.3/28 brd 172.20.10.15 scope global dynamic wlp3s0
       valid_lft 83892sec preferred_lft 83892sec
    inet6 fe80::4e34:88ff:fe54:c12b/64 scope link
       valid_lft forever preferred_lft forever

Командой ip r add можно добавлять новые пути, а командой ip r del — удалять.

DNS

Про DNS ты наверняка слышишь не в первый раз. Простая идея: обращаться к серверу не по IP адресу (тяжело запомнить для людей), а по нормальному имени.

Самый старый и популярный DNS-сервер (тот, что хранит информацию об адресах и отвечает на запросы) — это BIND. Альтернатив тоже много, но тебе в первую очередь рекомендуется развернуть локально именно BIND.

Обязателен к прочтению материал от Cisco DNS Best Practices, Network Protections, and Attack Identification — там узнаешь не только все основы DNS, но и кучу важных рекомендаций по созданию безопасного и устойчивого DNS-сервера.

Есть возможность обновлять записи в DNS-сервере динамически. Для этого почитай про nsupdate. Ниже найдёшь ссылку на отличное руководство по настройке, включая безопасное обновление записей. Одно из интересных применений — service discovery. Поищи в Интернете, о чём это, или дождись соответствующей статьи на mkdev 😉

До появления DNS всё, что у нас было — это файлик /etc/hosts. Он и сейчас часто используется.

Рубрика "Вирусы для чайников"! Открываем /etc/hosts на компьютера друга и добавляем туда строчку 52.28.20.212 vk.com. Хватит другу сидеть вконтакте, пусть учится разработке!

Ещё очень интересен файлик /etc/nsswitch.conf. В нём определяется в каком порядке и где искать разную информацию, в том числе где искать хосты. По-умолчанию, сначала они ищутся в /etc/hosts, а уже потом отправляется запрос в DNS-сервер.

Используемый для разрешения DNS-имён сервер, кстати, указан в /etc/resolv.conf.

Дебажить DNS проблемы удобнее всего командой dig и nslookup. Например, чтобы запросить информацию о mkdev.me у nameserver 8.8.8.8 можно сделать так:

# dig mkdev.me @8.8.8.8

; <<>> DiG 9.10.3-P4-RedHat-9.10.3-12.P4.fc23 <<>> mkdev.me @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3320
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;mkdev.me. IN A

;; ANSWER SECTION:
mkdev.me. 299 IN A 52.28.20.212

;; Query time: 355 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri May 27 12:51:04 CEST 2016
;; MSG SIZE rcvd: 53

Виртуалки

До этого момента все примеры выполнялись на локальной машине. Это, конечно, полезно для восприятия, но не так интересно. Поэтому дальше мы укрепим только что прочитанное при помощи виртуальных машин и libvirt, а заодно познакомимся с ещё парой терминов.

В первую очередь, создадим виртуалку при помощи virt-install:

sudo virt-install --name mkdev-networking-basics-1 \
--location ~/Downloads/CentOS-7-x86_64-Minimal-1511.iso \
--initrd-inject /path/to/ks.cfg \
--extra-args ks=file:/ks.cfg \
--memory=1024 --vcpus=1 --disk size=8

По-умолчанию libvirt создаёт одну сеть:

[[email protected]]# virsh net-list
 Name State Autostart Persistent
----------------------------------------------------------
 default active yes yes

Блок 192.168.0.0/16 выделен для частных сетей. libvirt выделил для своей сети блок 192.168.122.212/24, то есть все адреса от 192.168.122.0 до 192.168.122.255.

Чтобы посмотреть подробную информацию о конкретной сети можно использовать либо virsh net-info, либо virsh net-dumpxml. Вторая команда вернёт гораздо больше деталей, поэтому используем её:

[[email protected] ~]# virsh net-dumpxml default
<network connections='1'>
  <name>default</name>
  <uuid>f2ee9249-6bed-451f-a248-9cd223a80702</uuid>
  <forward mode='nat'>
    <nat>
      <port start='1024' end='65535'/>
    </nat>
  </forward>
  <bridge name='virbr0' stp='on' delay='0'/>
  <mac address='52:54:00:83:b4:74'/>
  <ip address='192.168.122.1' netmask='255.255.255.0'>
    <dhcp>
      <range start='192.168.122.2' end='192.168.122.254'/>
    </dhcp>
  </ip>
</network>

connections показывает количество машинок, подключённых к этой сети. Подробное описание всех возможных опций этого XML-файла можно прочитать в документации libvirt. Нас же сейчас интересуют два слова: bridge и dhcp.

bridge, или устройство virbr0, или virtual network switch — это специальное устройство, в которое подсоединяются все виртуалки этой сети. Все запросы от одной виртуалки к другой в пределах одной сети идут через этот виртуальный свитч. Для каждой сети libvirt создаёт по одному виртуальному свитчу и каждый свитч распознаётся как отдельное устройство на хост машине:

[[email protected]]# ip link show
8: virbr1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT
    link/ether 52:54:00:a8:02:f2 brd ff:ff:ff:ff:ff:ff

Создание сети в libvirt по умолчанию приравнивается к созданию виртуального свитча, к которому цепляются все виртуалки, тем самым образую локальную сеть, LAN.

Реализован свитч virbr0 при помощи Linux Bridge — технологии, изначально предназначенной как раз для создания виртуальных локальных сетей. Выполнив команду brctl show на хост-машине можно увидеть список всех свитчей.

Linux Bridge "слегка" отличается от типичного железного свитча L2. За годы его существования к нему прилепили множество дополнительных фич, например, фильтрацию трафика и файрвол. Корректнее всего назвать его свитчем L3, но здесь ваш покорный слуга не уверен до конца.

Теперь обратим внимание на следующую секцию:

  <ip address='192.168.122.1' netmask='255.255.255.0'>
    <dhcp>
      <range start='192.168.122.2' end='192.168.122.254'/>
    </dhcp>
  </ip>

Здесь указан блок адресов, использующихся для виртуальных машин в этой сети. 192.168.122.1 — IP-адрес хост-машины в пределах этой виртуальной сети.

Выполнив ip r в виртуалке увидим:

[[email protected] ~]$ ip r
default via 192.168.122.1 dev eth0 proto static metric 100
192.168.122.0/24 dev eth0 proto kernel scope link src 192.168.122.209 metric 100

По умолчанию трафик из виртуалки во внешний мир идёт через хост-машину. В качестве забавы можешь настроить, чтобы трафик к одной виртуалке шёл через другую.

Как мы уже знаем, за назначение IP адресов отвечает служба DHCP. Libvirt использует dnsmaq для DHCP и DNS и запускает по экземпляру dnsmasq для каждой сети.

`[[email protected] ~]# ps aux | grep dns
nobody 10600 0.0 0.0 15548 856 ? S Apr01 0:02 /sbin/dnsmasq --conf-file=/var/lib/libvirt/dnsmasq/default.conf --leasefile-ro --dhcp-script=/usr/libexec/libvirt_leaseshelper
root 10601 0.0 0.0 15520 312 ? S Apr01 0:00 /sbin/dnsmasq --conf-file=/var/lib/libvirt/dnsmasq/default.conf --leasefile-ro --dhcp-script=/usr/libexec/libvirt_leaseshelper

Мы можем посмотреть табличку DHCP, которая покажет нам выданные адреса:

[[email protected]]# virsh net-dhcp-leases default
 Expiry Time MAC address Protocol IP address Hostname Client ID or DUID
-------------------------------------------------------------------------------------------------------------------
 2016-04-29 16:31:19 52:54:00:05:36:e6 ipv4 192.168.122.212/24 - -

Обрати внимание, что 52:54:00:05:36:e6 это MAC-адрес интерфейса eth0 нашей виртуалки.

NAT

Читая ранее про CIDR тебя могло кое-что насторожить: даже если мы разделим сеть на много блоков, то общее количество IP адресов не увеличится. На самом деле, всегда используется комбинация из частных и публичных адресов. Обычно за одним публичным адресом прячется множество машин, у каждой из которых есть свой частный адрес.

Это так же и верно для наших виртуалок. У каждой есть частный IP-адрес из блока 192.168.122.0/24, и все они скрываются за публичным адресом хост-машины.

Хост-машина, если мы продолжаем использовать для неё свой личный ноутбук у себя дома, прячется на Wi-Fi роутером и так же не обладает собственным публичным адресом.

На первый взгляд, то, что виртуалки имеют доступ к Интернету, кажется само собой разумеющимся. Но ведь у виртуалки есть только частный адрес, недоступный вне хост машины. Публичному серверу, к которому виртуалка обращается, нужно куда-то отправлять ответ и частный IP адрес виртуалки он просто-напросто не сможет найти (на то он и частный).

Эту проблему решает NAT (Network Address Translation) — механизм преобразования IP адресов в сетевых пакетах. Обычно в пакете указан IP, откуда пакет отправлен и IP, куда пакет идёт. NAT позволяет динамически менять эти адреса и сохранять таблицу подменённых адресов.

Существует SNAT (source NAT), который и используется для наших виртуалок для доступа в Интернет. Когда пакет отправляется, то его исходящий адрес заменяется на адрес хост машины. Когда ответ от сервера назначения идёт назад, то адрес меняется с адреса хост машины на адрес виртуалки. Меняет адрес роутер.

DNAT (destination NAT) занимается примерно тем же самым, но наоборот: это когда ты обращаешься к некоему публичному адресу, за которым скрываются частные, локальные адреса.

NAT — способ по умолчанию для общения виртуалок с внешним миром. Но libvirt штука гибкая. Можно, например, цеплять виртуалки напрямую к физическому интерфейсу хоста, вместо виртуального свитча. Вариантов создания сети, на самом деле, много.

Для NAT libvirt использует iptables. Если кратко, то это инструмент, отвечающий за фильтрацию сетевых пакетов. iptables настраиваются через специальные правила (rules), которые комбинируются в цепочки (chains). Вот путём добавления таких правил libvirt и добавляет нашим виртуалкам доступ в Интернет, используя NAT. Мы вернёмся к iptables когда будем говорить о безопасности в целом.

Ещё для того чтобы на хосте работало перенаправление пакетов в настройках ядра должна быть включена опция ipforward. Включается она просто: `echo 1 > /proc/sys/net/ipv4/ipforward`

tcpdump

Пожалуй, самый незаменимый инструмент для дебаггинга сетевых проблем, а, конкретнее, трафика, который проходит через нашу машину — это tcpdump. Уметь им пользоваться обязательно. Посмотрим, например, что происходит на нашем virbr0 при перезапуске виртуалки.

Открываем консоль на хост-машине и делаем tcpdump -i virbr0.

Открываем отдельное окошко и делаем virsh reboot #{номер_виртуалки}.

Смотрим результат в первом окошке и видимо откуда какие запросы пришли:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on virbr0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:57:31.339135 IP6 :: > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
12:57:31.397937 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 52:54:00:e0:06:54 (oui Unknown), length 300
12:57:31.398182 IP linux.fritz.box.bootps > 192.168.122.209.bootpc: BOOTP/DHCP, Reply, length 301
12:57:31.590332 ARP, Request who-has linux.fritz.box tell 192.168.122.209, length 28
12:57:31.590373 ARP, Reply linux.fritz.box is-at 52:54:00:7e:33:23 (oui Unknown), length 28
12:57:31.590409 IP 192.168.122.209.38438 > linux.fritz.box.domain: 61342+ A? 0.centos.pool.ntp.org. (39)
12:57:31.590458 IP 192.168.122.209.38438 > linux.fritz.box.domain: 25671+ AAAA? 0.centos.pool.ntp.org. (39)
12:57:31.590618 IP linux.fritz.box.domain > 192.168.122.209.38438: 25671 0/0/0 (39)
### И так далее

Вот, например, broadcast от виртуалки: 12:57:31.397937 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 52:54:00:e0:06:54 (oui Unknown), length 300.

Ну и заодно глянем ARP табличку:

Address HWtype HWaddress Flags Mask Iface
# ...
192.168.122.209 ether 52:54:00:e0:06:54 C virbr0
# ...
VPN

Иногда (на самом деле, очень часто) необходимо сделать так, как будто и клиент и сервер находятся в одной частной сети. Например, когда все сервисы компании находятся в закрытой сети, доступной только в офисе, и нужно дать сотрудникам удалённый доступ. Или когда у компании несколько офисов или дата центров, которые нужно соединить друг с другом так, чтобы по-прежнему не открывать всю сеть всему интернету.

По сути VPN — это вложение одного tcp/ip пакета в другой и шифрование содержимого. Получается виртуальная сеть работающая внутри реальной сети. Для виртуальных сетей создаются виртуальные сетевые устройства (tun/tap) с виртуальными же IP адресами, видимыми только внутри нашей виртуальной зашифрованной сети.

Я оставлю настройку VPN за пределами этой статьи. На совести читателя останется попробовать это сделать самостоятельно при помощи OpenVPN или strongSwan.

Мы ещё вернёмся к тебе безопасности, но ты уже можешь почитать про IPsec — этот протокол использует strongSwan.

Для самостоятельного изучения

Мы только что пробежались по самым основам сетей, но, конечно же, есть ещё с десяток технологий, которые стоит посмотреть. Погугли самостоятельно VXLAN, изучи TCP и UDP (и разберись когда какой использовать), глянь что такое ICMP. Ты постоянно будешь сталкиваться с новыми терминами, но, как и всегда, главное — усвоить основы.

Мы не поднялись до более высоких уровней модели OSI, не посмотрели различные протоколы, с которыми работают веб-приложения: HTTP(S), FTP, SSH, NTP и многие другие.

Не забывай заглядывать в RFC. Это первая остановка в поиске нужной тебе информации по сетям.

Мы, скорее всего, вернёмся к этим темам в последующих статьях. Для меня лично сложнее всего было раньше понять именно то, как всё работает на уровнях ниже уровня приложения: все эти сети, подсети, непонятные проблемы с доступом от одного сервера к другому и т.п.

Надеюсь, ты теперь чуть больше знаешь о самых основных компонентах, задействованных в сетевой коммуникации и в будущем сможешь быстрее разбираться во возникающих проблемах — так как заранее будешь знать, где и что может пойти не так.

Что дальше?

Я знаю, что дорогой читатель ждёт-недождётся, когда я начну рассказывать про Chef, Puppet, Ansible и прочие модные штуки. Но рано, пока ещё рано. Нас ждёт ещё как минимум одна статья подобного рода, в которой мы рассмотрим все возможные способы аутенфицировать и авторизовывать пользователей и сервера, тем самым сильно копнув в сторону темы безопасности в целом.

Дополнительное чтение

Как я уже говорил, тема сетей сложная, глубокая и задействует множество различных частей. Ты наверняка чувствуешь лёгкую кашу в голове. Ничего страшного! Ссылки ниже помогут тебе ещё глубже усвоить всё, что тебе нужно знать о сетях.

что это, как работает и как пользоваться?

В этой статье я постараюсь простыми словами пояснить, что такое функция динамической системы доменных имен (DDNS) и для каких задач она используется. Чтобы подготовить максимально простую статью, я все проверил на своем оборудовании. Постарался изучить все нюансы и возможные проблемы, с которыми можно столкнуться в процессе настройки.

Ниже речь пойдет об использовании DDNS именно на роутерах. Практически в каждом современно роутере есть поддержка функции динамической системы доменных имен, что дает возможность зарегистрировать для роутера бесплатный, статический адрес. Используя этот адрес, вы откуда угодно сможете зайти на свой роутер (в его веб-интерфейс), или получить доступ к настроенному на роутере (или за ним) серверу, веб-камере, сетевому накопителю и т. д.

Что такое DDNS?

Функция "Динамический DNS" (Dynamic DNS) позволяет присвоить постоянное доменное имя (адрес для доступа из интернета) публичному, динамическому IP-адресу, который роутер получает от провайдера. Это нужно в первую очередь для доступа к настройкам роутера через интернет (когда вы не подключены к домашней сети). Так же с помощью DDNS можно настроить доступ через интернет к FTP-серверу, который настроен на роутере. Есть разные сценарии использования функции DDNS (веб-сервер, игровой сервер, доступ к сетевому накопителю NAS, IP-камере). Но удаленный доступ к FTP-серверу и к настройкам маршрутизатора – это самые популярные варианты. В моем случае, после настройки отлично работало и то, и другое. Некоторые производители дают возможность получать удаленный доступ к настройкам роутера через облако (используя приложение на мобильном устройстве). Это намного проще и удобнее. Но такая функция есть далеко не на всех маршрутизаторах.

Для начала хочу пояснить, как работает DDNS. Каждый роутер, который подключен к интернету, получает от провайдера внешний IP-адрес. По этому адресу можно получить доступ к роутеру через интернет (или к серверу, который настроен на устройстве за роутером). Даже когда мы подключены к интернету через другой роутер, мобильный интернет и т. д., и не находимся в своей локальной сети. Но проблема в том, что провайдер чаще всего выдает динамический IP-адрес, а не статический.

Возможно, ваш провайдер выдает вам белый (о белых и серых адресах я расскажу дальше в статье), статический IP-адрес. В таком случае, вам не нужно настраивать DDNS, так как у вас есть постоянный IP-адрес для доступа к маршрутизатору. Скорее всего услугу "Статический IP-адрес" можно подключить у интернет-провайдера. Обычно, эта услуга платная.

Динамический, внешний IP-адрес, который провайдер выдает роутеру, может постоянно меняться (провайдер каждый раз выдает роутеру новый адрес). И уже после изменения адреса мы не сможем получить доступ к роутеру через интернет. Здесь нам пригодится DDNS. Как я уже писал в начале статьи, с помощью этой функции можно получить постоянный адрес для доступ к нашему роутеру, даже если провайдер выдает динамический IP-адрес, который постоянно меняется.

Выводы: если провайдер выдает внешний статический IP-адрес (чаще всего нужно отдельно подключать эту услугу)  – заморачиваться с настройкой функции "Динамический DNS" не нужно, в этом не смысла, так как у вас уже есть постоянный адрес. Если же у вас динамический внешний IP – настройка DDNS решит эту проблему. Так как после настройки мы получим статический адрес.

Не все так просто: "серые" IP-адреса и DDNS

Сейчас я коротко расскажу, что такое серые и белые внешние IP-адреса, и вы все поймете. Для выхода в интернет провайдер присваивает роутеру, или конкретному устройству внешний (публичный) IP-адрес. Белый, публичный IP-адрес (даже если он динамический) позволяет получить доступ к нашему роутеру из интернета. То есть, этот адрес обеспечивает прямую связь из сети интернет и маршрутизатором.

Так как белых IP-адресов на все устройства в сети интернет не хватает (возможно, это не основная причина), то интернет-провайдеры очень часто выдают своим клиента (роутерам, устройствам) серые IP-адреса (они же приватные, или частные). Это адреса из локальной (частной) сети интернет-провайдера. А уже из локальной сети провайдера идет выход в интернет через один внешний IP-адрес. Он может быть общим для определенного количества клиентов.

Мы сейчас не будем обсуждать, плохо это, или хорошо. Но дело в том, что функция DDNS через серый IP-адрес работать не будет. Чтобы настроить динамический DNS, необходимо, чтобы провайдер выдавал вам белый, публичный IP-адрес.

Некоторые маршрутизаторы могут сами определять, какой IP-адрес выдает провайдер. Приватный (серый), или публичный (белый). Так, например, на роутерах ASUS, если адрес серый, то в разделе с настройками DDNS отображается следующее предупреждение: "Беспроводной роутер использует приватный WAN IP адрес. Этот роутер находится в NAT окружении и служба DDNS работать не может".

Если ваш маршрутизатор не умеет определять это автоматически, то есть другой способ выяснить.

Как проверить, "белый" или "серый" IP-адрес выдает провайдер?

Нужно для начала зайти в настройки своего Wi-Fi роутера, и прямо на главной странице (обычно, это"Карта сети", или "Состояние"), или в разделе WAN (Интернет) посмотреть WAN IP-адрес, который присвоен роутеру интернет-провайдером. Вот, например, на роутере TP-Link:

Дальше нам нужно зайти на любой сайт, на котором можно посмотреть свой внешний IP-адрес. Например, на https://2ip.ru/

Важно! Убедитесь, что на устройстве, в браузере не включен VPN. Иначе, на сайте будет отображаться не ваш реальный IP-адрес, а адрес VPN-сервера. Используйте стандартный браузер.

Если WAN IP-адрес в настройках роутера и на сайте отличатся, значит провайдер выдает вам серый IP-адрес. А если они совпадают – то белый. В моем случае адреса разные, значит у меня серый IP-адрес и DDNS настроить не получится.

В этом случае (если адрес серый) можно позвонить в поддержку интернет-провайдера, и сказать, что вам нужен белый внешний IP-адрес. Скорее всего они сделают вид, что не понимают о чем идет речь, и начнут рассказывать вам о статических и динамических адресах. Мол это одно и то же, подключите статический IP у нас и все заработает. Да, статический IP будет белым, но как правило, это платная услуга. Да и как мы уже выяснили выше в статье, настраивать DDNS тогда уже не нужно.

Как работает динамический DNS на роутере?

На роутерах разных производителей, даже на разных прошивках, настройка Dynamic DNS может отличаться. Но, так как принцип работы одинаковый, то и схема настройки на всех устройствах будет примерно одинаковой. В рамках этой статьи невозможно подробно показать, как выполнить настройку на разных маршрутизатора (это я буду делать в отдельных статьях), но как это примерно работает, мы сейчас посмотрим.

  1. Нужно зайти в настройки роутера и найти раздел с настройками "DDNS". Он может называться еще "Динамический DNS". Там должен быть список сервисов, которые предоставляют услугу динамического DNS. Некоторые из них платные, некоторые с бесплатным пробным периодом, а некоторые предоставляют DDNS бесплатно (с определенными ограничениями, но нам будет достаточно бесплотной версии). Самые популярные: dyn.com/dns/, no-ip.com, comexe.cn.
    Скорее всего, там сразу будет ссылка на регистрацию в выбранном сервисе, который предоставляет динамические DNS.
    Многие производители сетевого оборудования предоставляют свои сервисы DDNS. Например, у ASUS это WWW.ASUS.COM (в списке сервисов на роутере), на устройствах от Keenetic – KeenDNS (с поддержкой облачного доступа, который работает с серыми IP-адресами). У TP-Link есть сервис TP-Link ID. Но, как я понимаю, он пока что доступен не на всех роутерах и работает только через облако. Если роутер предоставляет свой сервис динамичных доменных имен, то лучше выбрать его.
  2. Нужно зарегистрироваться в выбранном сервисе и получить там уникальный адрес. В настройках роутера нужно указать этот адрес, и скорее всего еще логин и пароль, который вы установили при регистрации в выбранном сервисе.
    Если подключение с сервисом будет установлено (смотрите состояние подключения), то можно сохранять настройки.
  3. После того, как мы получили уникальный адрес и задали все настройки в роутере (и он установил подключение к сервису) можно использовать этот адрес для доступа к самому роутеру через интернет.

    Или к FTP-серверу, например (набрав адрес через ftp://). В случае с FTP, к вашему роутеру должен быть подключен накопитель, настроен FTP-сервер и включен "доступ к Интернет".
    Чтобы заходить через этот адрес в настройки роутера, скорее всего придется в настройках разрешить удаленный доступ для всех адресов.

Безопасность при использовании Dynamic DNS

Так как наш роутер имеет уникальный, постоянный адрес (пусть даже не известный для всех), через который можно получить к нему доступ, то обязательно нужно подумать о безопасности. Чтобы закрыть для посторонних доступ к самому маршрутизатору, FTP-серверу, камерам и другим серверам и устройствам, которые подключены/настроены на роутере.

В первую очередь нужно установить надежный пароль администратора роутера. Об этом я писал в статье как на роутере поменять пароль с admin на другой. Если там есть возможность сменить имя пользователя – смените. Даже если кто-то узнает адрес вашего роутера и перейдет по нему, то не зная логина и пароля, он не сможет получить доступ к настройкам.

Если настроен FTP-сервер, общий доступ к файлам – обязательно нужно сменить имя пользователя и пароль установленного по умолчанию пользователя admin (он запрашивается при доступе к FTP-серверу). Если создаете новых пользователей, то устанавливайте для них надежные пароли.

К маршрутизатору подключена IP-камера, сетевое хранилище NAS? Они также должны быть защищены хорошим паролем. Стандартное имя пользователя (admin) я так же рекомендую сменить. Сделать это можно в настройках этих устройств.

Если вы, например, планируете использовать адрес DDNS только для доступа к FTP-серверу, а доступ к панели управления роутером вам не нужен, то убедитесь, что удаленный доступ отключен в настройках роутера.

Выводы

Функцию DDNS можно настроить только на том роутере, который получает от провайдера внешний, белый, динамический IP-адрес. Если роутер получает статический внешний (WAN) IP-адрес, то в этой функции нет никакого смысла.

Если провайдер не может, или не хочет выдавать вам белый WAN IP-адрес, а вы не хотите, или нет возможности подключить услугу "Статические IP-адрес", то изучите информацию по своему роутеру. Возможно, там есть способ получать доступ к настройкам через облако. Но вот доступ файлам, IP-камере, NAS, через облако скорее всего не настроить.

Можно ли узнать, какой вышестоящий DNS-сервер запрашивает мой маршрутизатор? (только с помощью инструментов DNS)

Теперь ваш вопрос и последующие действия меня просто заинтриговывают, но у меня нет впечатления, что вы понимаете природу DNS и его решимость реплицировать согласованное разрешение адресов / имен.

Если вы считаете, что есть смысл в поиске имен с одного сервера на другой и на хорошо известных серверах, на самом деле это не так, например, если вам нужно было получить адреса серверов имен StackExchange и запрашивать ли вы бесплатный DNS Google или DNS вашего провайдера Более чем вероятно, это будет та же самая информация и, вероятно, такая же быстрая, когда будут внесены изменения. Попытка провести различие между одной бесплатной помощью телефонного справочника по сравнению с другой бесплатной помощью телефонного справочника, когда у обоих есть вторая информация ... не имеет большого значения, пока вам не нужны действительно высокоскоростные и большие объемы поиска и неожиданная бомбардировка любого DNS-сервера, просто получит Исходный ip отфильтрован, подавлен, что угодно.

когда я пытаюсь замаскировать свой источник, не бойтесь признать это, если это ваша цель, время подумать о клиенте ToR вместе с кучей других вещей, которые могут сделать то же самое.

Еще больше чувак, и на основании того факта, что вы не знаете, что вы пытаетесь сделать, но если мне пришлось выполнять поиск в автономном режиме или не хотел использовать DNS-серверы, то выкопать копию ipofflineinfo .exe из Nirsoft или найдите заархивированную версию, поскольку я не вижу ее там в данный момент, поскольку она содержит довольно большой, но не полный IP-адрес БД, инкапсулированный в двоичном файле, и может быть настроен для опроса при подключении или через определенные промежутки времени для обновления способ, которым подводная лодка может всплыть, прежде чем снова исчезнуть.

затем вы помещаете эти записи в свои файлы хоста, не спрашивайте меня, где это происходит, потому что это зависит от того, какую операционную систему вы не предоставляете для совместного использования.

Но найти DNS-сервер можно, если вы хотите использовать сниффер, это так же не нужно, как задавать вопрос, в каком городе находится ваша столица, где находится одна служба поддержки клиентов, поскольку независимо от того, к какому DNS-серверу вы обращаетесь, вы собираетесь получать те же ответы, пока вы не начнете запрашивать внутреннюю информацию о домене, такую ​​как передача зоны, обычно рассматриваемая как часть более обширного теста безопасности и препятствующая проникновению в сеть, «взлом», это веселый разговор, который мы провели бы на другом сервере этого

Ваш первоначальный вопрос, ответ «да», это можно сделать примерно четырьмя командами nslookup, которые находятся внутри каждого файла справки NSlookup, DNS является одним из старейших протоколов Inernet, и чем он старше, тем менее безопасным он никогда не будет. избавление от спама приводит к тому, что протоколы обмена сообщениями, которые его поддерживают, слишком широко установлены, чтобы эффективно заменять их без создания новых социально-экономических классов пользователей электронной почты.

Итак, поделитесь более подробной информацией о том, чего вы пытаетесь достичь, или перейдите в Википедию, потому что эта тема становится настолько простой. Вы кажетесь порядочным парнем, вы вносите свой вклад в сообщество и имеете хорошую репутацию, почему вы так осторожны, так внезапно просто трудно помочь.

// Поскольку вы никогда не возвращались с разъясняющей информацией, я сделаю некоторые общие предположения и приведу следующую магию nslookup для поиска DNS-серверов других людей. Вы должны быть связаны, чтобы сделать эту работу, пытаясь сделать это без контрпродуктивно. Повторное чтение исходного запроса заставляет меня задаться вопросом, пытались ли вы намекнуть, что хотите скопировать каталог адресов DNS-серверов, который является зонной пересылкой и возможен, но не настолько вероятен, как раньше (считается слабым местом безопасности при передаче каталогов) или если бы вы на самом деле просто хотели скопировать всю корневую зону всех DNS в мире, что не так невозможно, как думает и надеется большинство людей, но это совершенно другая дискуссия //

Это для всех новых DNS и NSLookup Curious в мире

* C: \ WINDOWS \ system32> * nslookup Запускает интерактивную оболочку NSLookup в Windows, большинство команд NSLOOKUP распространены в разных операционных системах.

Сервер по умолчанию: resolver1.opendns.com показывает мое текущее имя DNS-сервера. Адрес: 208.67.222.222 показывает мое текущее имя DNS-сервера.

set d = 2 Установить debugLevel 2 / очень многозначный и больше, чем обычно, вывод / полезен для учебных целей, отображая под обложкой

> server 8.8.8.8

Изменение моего предпочитаемого DNS-сервера с opendns.com на бесплатный DNS-сервер Google также на 4.4.4.4

Получил ответ: HEADER: opcode = QUERY, id = 2, rcode = флаги заголовка NOERROR: ответ, хочу рекурсию, рекурсия доступна. вопросы = 1, ответы = 1, авторитетные записи = 0, дополнительные = 0

QUESTIONS:
    8.8.8.8.in-addr.arpa, type = PTR, class = IN
ANSWERS:
->  8.8.8.8.in-addr.arpa
    name = google-public-dns-a.google.com
    ttl = 79942 (22 hours 12 mins 22 secs)

Сервер по умолчанию: google-public-dns-a.google.com Адрес: 8.8.8.8

set type = ns Тип используется для фокусировки возвращаемых данных для типа службы / сервера, указанного в запрашиваемом домене, NS - это DNS-сервер, публично указанный как DNS, MX - внешний почтовый сервер, который должен принимать электронную почту и т. д.

stackexchange.com Мы уже настроили наш DNS-сервер на googles, настроили наш тип для возврата перечисленных DNS-серверов имен. Если мы входим в любой правильно отформатированный домен, он отправляется в виде запроса поиска «DNS» DNS на 8.8.8.8 Сервер: google -public-dns-a.google.com Адрес: 8.8.8.8


Получил ответ: HEADER: opcode = QUERY, id = 3, rcode = флаги заголовка NOERROR: ответ, хочу рекурсию, рекурсия доступна. вопросы = 1, ответы = 3, авторитетные записи = 0, дополнительные = 0

QUESTIONS:
    stackexchange.com, type = NS, class = IN
ANSWERS:
->  stackexchange.com
    nameserver = ns2.serverfault.com
    ttl = 236 (3 mins 56 secs)
->  stackexchange.com
    nameserver = ns3.serverfault.com
    ttl = 236 (3 mins 56 secs)
->  stackexchange.com
    nameserver = ns1.serverfault.com
    ttl = 236 (3 mins 56 secs)

Неофициальный ответ:

stackexchange.com nameserver = ns2.serverfault.com ttl = 236 (3 минуты 56 секунд) stackexchange.com nameserver = ns3.serverfault.com ttl = 236 (3 минуты 56 секунд) stackexchange.com nameserver = ns1.serverfault.com ttl = 236 (3 минуты 56 секунд)

И выводом являются DNS-серверы StackExchange: ns1, ns2 и ns3.serverfault.com Термин «поиск» является официальным словом при описании DNS-серверов. Эти ns1-ns3 не обязательно являются фактическими DNS-серверами в сети serverfault.com, а являются адресом для отправки запросов, скорее всего, это IP-фильтры и балансировщики нагрузки, отвечающие за обработку запроса и за кулисами без взаимодействия с пользователями, «волшебный соус» мы воспринимаем как должное, как включение крана.

Не все DNS-серверы являются «открытыми», что означает, что попытка запроса DNS-серверов Comcasts или корпоративного DNS-сервера извне сети, вероятно, будет запрещена для защиты системных ресурсов и атак.

DNS является одним из старейших протоколов IP и, как правило, более старым протоколом, вероятность того, что он имеет историю атак, и ключевым механизмом атаки. Исходный вопрос намекал на то, что, возможно, вы хотите сделать это анонимно, получая текущую точную информацию, я не критикую и не морализирую, и ваши причины оставаться скрытыми - ваши. Но знайте, что я описал, оставит следы в журнале DNS-серверов и любого интернет-провайдера в цепочке между серверами до деталей, которые они регистрируют и сохраняют эти журналы. Это можно сделать скрытно, но вам придется поделиться некоторым контекстом для эффективного ответа.

Google, сохраняет весь трафик, весь трафик никогда не сбрасывает его

Страница не найдена – Information Security Squad

  • 🐧 Советы по обеспечению безопасности сервера Linux для новичков 28.12.2021

    Как обеспечить безопасность Linux? Поскольку так много наших личных и профессиональных данных сегодня доступно в Интернете, важно, чтобы все – от профессионалов до обычных пользователей Интернета – знали основы безопасности и конфиденциальности. Будучи студентом, я смог получить опыт в этой области в рамках самообразования, а именно изучения различных иностранных материалов, так как в институте рассказывали […]

  • 🐧 Как настроить ведение логов firewalld в системах CentOS/RHEL 8 27.12.2021

    Вопрос: Как включить ведение журнала в firewalld для CentOS/RHEL 8? 1. Отредактируйте файл /etc/firewalld/firewalld.conf и измените строку “LogDenied” на следующую: # vi /etc/firewalld/firewalld.conf LogDenied=all 2. Отредактируйте файл /etc/sysconfig/firewalld и добавьте или измените строку “FIREWALLD_ARGS” на следующую: # vi /etc/sysconfig/firewalld FIREWALLD_ARGS=--debug=10 3. Перезапустите службу firewalld: # systemctl restart firewalld.service 4. Проверьте файл логов firewalld: # tail […]

  • Директ в Инстаграм – как прочитать, написать и отправить сообщения 27.12.2021

    Direct – это дополнительная функция Instagram, позволяющая переписываться с другими людьми. Небольшой факт: “Директ” был разработан почти на 3 года позже самого Instagram и изначально планировался отдельно. Сегодня мы расскажем как пользоваться “Директом” и его функционалом. Директ в Инстаграме – что это и где находится – как войти Начнём, конечно же, с начала. Новые пользователи […]

  • 🌐 Понимание разницы между режимом инкогнито и анонимным просмотром веб страниц 27.12.2021

    Вы попали по адресу, если хотите узнать, чем отличается интернет-серфинг в режиме инкогнито от анонимного режима, а также как получить к ним доступ. Что такое режим инкогнито? Режим инкогнито создает отдельный сеанс просмотра, отличный от основного. Информация о посещаемых вами сайтах не сохраняется в истории просмотров. Даже если вы закроете окно после входа на сайт […]

  • 🌐 Обзор проверенных способов поиска скрытых конечных точек 24.12.2021

    Скрытые конечные точки – это настоящий клад для всех веб-пентестеров, поскольку большинство скрытых конечных точек не используются или устарели, поэтому большинство из них очень уязвимы для различных типов атак на уязвимости. Многие организации сталкивались с атаками на критические уязвимости через скрытые конечные точки. Учитывая это, давайте посмотрим, как мы можем найти скрытые конечные точки. Существуют […]

  • Что делать, если мой маршрутизатор TP-Link получил сетевой IP-адрес, но доступ в Интернет отсутствует? (Для DSL или кабельного широкополосного подключения)

    Требования к использованию Дата последнего обновления: 03-24-2016 15:09:35 PM 406292

    Эта статья подходит для: 

    TL-WR841N , TL-WDR3500 , TL-WR743ND , TL-WR543G , TL-WR2543ND , Archer C50( V1 ) , TL-WDR4900 , TL-MR3420 , TL-WR941ND , TL-WR843N , TL-WR710N , TL-WDR4300 , TL-R402M , TL-WR541G , TL-R860 , TL-WR702N , TL-WR802N , TL-WR700N , TL-WR841HP , TL-WR340G , TL-WR1043ND , TL-WR1042ND , TL-WDR3600 , TL-WR542G , TL-WR842N , Archer C20( V1 ) , TL-WR940N , Archer C7( V1 V2 V3 ) , Archer C20i , TL-WR741ND , TL-WR740N , TL-WR840N , TL-WR841ND , TL-WR810N , TL-WR340GD , TL-WR720N , TL-WR843ND , TL-WR842ND , TL-MR3020 , Archer C5( V1.20 ) , Archer C2( V1 ) , TL-R460 , TL-MR3220 , TL-MR3040

    Чтобы узнать сетевой IP-адрес маршрутизатора:

    Шаг 1. Подключите компьютер к маршрутизатору с помощью кабеля Ethernet.


    Шаг 2. Войдите в веб-утилиту настройки маршрутизатора через веб-браузер (Internet Explorer, Chrome, Mozilla или Safari). По умолчанию имя пользователя и пароль - “admin”.  

    Примечание: Адрес может отличаться в зависимости от модели маршрутизатора. Проверьте правильность адреса на этикетке на задней/нижней панели маршрутизатора.

    Шаг 3. После входа в веб-утилиту в меню слева выберите Status (Состояние).

    Если в разделе WAN в меню Status в полях IP Address/Subnet Mask/Default Gateway/DNS Server (IP-адрес/Маска подсети/Шлюз по умолчанию/DNS сервер) отображены цифры (не все "0"), однако доступ к сети Интернет все еще отсутствует, выполните следующие действия.

    При наличии вышеописанной проблемы, выполните следующие шаги.

    Шаг 1. Введите адрес DNS-сервера:
    Перейдите в DHCP > DHCP settings (DHCP > Настройки DHCP), затем введите 8.8.8.8 в поле Primary DNS (Предпочитаемый DNS-сервер), нажмите Save (Сохранить).

    8.8.8.8 – это бесплатный и безопасный общедоступный DNS-сервер, предоставляемый Google. Для получения дополнительной информации нажмите здесь.

    Шаг 2. Перезагрузите маршрутизатор для завершения настроек

    Перейдите System Tools > Reboot (Системные инструменты > Перезагрузка), нажмите кнопку “Reboot” (Перезагрузка), чтобы завершить настройку.

     

    Шаг 3. Подождите 1-2 минуты, после чего проверьте наличие доступа в Интернет.

    Если вам необходима помощь в решении проблемы, свяжитесь со Службой технической поддержки TP-Link, отправив нам запрос на адрес [email protected]

    Был ли этот FAQ полезен?
    Ваш отзыв поможет нам улучшить работу веб-сайта.

    Да Не знаю Нет

    Вы хотите добавить что-нибудь ещё?

    Как мы можем это улучшить?

    Отправить Нет, спасибо.

    Спасибо
    Спасибо за обращение
    Нажмите здесь, чтобы связаться с технической поддержкой TP-Link.

    Cisco router в качестве DNS server

    Cisco router можно настроить в качестве кеширующего DNS сервера. Это удобно в небольших офисах, где нет серверов Windows и AD.
    Общий вид команд выглядит следующим образом:

    ip domain lookup ip domain timeout 2 ip domain name office.local ip host name1 192.168.0.11 ip host name2 192.168.0.12 ip name-server 192.168.2.3 ip name-server 178.23.144.5 ip name-server 8.8.8.8 ip name-server 8.8.4.4 ip dns server

    ip domain lookup - включает трансляцию имён в ip адреса основанную на dns. Этот параметр включен по умолчанию. Часто его выключают чтобы маршрутизатор не "зависал" при вводе ошибочной команды, но для нашей цели его необходимо включить.
    ip name-server - этот параметр задаёт адрес одного или нескольких серверов имён (dns). Приоритет определяется сверху вниз.
    ip domain name - задаёт имя домена по умолчанию для пользователей Cisco IOS software для разрешения "неопознаных" доменных имён (имена без суффикса.
    ip dns server - включаем собственно кеширующий DNS сервер на циске

    Конструкция ip host name1 192.168.0.11 работает подобно файлу hosts в windows.

    Проверка:
    show ip dns view

    Предыдущий конфиг приводит к тому, что роутер будет отвечать на все запросы DNS: как изнутри так и снаружи.
    Для того, чтобы DNS сервер отвечал только на внутренние запросы у нас есть два пути:

    Приведём здесь стандартный ACL, который в том числе запрещает доступ к нашему DNS через внешний интерфейс, и при этом разрешает DNS-запросы наружу:

    ip access-list extended outside_acl_in remark --- Add anti-spoofing entries. !--- Deny special-use address sources. !--- Refer to RFC 3330 for add deny ip 127.0.0.0 0.255.255.255 any deny ip 192.0.2.0 0.0.0.255 any deny ip 224.0.0.0 31.255.255.255 any deny ip host 255.255.255.255 any remark --- The deny statement should not be configured !--- on Dynamic Host Configuration Protocol (DHCP) r deny ip host 0.0.0.0 any remark --- Filter RFC 1918 space. deny ip 10.0.0.0 0.255.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any remark --- Explicitly permit return traffic. !--- Allow specific ICMP types. permit icmp any any echo permit icmp any any echo-reply permit icmp any any unreachable permit icmp any any time-exceeded deny icmp any any remark --- These are outgoing DNS queries. permit udp any eq domain any gt 1023 remark --- Permit older DNS queries and replies to primary DNS server. permit udp any eq domain any eq domain remark --- Permit legitimate business traffic. permit tcp any any established permit udp any range 1 1023 any gt 1023 remark --- Deny all other DNS traffic. deny udp any any eq domain deny tcp any any eq domain remark --- Allow IPSec VPN traffic. permit udp any any eq isakmp permit udp any any eq non500-isakmp permit esp any any permit ahp any any permit gre any any remark --- These are Internet-sourced connections to !--- publicly accessible servers. permit tcp any any eq 22 remark --- Explicitly deny all other traffic. deny ip any any interface Port-channel1.81 ip access-group outside_acl_in in

    В данном случае мы можем использовать функционал Split DNS:

    ip domain lookup ip domain timeout 2 ip domain name office.local ip name-server 8.8.8.8 ip name-server 8.8.4.4 ip dns server ip dns view no_dns_service_view no domain lookup no dns forwarding ip dns view default domain timeout 2 dns forwarder 8.8.8.8 ip dns view-list no_dns_service_list view no_dns_service_view 1 interface Port-channel1.81 ip dns view-group no_dns_service_list

    Источник:
    Split DNS
    http://www.cisco.com/c/en/us/td/docs/ios/12_4t/12_4t11/htspldns.html#wp1...

    show hosts
    clear host all *

    Как настроить службу Smart DNS-прокси на маршрутизаторе DD-WRT

    Многие службы потоковой передачи мультимедиа разрешают только определенный контент в определенных странах. Наиболее распространенным способом обеспечения соблюдения этих ограничений является проверка IP-адреса зрителя и попытка определить его местоположение в регионе. VPN - это обычный способ обойти эту тактику геолокации, но VPN может замедлить трафик. Это нормально для обычного веб-использования, но затрудняет потоковую передачу. SmartDNS имеет другой метод обработки этого.

    Что такое умный DNS-прокси?

    Smart DNS - это комбинация серверов доменных имен (DNS) и тактически расположенных прокси. Система DNS преобразует понятные человеку доменные имена в машиночитаемые IP-адреса. Используя Netflix в качестве примера: ваше приложение Netflix делает запрос DNS, чтобы узнать IP-адрес сервера Netflix, к которому он должен подключиться. Затем приложение использует эту информацию для запроса контента с этого IP-адреса. При нормальной работе это позволяет серверу Netflix видеть ваш реальный IP-адрес. Это необходимая информация, необходимая серверу для отправки потока обратно в ваше приложение. Если сервер Netflix видит канадский IP-адрес, запрашивающий содержимое Соединенных Штатов, он не позволит.

    Как работает умный DNS прокси?

    Smart DNS-серверы отвечают с разными IP-адресами на конкретные запросы. Например, устройство с приложением Netflix запускается с запроса IP-адреса для службы Netfilx с ваших DNS-серверов. При использовании Smart DNS серверы DNS будут возвращать IP-адрес интеллектуального прокси-сервера, а не IP-адрес Netflix. Этот интеллектуальный IP-прокси DNS будет существовать в той же стране, что и служба, к которой вы хотите получить доступ; в моем случае - США, разрешающие доступ к ограниченному контенту.

    Это означает, что поток трафика от моего устройства -> к интеллектуальному DNS-прокси, которому разрешен доступ к содержимому Netflix -> к серверам Netflix. Видеопоток возвращается в обратном порядке; отправлено от Netflix -> на умный DNS прокси -> на мое устройство. Поскольку сервер Netflix может видеть только IP-адрес прокси, он не знает, как ограничить содержимое. Обратите внимание, что только сайты, в которых служба Smart DNS настроена для использования прокси. Например, запросы к поисковой системе, такой как Google, заставят умные DNS-серверы отвечать реальным IP-адресом Google, и ваш последующий визит в Google не будет проходить через интеллектуальные DNS-прокси. Я попытался проиллюстрировать эту концепцию на диаграмме ниже.

    Являются ли Smart DNS прокси лучше, чем VPN?

    Безопасность и анонимность имеют много уровней. Здесь нет серебряной пули, и разные технологии решают разные проблемы. VPN по своей природе не лучше и не хуже, чем прокси, он просто другой.

    VPN обеспечивают превосходную конфиденциальность по сравнению с прокси, потому что VPN шифруют трафик и скрывают ваш реальный IP-адрес. Прокси, с другой стороны, допускают гораздо более высокие скорости, но недостатком является то, что скорость достигается за счет потери конфиденциальности. Ваш интернет-провайдер будет знать, что вы используете потоковую передачу с интеллектуального прокси-сервера DNS, тогда как вашему интернет-провайдеру гораздо сложнее увидеть, что вы делаете в зашифрованном VPN-туннеле..

    Насколько приватным является интеллектуальный DNS-прокси?

    Как только вы переключаетесь на интеллектуальный набор DNS-серверов имен, все ваши DNS-запросы будут отправляться на эти DNS-серверы. Даже если вы не планируете осуществлять потоковую передачу и просто занимаетесь повседневными делами, интеллектуальная служба DNS может видеть все ваши запросы DNS. Люди, которые заботятся о конфиденциальности, естественно, должны доверять сервисам, которые имеют доступ к большому количеству информации о своих привычках просмотра.

    Чтобы использовать большинство интеллектуальных DNS-прокси-серверов, ваш текущий IP-адрес должен быть зарегистрирован в системе. Таким образом вы получаете право использовать его серверы имен вместо того, чтобы DNS-серверы не поддерживали аутентификацию..

    Из этого можно сделать вывод, что по крайней мере ваш текущий IP-адрес записан в системе. Некоторые провайдеры интеллектуальных DNS, кажется, сохраняют предыдущие IP-адреса, по крайней мере, на некоторое время. Когда я изменил свой IP-адрес в службе SmartDNSProxy, это сообщение было отображено:

    Обратите внимание: мы обнаружили, что вы ранее пользовались услугой VPN / IP-центром обработки данных, пожалуйста, отключитесь от VPN / центра обработки данных и используйте свой собственный IP-адрес для активации наших услуг..

    В нем явно не указано, каким был мой предыдущий IP, но он определенно отслеживает тот факт, что он изменился. Однако, поскольку ваш текущий IP-адрес будет включен в любой DNS-запрос к его системе, очевидных дополнительных недостатков в этом нет..

    Как настроить маршрутизатор DD-WRT для использования интеллектуального DNS-прокси

    Преимущество настройки маршрутизатора для использования Smart DNS заключается в том, что вам больше не нужно настраивать каждое отдельное устройство в вашей внутренней сети. Пока все эти устройства подключены к одному и тому же маршрутизатору, его настройка для отправки DNS-запросов на интеллектуальные DNS-серверы будет охватывать вас..

    Первым шагом является получение IP-адреса DNS-серверов Smart Proxy, которые вы хотите использовать. Каждая служба предоставляет IP-адреса DNS-сервера где-то на своем сайте, хотя вам может потребоваться войти в свою учетную запись, чтобы увидеть их. Некоторые провайдеры, такие как SmartDNSProxy, имеют DNS-серверы по всему миру, которые могут повысить скорость DNS-запросов. Как правило, вы хотите выбрать DNS-сервер как можно ближе к вашему физическому местоположению. Мой маршрутизатор DD-WRT поддерживает до трех статических записей DNS, но большинство интеллектуальных служб DNS предоставляют только два DNS-сервера..

    Получите доступ к интерфейсу администратора DD-WRT и войдите в систему. Обычно это по адресу http://192.168.0.1, но вы могли изменить это во время установки. Перейдите к Настроить -> Основные настройки табуляция.

    Прокрутите вниз, чтобы найти настройки сервера сетевых адресов (DHCP) и введите выбранные IP-адреса Smart DNS в поля Static DNS 1/2/3.

    Нажмите на Применить настройки Кнопка внизу страницы. На этом этапе вы должны использовать новые DNS-серверы. Если вы все еще заблокированы, возможно, вам придется перезагрузить маршрутизатор. Для этого перейдите к администрация вкладку и нажмите Перезагрузить роутер кнопка внизу страницы.

    Протестируйте новые настройки, чтобы убедиться, что они работают

    Окончательным тестом будет доступ к ранее недоступному контенту. Если он загружается, значит, он работает. Если вам нужны некоторые жесткие данные, вы можете использовать тест утечки DNS Comparitech, чтобы проверить, какие серверы имен используются в вашей системе. Стоит сообщить о умных DNS серверах.

    Smart DNS - это инновационный сервис, использующий DNS-отравления. Как правило, отравление DNS - это механизм атаки, позволяющий перенаправлять людей с законных сайтов на вредоносные. Но в этом случае одни и те же методы используются для предоставления услуги, полезной для многих людей..

    Вам также может понравиться VPNВ чем разница между прокси-сервером и VPN? VPNУстановка клиента и сервера OpenVPN на маршрутизаторе DD-WRT Статистика VPNVPN: что цифры говорят нам о VPNsVPNКак сотрудники правоохранительных органов могут защитить свою конфиденциальность в Интернете

    Sorry! The Author has not filled his profile.

    Как работают сети: что такое коммутатор, маршрутизатор, DNS, DHCP, NAT, VPN и еще десяток полезных вещей

    Тема нетворкинга, к сожалению, утомляет многих наших коллег. Все используемые технологии, протоколы и лучшие практики довольно старые, они уже давно окружают нас и обеспечивают связь между миллионами устройств вокруг нас. Даже программисты чаще всего принимают сети как должное и не думают о том, как они работают.

    У нас часто бывает: мы каждый день используем такие слова, как IP и DNS, но не понимаем, как все это работает и как это примерить.Такое отношение не только неверно, но и неверно для карьеры любого уважающего себя ИТ-инженера. Неважно, сколько фреймворков вы выучили, без сетевых знаний вас не воспримут всерьез. Никакая часть инфраструктуры не должна оставаться черным ящиком ни для разработчиков, ни для администраторов, ни, конечно, для вас, будущего инженера DevOps.

    Цель этой статьи - не дать исчерпывающее руководство по сетям. Внутри статьи и в конце я дам много ссылок на источники, которые помогут вам углубить полученные знания.Не поленитесь, переходите по всем ссылкам и все прочтите.

    Но в этом тексте мы сосредоточимся на сетевой структуре, ее основных компонентах и ​​посмотрим, как они используются на практике с помощью виртуальных машин и libvirt / KVM в частности, с которыми мы познакомились в предыдущей статье.

    OSI модель

    Прежде всего, нам нужно познакомиться с моделью OSI. Эта модель стандартизирует обмен данными между сетевыми протоколами.

    OSI делит обмен данными на 7 уровней, каждый из которых имеет свои протоколы.Вы часто будете слышать такие вещи, как «это происходит на 3-м слое». Вот эти слои:

    1. Физический уровень
    2. Уровень канала передачи данных
    3. Сетевой уровень
    4. Транспортный уровень
    5. Сессионный уровень
    6. Уровень представления
    7. Уровень приложения
    Физический уровень

    Протоколы этого уровня отвечают за аппаратную связь на самом нижнем уровне. Сама передача данных по проводам (или беспроводным) описывается на этом уровне.Примеры протоколов: Wi-Fi, Bluetooth, DSL.

    Уровень канала передачи данных

    Уровень канала данных отвечает за передачу данных между двумя устройствами в одной сети. Данные передаются кадрами, кадр содержит физический адрес отправителя и получателя. Этот адрес называется MAC-адресом.

    Итак, кто отправитель и получатель?

    Прежде всего, каждое устройство (включая ваш ноутбук) имеет NIC - контроллер сетевого интерфейса. Это часть оборудования (или виртуального оборудования), которое отвечает за отправку и получение кадров.Сетевая карта имеет MAC-адрес - уникальный адрес, обычно встроенный в оборудование или генерируемый системой виртуализации.

    Конечно, на машине может быть несколько сетевых адаптеров. Посмотрим на интерфейсы с помощью команды ip :

      [root @ localhost ~] Показать ссылку $ ip
    1: lo:  mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT
        ссылка / петля 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00
    2: eth0:  mtu 1500 qdisc pfifo_fast состояние UP mode DEFAULT qlen 1000
        ссылка / эфир 52: 54: 00: 05: 36: e6 brd ff: ff: ff: ff: ff: ff
      

    В данном случае интерфейс, используемый для связи с миром через сеть, - это eth0, который имеет MAC-адрес 52: ​​54: 00: 05: 36: e6 .Но что такое lo ?

    lo - это устройство обратной связи, особый виртуальный интерфейс, который система использует для связи с собой. Благодаря lo локальные приложения могут взаимодействовать друг с другом даже без подключения к сети.

    Вы уже заметили, что у вашего компьютера миллиарды кабелей, подключенных напрямую ко всем компьютерам в мире. Сеть нуждается в дополнительных устройствах для своей организации.

    Например, переключатель .

    Коммутатор - это устройство, которое создает сеть и к которому все наши машины подключены через порты. Задача коммутатора L2 (есть и более продвинутые, касающиеся L3 и даже L7) - пересылать кадры от отправителя MAC к получателю MAC. Многие устройства, подключенные к одному коммутатору, образуют локальную сеть (LAN).

    Конечно, связка серверов, подключенных к одному коммутатору, - вполне очевидный способ создания сети. Но что, если мы хотим создать сеть серверов, физически расположенных в разных местах? Или, скажем, мы хотим логически разделить серверы, подключенные к одному коммутатору в одном месте, в разные сети?

    Для таких случаев создается VLAN (виртуальная локальная сеть).Вы можете реализовать это, скажем, с помощью переключателя. Работает он довольно просто: к фрейму добавляется дополнительный заголовок с VLAN-тегом, который определяет, к какой сети принадлежит фрейм.

    Еще одно устройство - мост. Мост L2 используется для соединения двух сетей, образованных с помощью коммутаторов, следующим образом:

    И коммутаторы, и мосты (а также концентраторы, читайте сами) помогают объединить несколько устройств в одну сеть. Также есть роутеры, которые соединяют сети, они работают на L3.Например, ваш Wi-Fi роутер соединяет вашу локальную сеть (где есть ваш ноутбук, мобильный телефон и планшет) с Интернетом.

    Помимо LAN, есть еще несколько типов сетей: например, WAN. Интернет можно считать WAN, за исключением того, что Интернет полностью стирает географические границы сети.

    Как я уже упоминал, существуют также коммутаторы L3, которые могут не только пересылать кадры с одного устройства на другое, но также обладают некоторыми более продвинутыми функциями, такими как маршрутизация.Итак, в чем разница между маршрутизатором и коммутатором L3, спросите вы. Все это довольно сложно (и скучно), но если вам интересно, прочтите эту статью Коммутаторы уровня 3 в сравнении с маршрутизаторами

    .
    Сетевой уровень

    На третьем, сетевом уровне, вместо MAC-адресов используются IP-адреса. Посмотрим на IP нашего устройства с помощью той же команды ip :

      [root @ localhost ~] $ ip addr show
    1: lo:  mtu 65536 qdisc noqueue state UNKNOWN
        ссылка / петля 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00
        инет 127.0.0.1 / 8 объем хоста lo
           valid_lft навсегда предпочтительный_lft навсегда
        inet6 :: узел области 1/128
           valid_lft навсегда предпочтительный_lft навсегда
    2: eth0:  mtu 1500 qdisc pfifo_fast состояние UP qlen 1000
        ссылка / эфир 52: 54: 00: 05: 36: e6 brd ff: ff: ff: ff: ff: ff
        inet 192.168.122.212/24 brd 192.168.122.255 область глобального динамического eth0
           valid_lft 2930sec предпочтительный_lft 2930sec
        inet6 fe80 :: 5054: ff: fe05: 36e6 / 64 ссылка на область видимости
           valid_lft навсегда предпочтительный_lft навсегда
      

    Модель 192.Адрес 168.122.212 / 24 назначается интерфейсу eth0 .

    А что такое /24 ? А почему у loopback интерфейса /8 ? Вы, наверное, уже слышали, что существует 4 294 967 296 адресов IPv4. Интернет - это не одна большая сеть, а множество маленьких сетей. Более того, отдельные блоки IP-адресов зарезервированы для разных типов сетей (например, частных сетей, недоступных извне).

    Адресов IPv6 намного больше.Но полного перехода на IPv6 еще не произошло 🙂

    CIDR - это метод распределения IP-адресов для различных типов сетей. А CIDR-нотация - это способ записать этот блок в формате 192.168.122.212/24 , где число /24 , называемое маской, позволяет понять, сколько адресов в этом блоке.

    IPv4 - это простое число длиной 32 бита, которое может быть представлено в двоичном коде. В двоичном коде IP-адреса идут от 00000000000000000000000000000000 до 111111111111111111111111111111 .Для удобства разделим это число на 4 части, каждая из которых состоит из 8 цифр: 11111111.11111111.11111111.11111111 . В привычной десятичной системе этот адрес выглядит так: 255.255.255.255 .

    Маска /24 может быть представлена ​​как 255.255.255.0 или, в двоичной записи, 11111111.11111111.11111111.00000000 . Чтобы найти первый и последний адреса сети, мы можем использовать один из адресов и сетевую маску и применить побитовое И к их двоичной записи:

      11000000.8 градусов, или 256 адресов. Это означает, что последний адрес будет  192.168.122.255 . 

    Не нужно все это считать вручную, можно воспользоваться калькулятором.

    ARP

    Мы уже знаем, что L2 использует MAC-адреса, а L3 - IP-адреса. Должен быть какой-то механизм, который связывает MAC-адрес с его IP-адресом. Этот механизм называется ARP (протокол разрешения адресов).

    В Linux есть одноименная команда arp , которая позволяет нам просматривать таблицу MAC-адресов, известных устройству, и сопоставленных с ними IP-адресов.

      [корень @ localhost] # arp -n
    Адрес HWtype HWaddress Флаги Маска Iface
    192.168.178.1 эфир 5c: 49: 79: 99: f3: 23 C wlp3s0
      

    В данном случае 192.168.178.1 - это IP-адрес моего Wi-Fi роутера, к которому мой ноутбук подключен через интерфейс wlp3s0.

    Команда arp считается устаревшей, и настоятельно рекомендуется использовать вместо нее ip neigh .

    Один из видов кибератак связан с ARP и называется ARP-спуфингом.Цель такой атаки - подменить MAC-адрес, связанный с определенным IP-адресом, на адрес устройства хакера. Жизнь действительно страшная вещь.

    DHCP

    А как именно сетевому интерфейсу присваивается IP-адрес? Один из вариантов - вручную. Недостаток: ручная работа. Если руками не разбираешься, можно настроить дубликаты адресов и получить конфликт 🙂

    Другой вариант: протокол динамической конфигурации хоста (DHCP), протокол, используемый для автоматической настройки различных конфигураций, включая IP-адреса.

    Дополнительные сведения о DHCP см. В документации RFC: https://www.ietf.org/rfc/rfc2131.txt

    Для работы DHCP вам необходим DHCP-сервер, который будет назначать IP-адреса, и DHCP-клиент на вашем устройстве, который будет запрашивать адрес. Дома DHCP-сервер обычно находится в роутере.

    Чтобы понять, как именно работает DHCP, нужно ориентироваться на «широковещательную рассылку». Это процесс, в котором наш сервер передает сообщение на всех серверов в сети, поскольку он не знает, где именно находится нужная ему информация.Такое широковещательное общение близко к радиовещанию.

    В случае DHCP это происходит так:

    1. DHCP-клиент отправляет широковещательное сообщение с запросом «Мне нужен IP-адрес»
    2. DHCP-сервер перехватывает его и отправляет обратно широковещательное сообщение "У меня есть IP-адрес x.x.x.x, вы хотите его?"
    3. DHCP-клиент получает сообщение и отправляет другое: «Да, мне нужен адрес x.x.x.x»
    4. DHCP-сервер отвечает: «Хорошо, затем x.x.x.x принадлежит вам "

    На этом видео весь процесс показан более четко: https://www.youtube.com/watch?v=RUZohsAxPxQ

    А где хранятся настройки подключения?

    Настройки подключения хранятся в / etc / sysconfig / network-scripts . Здесь вы можете редактировать такие вещи, как способ назначения IP-адреса (автоматический или статический), запускать ли соединение автоматически при загрузке системы или нет и т. Д. Например, так выглядит моя конфигурация Wi-Fi-соединения :

      [root @ localhost network-scripts] # ​​cat ifcfg-FRITZ-Box_7490
    HWADDR = 4C: 34: 88: 54: C1: 2B
    ESSID = "FRITZ! Box 7490"
    РЕЖИМ = Управляемый
    KEY_MGMT = WPA-PSK
    ТИП = беспроводной
    BOOTPROTO = dhcp
    РАЗМОРАЖИВАТЬ = да
    IPV4_FAILURE_FATAL = нет
    IPV6INIT = да
    IPV6_AUTOCONF = да
    IPV6_DEFROUTE = да
    IPV6_FAILURE_FATAL = нет
    NAME = "FRITZ! Box 7490"
    UUID = 55ba9218-1d2f-407d-af13-51502d542edb
    ONBOOT = да
    SECURITYMODE = открытый
    PEERDNS = да
    PEERROUTES = да
    IPV6_PEERDNS = да
    IPV6_PEERROUTES = да
      

    Обратите внимание на BOOTPROTO = dhcp - эта опция означает, что мой компьютер будет использовать DHCP-сервер, в том числе для получения IP-адреса.Для сравнения, конфигурация подключения для устройства с обратной связью:

      [root @ localhost сетевые сценарии] # cat ifcfg-lo
    УСТРОЙСТВО = lo
    IPADDR = 127.0.0.1
    NETMASK = 255.0.0.0
    СЕТЬ = 127.0.0.0
    # Если у вас есть проблемы с gated, делающим 127.0.0.0/8 марсианином,
    # вы можете изменить это на что-нибудь другое (например, 255.255.255.255)
    РАССЫЛКА = 127.255.255.255
    ONBOOT = да
    NAME = loopback
      

    Здесь указан статический адрес: IPADDR = 127.0.0.1 . Дома вы можете использовать инструмент nmcli или установить пакет Networkmanager-tui , который предоставит удобный текстовый интерфейс прямо в вашей консоли, вместо того, чтобы редактировать конфиги вручную.в полевых условиях, на серверах, лучше этого не делать и использовать систему конфигурации (Puppet, Chef, Salt).

    Еще одна важная часть конфигурации: маршрутизация. Как понять, куда пойдет трафик? Все довольно просто: достаточно посмотреть локальную таблицу маршрутизации с помощью команды ip_r . На момент написания я сижу в кафе с ноутбуком, который использует мобильный телефон в качестве маршрутизатора. Вот что отображает ip_r :

      по умолчанию через 172.20.10.1 dev wlp3s0 proto static metric 600
    172.20.10.0/28 dev wlp3s0 ссылка области видимости ядра src 172.20.10.3 метрика 600
    192.168.100.0/24 dev virbr2 proto kernel scope link src 192.168.100.1
    192.168.122.0/24 dev virbr0 прото ссылка на область видимости ядра src 192.168.122.1
      

    Как видите, весь трафик по умолчанию идет на машину с адресом 172.20.10.1 . И если я запустил ip addr show , я увижу, что сетевой интерфейс на моем ноутбуке также имеет IP-адрес из этой сети:

      4: wlp3s0:  mtu 1500 qdisc mq state UP группа по умолчанию qlen 1000
        ссылка / эфир 4c: 34: 88: 54: c1: 2b brd ff: ff: ff: ff: ff: ff
        Инет 172.20.10.3 / 28 brd 172.20.10.15 область видимости глобальная динамическая wlp3s0
           valid_lft 83892sec предпочтительный_lft 83892sec
        inet6 fe80 :: 4e34: 88ff: fe54: ссылка области видимости c12b / 64
           valid_lft навсегда предпочтительный_lft навсегда
      

    Вы можете добавлять новые пути с помощью команды ip r add и удалять их с помощью команды ip r del .

    DNS

    Вы, наверное, уже слышали о DNS. Идея проста: запрашивать сервер не по его IP-адресу (это сложно запомнить людям), а по его обычному имени.

    Самый старый и самый популярный DNS-сервер (тот, который хранит информацию об адресах и отвечает на запросы) - это BIND. Альтернатив много, но в первую очередь рекомендуется локально развернуть именно BIND.

    Материал из Cisco DNS Best Practices, Network Protections и Attack Identification должен быть в вашем списке для чтения - там вы узнаете не только основы DNS, но и множество полезных рекомендаций по созданию безопасного и устойчивого DNS-сервера.

    Возможно автоматическое обновление записей в DNS-сервере. Вы можете прочитать о nsupdate. Ниже вы найдете ссылку на отличное руководство по настройке, включая безопасное обновление записей. Одно из интересных применений - обнаружение сервисов. Посмотрите в интернете, что это такое, или дождитесь статьи об этом на mkdev 🙂

    До DNS у нас был только файл / etc / hosts. Его часто используют даже сейчас.

    Раздел "Вирусы для чайников"! Откройте файл / etc / hosts на компьютере друга и добавьте туда строку 52.28.20.212 facebook.com . Больше не сидишь в фейсбуке, лучше он занимается развитием!

    Есть еще один интересный файл /etc/nsswitch.conf. Здесь определяется, в каком порядке и где искать различную информацию, в том числе где искать хосты. По умолчанию они ищутся в / etc / hosts, и только после этого отправляется запрос к DNS-серверу.

    Сервер, используемый для разрешения DNS-имен, кстати, определен в /etc/resolv.conf.

    Отлаживать проблемы DNS лучше с помощью команд dig и nslookup.Например, чтобы запросить информацию о mkdev.me с сервера имен 8.8.8.8, все, что вам нужно сделать, это:

      # dig mkdev.me @ 8.8.8.8
    
    ; << >> DiG 9.10.3-P4-RedHat-9.10.3-12.P4.fc23 << >> mkdev.me @ 8.8.8.8
    ;; глобальные параметры: + cmd
    ;; Получил ответ:
    ;; - >> HEADER << - код операции: QUERY, статус: NOERROR, id: 3320
    ;; флаги: qr rd ra; ЗАПРОС: 1, ОТВЕТ: 1, АВТОРИТЕТ: 0, ДОПОЛНИТЕЛЬНО: 1
    
    ;; ОПТИЧЕСКАЯ ПСЕВДОЗЕКЦИЯ:
    ; EDNS: версия: 0, флаги :; UDP: 512
    ;; РАЗДЕЛ ВОПРОСА:
    ; mkdev.меня. В
    
    ;; ОТВЕТНАЯ ЧАСТЬ:
    mkdev.me. 299 IN A 52.28.20.212
    
    ;; Время запроса: 355 мсек.
    ;; СЕРВЕР: 8.8.8.8 # 53 (8.8.8.8)
    ;; КОГДА: Пт, 27 мая, 12:51:04 CEST 2016
    ;; РАЗМЕР MSG rcvd: 53
    
      
    Виртуальные машины

    До этого все примеры делались на локальной машине. Конечно, это полезно для вашего восприятия, но не так уж и интересно. Поэтому закрепим все прочитанное с помощью виртуальных машин и libvirt, а также познакомимся с парочкой терминов.

    Прежде всего, давайте создадим виртуальную машину с помощью virt-install:

      sudo virt-install --name mkdev-network-basics-1 \
    --location ~ / Downloads / CentOS-7-x86_64-Minimal-1511.iso \
    --initrd-inject /path/to/ks.cfg \
    --extra-args ks = файл: /ks.cfg \
    --memory = 1024 --vcpus = 1 - размер диска = 8
      

    По умолчанию libvirt создает одну сеть:

      [root @ localhost] # список сетей virsh
     Имя Состояние Автозапуск Постоянный
    -------------------------------------------------- --------
     по умолчанию активен да да
      

    Блок 192.168.0.0/16 выделен для частных сетей. libvirt выделил для своей сети блок 192.168.122.212/24 , то есть все адреса из 192.168.122.0 к 192.168.122.255 .

    Чтобы просмотреть подробную информацию о конкретной сети, вы можете использовать virsh net-info или virsh net-dumpxml . Вторая команда вернет намного больше деталей, поэтому воспользуемся ею:

      [root @ CentOS-72-64-minimal ~] # virsh net-dumpxml по умолчанию
    <сетевые подключения = '1'>
       по умолчанию 
       f2ee9249-6bed-451f-a248-9cd223a80702 
      <режим пересылки = 'nat'>
        
          <начало порта = '1024' end = '65535' />
        
      
      <имя моста = 'virbr0' stp = 'on' delay = '0' />
      
      
        
          <диапазон start = '192.168.122.2' end = '192.168.122.254' />
        
      
    
      

    соединений показывает количество машин, подключенных к этой сети. Подробное описание всех возможных опций этого XML-файла вы можете прочитать в документации libvirt. Но сейчас нас интересуют два слова: мост и dhcp.

    Мост

    , или устройство virbr0, или виртуальный сетевой коммутатор - это специальное устройство, к которому подключены все виртуальные машины в этой сети.Все запросы от одной виртуальной машины к другой в одной сети проходят через этот виртуальный коммутатор. Libvirt создает по одному виртуальному коммутатору для каждой сети, и каждый коммутатор распознается как отдельное устройство на хост-машине:

      [root @ localhost] # отображение IP-ссылки
    8: virbr1:  mtu 1500 qdisc noqueue state UP mode DEFAULT
        ссылка / эфир 52: 54: 00: a8: 02: f2 brd ff: ff: ff: ff: ff: ff
      

    Создание сети в libvirt по умолчанию приравнивается к созданию виртуального коммутатора, к которому подключены все виртуальные машины, таким образом создается локальная сеть, LAN.

    Коммутатор virbr0 реализован с использованием Linux Bridge - технологии, изначально предназначенной именно для создания виртуальных локальных сетей. Вы можете увидеть список всех коммутаторов, выполняющих команду brctl show на хост-машине.

    Linux Bridge "немного" отличается от типичного аппаратного коммутатора L2. За годы существования в него было добавлено множество функций, таких как фильтрация трафика и межсетевой экран. Лучше всего называть это переключателем L3, но здесь ваш покорный слуга не совсем уверен.

    Теперь обратим внимание на следующий раздел:

      
        
          <диапазон start = '192.168.122.2' end = '192.168.122.254' />
        
      
      

    Здесь объявляется блок адресов, используемых для виртуальных машин в этой сети. 192.168.122.1 - это IP-адрес хост-машины в этой виртуальной сети.

    Если мы запустим ip r в ВМ, мы увидим:

      [бродяга @ localhost ~] $ ip r
    по умолчанию через 192.168.122.1 dev eth0 proto static metric 100
    192.168.122.0/24 dev eth0 proto ссылка на область видимости ядра src 192.168.122.209 метрика 100
      

    По умолчанию трафик от ВМ идет наружу через хост-машину. В качестве развлечения вы можете настроить конфигурацию трафика, направленного на одну виртуальную машину через другую.

    Как мы уже знаем, за назначение IP-адресов отвечает DHCP-сервис. Libvirt использует dnsmaq для DHCP и DNS и запускает по одному экземпляру dnsmasq для каждой сети.

      `[root @ CentOS-72-64-minimal ~] # ps aux | grep dns
    никто 10600 0,0 0,0 15548 856? С 01 апреля 0:02 / sbin / dnsmasq --conf-file = / var / lib / libvirt / dnsmasq / default.conf --leasefile-ro --dhcp-script = / usr / libexec / libvirt_leaseshelper
    корень 10601 0,0 0,0 15520 312? С 01 апр 0:00 / sbin / dnsmasq --conf-file = / var / lib / libvirt / dnsmasq / default.conf --leasefile-ro --dhcp-script = / usr / libexec / libvirt_leaseshelper
      

    Теперь мы можем взглянуть на таблицу DHCP, которая покажет нам назначенные адреса:

      [root @ loclahost] # virsh net-dhcp-leases по умолчанию
     Срок действия MAC-адрес Протокол IP-адрес Имя хоста Идентификатор клиента или DUID
    -------------------------------------------------- -------------------------------------------------- ---------------
     2016-04-29 16:31:19 52: 54: 00: 05: 36: e6 ipv4 192.168.122.212 / 24 - -
      

    Обратите внимание, что 52: ​​54: 00: 05: 36: e6 - это MAC-адрес нашей виртуальной машины интерфейса eth0.

    NAT

    Когда вы читали о CIDR, кое-что могло привлечь ваше внимание: даже если мы разделим сеть на множество блоков, общее количество IP-адресов не увеличится. На самом деле всегда используется комбинация частного и публичного адресов. Обычно за одним публичным адресом скрывается множество машин, каждая из которых имеет свой частный адрес.

    Это верно и для наших виртуальных машин. У каждого есть частный IP-адрес из блока 192.168.122.0/24 , и все они скрыты за публичным адресом хост-машины.

    Хост-машина, если мы продолжим использовать наш личный ноутбук дома, будет скрыта за нашим маршрутизатором Wi-Fi и также не имеет публичного адреса.

    На первый взгляд, наличие у виртуальных машин доступа в Интернет кажется очевидным. Но у виртуальной машины есть только частный адрес, который недоступен за пределами хост-машины.Запросы виртуальной машины общедоступного сервера куда-то должны переслать ответ, но она просто не сможет найти частный IP-адрес виртуальной машины (потому что он частный).

    NAT (преобразование сетевых адресов) решит эту проблему. Это механизм разрешения IP-адресов в сетевых пакетах. Обычно в посылку входят IP-адреса отправителя и получателя. NAT позволяет динамически изменять эти адреса и сохранять таблицу измененных адресов.

    Существует также SNAT (исходный NAT), который используется нашими виртуальными машинами для доступа в Интернет.Когда пакет отправляется, его исходный адрес заменяется адресом хост-машины. Когда ответ от целевого сервера возвращается, адрес изменяется с адреса хост-машины на адрес виртуальной машины. Это маршрутизатор меняет адрес.

    DNAT (NAT назначения) делает почти то же самое, но наоборот: это когда вы запрашиваете какой-то публичный адрес, который скрывает частные локальные адреса.

    NAT - это способ связи виртуальных машин с внешним миром по умолчанию. Но libvirt - вещь гибкая.Например, вы можете подключить виртуальные машины напрямую к физическому интерфейсу хоста вместо виртуального коммутатора. На самом деле, существует множество способов создать сеть.

    Libvirt использует iptables для NAT. Короче говоря, это инструмент, отвечающий за фильтрацию сетевых пакетов. iptables настраиваются с помощью специальных правил, которые объединяются в цепочки. Добавляя такие правила, libvirt предоставляет нашим виртуальным машинам доступ в Интернет через NAT. Мы вернемся к iptables, когда будем говорить о безопасности в целом.

    Кроме того, в настройках ядра должна быть включена опция ip forward, чтобы перенаправление пакетов работало на хосте. Включить его очень просто: `echo 1> / proc / sys / net / ipv4 / ip forward`

    tcpdump

    Пожалуй, наиболее важным инструментом для решения сетевых проблем или, если быть более конкретным, трафика, проходящего через нашу машинную отладку, является tcpdump. Очень важно знать, как им пользоваться. Посмотрим, например, что происходит на нашем virbr0 при перезапуске ВМ.

    Давайте откроем консоль на хост-машине и запустим tcpdump -i virbr0 .

    Откройте отдельное окно и запустите virsh reboot # {number_of_VM} .

    Посмотрите результат в первом окне и посмотрите, откуда пришли запросы.

      tcpdump: подробный вывод подавлен, используйте -v или -vv для полного декодирования протокола
    прослушивание virbr0, тип канала EN10MB (Ethernet), размер захвата 262144 байта
    12: 57: 31.339135 IP6 ::> ff02 :: 16: HBH ICMP6, отчет о приемнике многоадресной рассылки v2, 1 групповая запись (и), длина 28
    12:57:31.397937 IP 0.0.0.0.bootpc> 255.255.255.255.bootps: BOOTP / DHCP, запрос от 52: 54: 00: e0: 06: 54 (oui Неизвестно), длина 300
    12: 57: 31.398182 IP linux.fritz.box.bootps> 192.168.122.209.bootpc: BOOTP / DHCP, ответ, длина 301
    12: 57: 31.5 ARP, Запрос у кого есть linux.fritz.box, скажите 192.168.122.209, длина 28
    12: 57: 31.5

    ARP, ответ linux.fritz.box is-at 52: 54: 00: 7e: 33: 23 (oui Unknown), длина 28 12: 57: 31.5

    IP 192.168.122.209.38438> linux.fritz.box.domain: 61342+ A? 0.centos.pool.ntp.org.(39) 12: 57: 31.5

    IP 192.168.122.209.38438> linux.fritz.box.domain: 25671+ AAAA? 0.centos.pool.ntp.org. (39) 12: 57: 31.5 IP linux.fritz.box.domain> 192.168.122.209.38438: 25671 0/0/0 (39) ### И так далее

    Вот, например, широковещательная передача от ВМ: 12: 57: 31.397937 IP 0.0.0.0.bootpc> 255.255.255.255.bootps: BOOTP / DHCP, Запрос от 52: 54: 00: e0: 06: 54 ( oui Unknown), длина 300 .

    Также посмотрим на таблицу ARP:

      Адрес HWtype HWaddress Флаги Маска Iface
    #...
    192.168.122.209 эфир 52: 54: 00: e0: 06: 54 C virbr0
    # ...
      
    VPN

    Иногда (правда, очень часто) нужно сделать так, чтобы и клиент, и сервер находились в одной частной сети. Например, когда все сервисы компании находятся в частной сети, доступной только из офиса, но вам нужно предоставить удаленный доступ сотрудникам компании. Или когда у компании есть несколько офисов или центров обработки данных, которые необходимо соединить друг с другом таким образом, чтобы вся сеть по-прежнему не была доступна для всего Интернета.

    VPN сам по себе помещает один пакет tcp / ip в другой и шифрует содержимое. В результате внутри реальной сети работает виртуальная сеть. Виртуальные сетевые устройства (tun / tap) создаются для виртуальных сетей. У них есть виртуальные IP-адреса, которые доступны только в нашей виртуальной зашифрованной сети.

    Я оставлю настройку VPN вне этой статьи. На совести читателя - попытаться сделать это самостоятельно, используя OpenVPN или strongSwan.

    Мы вернемся к теме безопасности позже, но вы уже можете прочитать об IPsec - это протокол, используемый strongSwan.

    Для самообучения

    Мы только что рассмотрели самые основы сетей, но, конечно же, существует почти десяток технологий, на которые стоит обратить внимание. Google VXLAN самостоятельно, изучите TCP и UDP (и выясните, какой из них использовать), посмотрите IMCP. Вы будете постоянно сталкиваться с новыми терминами, но, как всегда, самое главное - изучить основы.

    Мы не достигли высших уровней OSI, не рассматривали различные протоколы, с которыми работают веб-приложения: HTTP (S), FTP, SSH, NTP и многие другие.

    Не забудьте заглянуть в RFC. Это первая остановка при поиске информации в нужных вам сетях.

    Думаю, мы вернемся к этим темам в следующих статьях. Что касается меня, самым сложным было понять, как именно все это работает на уровнях ниже уровня приложения. все эти сети, подсети, необъяснимые проблемы с доступом одного сервера к другому и т. д.

    Я надеюсь, что теперь вы знаете немного больше об основных компонентах, участвующих в сетевом взаимодействии, и что в будущем вы сможете быстрее решать возникающие проблемы - потому что вы заранее знаете, что и где может пойти не так.

    Что дальше?

    Я знаю, что дорогой читатель не может дождаться, когда я начну рассказывать о Chef, Puppet, Ansible и многих других крутых вещах. Но еще рано. У меня есть как минимум еще одна статья на эту тему, в которой мы рассмотрим все возможные способы аутентификации и авторизации пользователей и серверов, и таким образом углубимся в тему безопасности в целом.

    Дополнительная литература

    Как я уже сказал, тема сетей сложна, глубока и затрагивает множество различных предметов.У тебя, должно быть, в голове какой-то беспорядок. Ничего страшного! Следующие ссылки помогут вам глубже узнать все, что вам нужно знать о сетях.

    GRC's | Тест DNS - Руководство по изменению конфигурации DNS

    Руководство по изменению конфигурации DNS
    Как изменить настройки DNS вашей системы.

    «Невозможно оптимизировать, пока не измеришь»

    И как только вы его измерили, возможно, вы захотите его изменить!

    Прежде чем мы сможем осмысленно обсудить re настройки работы сервера доменных имен (DNS) вашей системы или сети, нам нужно обсудить все способы, которыми он может быть настроен в настоящее время.Возможна любая из следующих ситуаций:

    Конфигурации DNS для малых офисов / домашних сетей

    • Автоматически настроенный аппарат без маршрутизатора:
      Без какого-либо NAT-маршрутизатора (см. «NAT?» Ниже), вставленного между вашим компьютером и его подключением к Интернету, и если Интернет-адрес вашего компьютера и настройки DNS-сервера не были изменены вручную , два DNS-сервера, настроенные для использования вашим компьютером, будут автоматически назначаться вашим поставщиком услуг Интернета (ISP) при каждом запуске компьютера.В таких случаях IP-адреса этих DNS-серверов будут для DNS-серверов, предоставленных и, вероятно, управляемых вашим интернет-провайдером.

      NAT? Хотя вы, возможно, привыкли просто называть маршрутизатор «маршрутизатором», официальное название - «маршрутизатор NAT», где NAT - это сокращение, обозначающее N etwork A ddress T ranslation. Все типичные домашние маршрутизаторы SOHO ( S mall O ffice / H ome O ffice) являются «маршрутизаторами NAT», поэтому они называются здесь именно так.

    • Машина, настроенная вручную, без маршрутизатора:
      Хотя это никогда не бывает конфигурацией по умолчанию, автоматическое назначение DNS-сервера вашего компьютера можно вручную «переопределить», указав один или несколько конкретных IP-адресов DNS-преобразователя, которые заставят компьютер игнорируйте адреса по умолчанию, которые в противном случае предоставил бы ваш интернет-провайдер.
    • Автоматически настраиваемая машина - с общедоступными или частными IP-адресами DNS - за маршрутизатором:
      Когда присутствует какой-либо маршрутизатор NAT для соединения вашей локальной сети (LAN) с Интернетом (WAN - Wide Area Network), маршрутизатор получает общедоступный IP-адрес для сети, а также некоторое количество (обычно два) общедоступных IP-адреса для преобразователей DNS.Затем, когда любой компьютер, подключенный к локальной сети, включен, если настройки этого компьютера не были настроены вручную (см. Следующий вариант ниже), каждый компьютер «за» маршрутизатором, в свою очередь, получит «локальную» (частную сеть) IP-адрес для его использования, а также один или несколько IP-адресов DNS-преобразователя. Некоторые маршрутизаторы передают два общедоступных IP-адреса DNS , полученные от интернет-провайдера, на машины, расположенные в локальной сети, тогда как другие маршрутизаторы предоставляют свой собственный частный IP-адрес на LAN, так называемый «IP-адрес шлюза», как IP-адрес, который будет использоваться для разрешения DNS компьютерами локальной сети.В случае IP-адресов общедоступных распознавателей DNS, машины в локальной сети отправляют свои запросы непосредственно общедоступным распознавателям DNS для разрешения. В случае получения собственного частного IP-адреса локальной сети маршрутизатора для разрешения DNS, машины в локальной сети за маршрутизатором будут отправлять свои запросы DNS на маршрутизатор, полагая, что он является преобразователем DNS, когда на самом деле маршрутизатор работает как « прокси »для фактических общедоступных преобразователей DNS. Маршрутизатор пересылает любые полученные DNS-запросы фактическим DNS-резолверам в общедоступном Интернете и возвращает их результаты на машину, которая изначально отправила DNS-запрос.
    • Настроенный вручную компьютер за маршрутизатором:
      Ситуация с настроенным вручную компьютером за маршрутизатором в локальной сети идентична ситуации с настроенным вручную компьютером, который не находится за маршрутизатором (как было описано выше). Точно так же это никогда не бывает конфигурацией по умолчанию, поскольку по умолчанию всегда используется «автоматическая» конфигурация. Следовательно, «ручное изменение» всегда требует преднамеренного перенастройки IP-адресов DNS-преобразователя компьютера администратором компьютера.

    Два важных фактора, которые следует учитывать перед изменением DNS

    Помимо очевидных возможностей получения выгоды от более быстрого поиска DNS - в этом весь смысл теста DNS Benchmark и этих страниц - вы должны иметь в виду два важных фактора:

    Мониторинг DNS обеспечивает чрезвычайно мощное средство
    для наблюдения за интернет-активностью:

    Любой провайдер услуг разрешения
    DNS вашей системы или сети может собирать большой объем информации
    практически обо всем вашем Интернете история использования и привычки.

    Если подумать, то поймешь, почему это правда:

    • DNS используется для преобразования всех доменных имен URL в их общедоступные IP-адреса в Интернете. Это ДОЛЖНО быть сделано для того, чтобы ваш компьютер мог подключаться к службам, доступным в этих доменах, поскольку доступ к этим доменам и адресация осуществляется по IP-адресу.
    • Любой преобразователь DNS, получающий запросы DNS вашей системы, также получает общедоступный IP-адрес вашей системы или сети. Он ДОЛЖЕН получить ваш IP-адрес, поскольку это единственный способ вернуть результаты своего разрешения DNS на ваш компьютер или в сеть в Интернете.
    • И, конечно же, DNS-преобразователь знает, какое DNS-имя домена вы просите его разрешить.

    Таким образом, любой, кто предоставляет ваши службы DNS, может легко создать огромный и исчерпывающий журнал всех доменных имен, найденных каждым, кто пользуется их услугами. Это может быть сделано по разным, в целом, безвредным маркетинговым и статистическим причинам. Но даже в этом случае любая такая служба может быть вынуждена предоставить свои записи законным властям.

    Одним из смягчающих факторов при компиляции базы данных является то, что запросы DNS на данный момент в любом случае являются «минимальными и чистыми», что означает, что запросы DNS не содержат никаких постоянных файлов cookie или других технологий тегирования, кроме вашего IP-адреса.Это преимущество частично компенсируется тем фактом, что практически все веб-запросы содержат и ваш IP-адрес, и постоянные файлы cookie, поэтому их связывание - это то, что, вероятно, уже входит в чей-то бизнес-план. <ворчать>

    Мы делаем , а не , чтобы предположить, что все это обязательно является серьезной проблемой или что кто-то должен чрезмерно беспокоиться о последствиях, влияющих на конфиденциальность. Мы только считаем, что все пользователи Интернета должны быть осведомлены о характере возможностей сбора данных, которые присущи любому, кто предоставляет услуги DNS.

    Единственный практический способ избежать возможности подобного рода мониторинга DNS - это избегать использования любых сторонних преобразователей DNS . Единственный способ сделать это - запустить собственный преобразователь DNS. Если бы вы сделали это, то вместо того, чтобы все ваши DNS-запросы отправлялись резольверам ISP для разрешения, эффекты ваших DNS-запросов были бы распространены по всему Интернету, поскольку ваш собственный DNS-преобразователь напрямую запрашивал DNS-серверы Интернета для IP-адреса вашего компьютера (ов) требуются.Хотя - это человек, которые могут настроить свои собственные преобразователи DNS - а это делают продвинутые пользователи Интернета - это выходит за рамки этих страниц. Мы просто хотели, чтобы вы знали, что такая возможность существует.

    «DNS Spoofing» - мощное средство для обмана
    ничего не подозревающих пользователей для посещения поддельных (подделанных) веб-сайтов:
    После смены DNS-провайдеров в вашей системе вы должны использовать бесплатную систему GRC
    DNS Spoofability для проверки что ваш новый поставщик DNS настроил
    свои DNS-преобразователи для предотвращения эксплойтов подмены DNS.

    Быстрый поиск в Google по фразе «DNS Spoofing» (выполните поиск по этой ссылке) покажет, что угроза реальна и хорошо изучена. Несмотря на это, по оценкам, более 25% DNS-серверов Интернета в настоящее время (в 2010 г.) уязвимы для уязвимостей, связанных с подменой DNS. GRC создал свою бесплатную систему тестирования DNS Spoofability, чтобы пользователи Интернета могли быстро проверить текущую «подделку» своего собственного поставщика DNS , а также выявить тех DNS-провайдеров, у которых все еще не обновили свои конфигурации, и (надеюсь) добавить некоторые давление на них, чтобы они наконец сделали это.

    Излишне говорить, что вы , а не , хотите по ошибке использовать какие-либо преобразователи DNS, которые могут быть использованы для возврата неправильного IP-адреса для домена, который вы посещаете, например вашего онлайн-банка, что может привести к раскрытию ваших учетных данных для входа в систему. и другая конфиденциальная информация для недобросовестных и злостных преступников.

    Нам неизвестна какая-либо другая система, кроме предлагаемой GRC, которая обеспечивала бы сложный анализ состояния «подделки» DNS-преобразователя.ПОЖАЛУЙСТА, обязательно воспользуйтесь ее услугами. Это одновременно быстро и бесплатно.

    Какая конфигурация DNS лучше всего?

    Теперь, когда у вас есть некоторое представление о нескольких возможных вариантах конфигурации DNS и о последствиях изменения вашей текущей настройки DNS, давайте посмотрим, как делать эти изменения. Предполагая, что у вас есть маршрутизатор, как это делают пользователи с небольшими сетями, вопрос, на который нужно ответить, заключается в том, хотите ли вы, чтобы ваша конфигурация DNS использовала централизованный подход на основе маршрутизатора (если он предлагается вашим маршрутизатором) или вы бы предпочли, чтобы компьютеры вашей сети напрямую использовать общедоступные DNS-серверы.

    • Плюсы и минусы DNS на основе маршрутизатора:
      Если ваш компьютер (а) находится / не находится за маршрутизатором, то DNS на основе маршрутизатора не подходит. Но если предположить, что у вас есть маршрутизатор, наибольшее преимущество DNS на основе маршрутизатора заключается в том, что DNS-серверы во всей вашей сети могут «централизованно управляться» и полностью изменяться в одном месте (внутри маршрутизатора). Это заставляет экспериментировать с альтернативные DNS-серверы проще, если вы не возражаете, чтобы все машины в вашей сети сразу переключались на новый DNS.

      По нашему опыту, лучший подход, если он доступен из интерфейса конфигурации маршрутизатора, - это заставить маршрутизатор распределять общедоступных IP-адресов DNS-преобразователя на машины в своей сети - вместо того, чтобы давать им свой собственный частный IP-адрес для Разрешение DNS. Когда это будет сделано, компьютеры сети напрямую запрашивают свои общедоступные DNS-серверы, а не запрашивают маршрутизатор. Но, как было объяснено выше, по умолчанию многие маршрутизаторы теперь выдают свой собственный локальный IP-адрес в качестве DNS-сервера для сети, а затем «прокси» DNS-запросы от компьютеров локальной сети.К сожалению, похоже, что обычные недорогие маршрутизаторы потребительского уровня не очень хорошо справляются с обработкой DNS для машин в своих сетях: во время разработки тестов GRC DNS Spoofability мы обнаружили, что многие недорогие маршрутизаторы потребительского уровня могут потерпеть крах просто из-за обработки сложных, но действительных DNS-запросов. Это заставляет нас задаться вопросом, могут ли быть какие-то средства для удаленного «взятия под контроль», а не сбоя таких неисправных маршрутизаторов. Это было бы нехорошо.

      Примечание. Мы определили причину сбоев маршрутизатора и разработали специальный тест на сбой маршрутизатора, а также смогли избежать сбоев даже сбойных маршрутизаторов во время регулярного тестирования на возможность подделки.Вы можете убедиться, что ваш маршрутизатор не «ломается» по причинам, указанным выше.

      Но более серьезная проблема заключается в том, что логика обработки ошибок и повторных попыток, используемая недорогими маршрутизаторами для оставшихся без ответа DNS-запросов, неизвестна и, вероятно, будет плохой. Современные компьютеры имеют зрелую, проверенную временем и изощренную систему для повторных попыток без ответа или запросов DNS с слишком большой задержкой. Нам нравится идея позволить этой зрелой технологии функционировать. Но если маршрутизатор «проксирует» DNS-запрос компьютера, наша обработка DNS находится во власти маршрутизатора.Это кажется неправильным и менее оптимальным.

      Таким образом, если вы предпочитаете, чтобы маршрутизатор вашей сети централизованно управлял DNS для ваших компьютеров, вы можете захотеть увидеть, возможно ли, чтобы маршрутизатор распределял IP-адреса общедоступных DNS-преобразователей, которые вы указываете, вместо того, чтобы предоставлять собственный IP-адрес шлюза в качестве DNS сети. Это кажется намного лучше, чище и проще.

    • Плюсы и минусы индивидуального DNS для каждого компьютера:
      Под «DNS для каждого компьютера» мы подразумеваем, что вы вручную настраиваете параметры DNS для определенных компьютеров, предоставляя им IP-адреса двух или более общедоступных преобразователей DNS.Это легко сделать, указав вашему компьютеру получить собственный IP-адрес машины от маршрутизатора (если есть), но не , а не , чтобы автоматически получить свои DNS-серверы. Одна из причин для этого - позволить одному компьютеру в сети некоторое время поэкспериментировать с альтернативными резолверами DNS, оставив остальную часть сети как . . . , пока вы не приобретете некоторую уверенность в производительности и надежности альтернативных резольверов, которые вы используете.

      Затем, после того как вы определили лучшие DNS-преобразователи для вашего использования, вы можете подумать о перенастройке вашего сетевого маршрутизатора, чтобы предоставить IP-адреса этих оптимальных DNS-преобразователей для всех компьютеров в вашей сети.

    Разница в производительности? Как насчет относительной производительности конфигурации «прокси-сервер маршрутизатора» (где компьютеры сети используют частный IP-адрес маршрутизатора (шлюза) в качестве DNS-преобразователя) по сравнению с компьютерами, напрямую использующими IP-адреса общедоступного DNS-преобразователя, полученные от маршрутизатора или настроенные вручную? При разработке теста DNS Benchmark общее мнение заключалось в том, что заметной разницы в производительности не обнаружено. Поскольку проксирование включает в себя дополнительный шаг, нам было любопытно узнать, были ли внесены какие-либо значительные задержки.Но по сравнению со временем, необходимым для получения ответов через Интернет, любая небольшая задержка через маршрутизатор была незначительной и необнаруживаемой.

    Как перенастроить DNS вашей системы?

    После того, как вы определили подход к настройке DNS, который лучше всего соответствует вашим потребностям, вам необходимо внести соответствующие изменения в свой маршрутизатор и / или подключенные к сети компьютеры.

    К сожалению, каждая версия Windows резко изменила свой пользовательский интерфейс сетевой конфигурации по сравнению с каждой предыдущей версией, каждый маршрутизатор имеет свой собственный, совершенно другой способ выполнения конфигурации, а также есть версии Apple Mac, UNIX и около миллиона и одного другого «Дистрибутивы» Linux и рабочие столы.Следовательно, у нас нет практического способа предоставить подробные инструкции по настройке, которые могут понадобиться многим пользователям.

    Но решение есть!

    Хорошо известный и хорошо зарекомендовавший себя коммерческий поставщик DNS (OpenDNS) входит в группу , предлагая услуги разрешения DNS с «улучшенными функциями» (см. Большое желтое примечание ниже) . Это означает, что им тоже приходилось помогать разным людям изменять настройки распознавателя DNS для своих компьютеров и маршрутизаторов.Поскольку у них такая же потребность , как и у этой страницы , лучшее решение - направить вас на веб-сайт OpenDNS, где вы можете использовать их очень хорошие пошаговые руководства по реконфигурации.

    Но сначала . . .

    Замечание об OpenDNS, прежде чем вы отправитесь туда ...

    Некоторые люди возражают против использования резолверов OpenDNS, потому что вместо того, чтобы возвращать ошибки при поиске несуществующих доменов (ошибки DNS), резолверы OpenDNS перенаправляют пользователей на коммерческую версию « страница перехвата », содержащая рекламу и неизвестно что.Сторонники Интернета утверждают, что Интернет должен работать не так. Более того, им не нравится идея монетизации их «опечаток».

    С одной стороны, пуристы правы, и я считаю себя в их числе - ошибки поиска DNS должны возвращать ошибки. (А также обратите внимание, что другие интернет-провайдеры (возможно, ваш ?, Benchmark предупредит вас) также начинают перестать возвращать ошибки в пользу увеличения дохода.) Но современный Интернет уже не так прост и чист, как хотелось бы пуристам.И OpenDNS также предлагает некоторые убедительные преимущества . . .

    Представьте, что преобразователь DNS ЗНАЕТ о доменах, в которых скрываются вредоносные программы, вирусы, мошенничество и другие формы опасного или неприятного контента. Такой «умный DNS-преобразователь» может активно защищать ваш компьютер - и всю вашу сеть - никогда не предоставляя IP-адреса этих вредоносных или нежелательных доменов. Если, например, вы щелкнули вредоносную ссылку в электронном письме, ваш компьютер узнает только о том, чтобы запросить у OpenDNS IP-адрес домена вредоносной ссылки.Но если бы OpenDNS уже пометил этот домен как вредоносный и заблокированный, ваш компьютер не сможет «попасть туда», а вы и он будете защищены. Это умная и убедительная идея, которая с точки зрения безопасности имеет большой смысл.

    Вот ссылка на страницу преимуществ OpenDNS для домашних хозяйств.

    Обратите внимание, что тест DNS уже включает два IP-адреса преобразователя OpenDNS: [208.67.222.222] и [208.67.220.220]. Также обратите внимание, что DNS Benchmark обнаруживает, что в своей конфигурации по умолчанию преобразователи OpenDNS не возвращают ошибок.Это поведение можно отключить для зарегистрированных пользователей OpenDNS.

    Чтобы прояснить, вам не нужно использовать резолверы OpenDNS, чтобы использовать их очень полезные пошаговые руководства по реконфигурации. Мы прошли через все это, потому что считаем, что объяснять, что происходит с OpenDNS, будет справедливо, поскольку (а) вы собираетесь использовать их полезные справочные страницы для своих собственных (не OpenDNS) целей, и (б) это важно. чтобы объяснить перенаправление DNS, которое, как бы вы к нему ни относились, в будущем будет больше видеть в Интернете.

    Как изменить настройки DNS на маршрутизаторе ZTE h320N

    На этой странице показано, как изменить настройки DNS на маршрутизаторе ZTE h320N.

    Другие руководства ZTE h320N

    Это руководство для dns для ZTE h320N . У нас также есть следующие руководства для того же маршрутизатора:

    Какая настройка DNS на маршрутизаторе

    Когда вы подключаете маршрутизатор к Интернету, он автоматически получает некоторые настройки от вашего интернет-провайдера.Одна из настроек, которые интернет-провайдер устанавливает в вашем маршрутизаторе, - это настройка DNS. DNS расшифровывается как Domain Name System и используется для преобразования интернет-имен в фактические IP-адреса. Например, когда вы заходите на «google.com», вы действительно подключаетесь к IP-адресу, который через DNS сопоставлен с числом, например:

    Это сопоставление происходит автоматически каждый раз, когда вы посещаете любую страницу в Интернете.

    Зачем менять настройки DNS вашего маршрутизатора

    Некоторые интернет-провайдеры злоупотребляют системой DNS и сопоставляют неизвестные имена серверам, которые они контролируют.Это можно сделать так, чтобы вы не знали, что это происходит, поскольку ваш маршрутизатор получает настройки DNS от вашего интернет-провайдера. Например, если у вас есть один из этих интернет-провайдеров, который перехватывает ваш DNS, и вы пытаетесь перейти в Интернет на «some-random-site.com», а «some-random-site.com» не существует, вы можете получить обратная страница вашего интернет-провайдера с местной рекламой.

    Изменяя настройку DNS в маршрутизаторе, вы эффективно изменяете настройку DNS для каждого компьютера в вашей сети.Это связано с тем, что, когда устройство подключено к вашей сети, ваш маршрутизатор автоматически передает этому устройству свои собственные настройки DNS. Таким образом, вы можете защитить всю свою сеть от взлома интернет-провайдером с помощью всего одной настройки.

    Что мне изменить свой DNS на

    В Интернете есть 2 действительно отличных DNS-сервера, из которых вы можете выбрать прямо сейчас: Google Public DNS и OpenDNS. Если вы не уверены, какой из них выбрать, просто используйте Google Public DNS.

    При изменении настроек DNS в маршрутизаторе обычно необходимо ввести значение Primary и Secondary .Вторичный используется только в том случае, если не удается найти первичный. Вот общие настройки:

    Если вы хотите использовать Google Public DNS , используйте следующие настройки:

    • Первичный: 8.8.8.8
    • Вторичный: 8.8.4.4

    Если вы хотите использовать OpenDNS , используйте следующие настройки:

    • 208.67.222.222
    • 208.67.220.220

    Войти в ZTE h320N

    Чтобы начать настройку страницы DNS ZTE h320N, вам необходимо войти в свой маршрутизатор.Если вы уже вошли в систему, вы можете пропустить этот шаг.

    Чтобы войти в ZTE h320N, следуйте нашему руководству по входу в ZTE h320N.

    Изменение настроек DNS на ZTE h320N

    Если вы следовали нашему руководству по авторизации, приведенному выше, вы должны увидеть этот экран.

    Это страница состояния вашего роутера ZTE.

    Вы начинаете со страницы Status маршрутизатора ZTE h320N . Чтобы изменить настройки системы доменных имен, щелкните ссылку в верхней части страницы с надписью Network .Затем на левой боковой панели щелкните LAN и DHCP Server .

    Настройте раздел DNS вашего ZTE h320N

    Это страница настройки вашего роутера ZTE.

    Эта страница отображается полностью серым цветом, что означает, что вы не можете вносить изменения. Мы рекомендуем снять флажок Включить DHCP-сервер , что позволит вам вносить изменения.

    Затем введите адрес основного DNS-сервера в поле с надписью IP-адрес DNS-сервера1 . Это адрес, который всегда используется первым.

    Введите адрес вторичного DNS-сервера в поле, которое читает IP-адрес DNS-сервера2 . Это становится резервной копией и используется только в том случае, если первый не может быть обнаружен.

    Если вы хотите ввести третий, сделайте это в DNS Server3 IP-адрес .

    Поставьте отметку в поле Включить DHCP-сервер .

    Наконец, нажмите кнопку Отправить перед выходом.

    Возможные проблемы при изменении настроек DNS

    Большинство устройств в вашей сети не начнут использовать новые настройки DNS, пока они не будут перезагружены.После перезагрузки устройства вы можете перейти к его настройкам сети и убедиться, что оно использует указанные вами DNS-серверы.

    Другое ZTE h320N Info

    Не забывайте и о другой нашей информации о ZTE h320N, которая может вас заинтересовать.

    Это руководство для dns для ZTE h320N . У нас также есть следующие руководства для того же маршрутизатора:

    Пример: Настройка рекурсивных адресов DNS-серверов для хостов IPv6 | Junos OS

    CLI Quick Configuration

    Чтобы быстро настроить этот пример, скопируйте следующие команды, вставьте их в текстовый файл, удалите разрывы строк, изменить любые детали, необходимые для соответствия конфигурации вашей сети, а затем скопируйте и вставьте команды в интерфейс командной строки на уровне иерархии [править] .

    Маршрутизатор R0

      установить интерфейсы fe-0/1/3 блок 0 семейство inet6 адрес 2001: DB8 :: 1/64 
      установить интерфейсы lo0 блок 0 семейство inet6 адрес 1 :: 1/128 
      установить протоколы маршрутизатор-реклама интерфейса fe-0/1/3 max-ads-interval 4 
      установить протоколы маршрутизатор-реклама интерфейса fe-0/1/3 мин-реклама-интервал 3 
      установить протоколы интерфейса маршрутизатора-объявления fe-0/1/3 dns-server-address abcd: 1 :: 1 Lifetime 100 
      установить протоколы интерфейса маршрутизатора-объявления fe-0/1/3 dns-server-address abcd: 1 :: 2 Lifetime 200 
      установить протоколы интерфейса маршрутизатора-объявления fe-0/1/3 dns-server-address abcd: 1 :: 3 Lifetime 300 
     

    Маршрутизатор R1

      установить интерфейсы fe-1/3/0 блок 0 семейство inet6 адрес 2001: DB8 :: 2/64 
      установить интерфейсы lo0 блок 0 семейство inet6 адрес 1 :: 2/128 
      установить протоколы маршрутизатор-реклама интерфейса fe-1/3/0 max-ads-interval 4 
      установить протоколы маршрутизатор-реклама интерфейса fe-1/3/0 min-ads-interval 3 
      установить протоколы интерфейса маршрутизатора-объявления fe-1/3/0 dns-server-address abcd: 1 :: 4 Lifetime 100 
     

    Настройка адреса рекурсивного DNS-сервера

    Пошаговая процедура

    В следующем примере требуется уровни в иерархии конфигурации.Для информации о навигации CLI, см. Использование редактора CLI в конфигурации Mode в Руководстве пользователя CLI.

    Примечание:

    Повторите эту процедуру для маршрутизатора R1, изменив соответствующий имена интерфейсов, адреса и любые другие параметры маршрутизатора.

    Для настройки рекурсивного адреса DNS-сервера на маршрутизаторе R0:

    1. Включите IPv6 на физическом интерфейсе.

       [редактировать интерфейсы]
      user @ R0 #  set fe-0/1/3 unit 0 family inet6 address 2001: DB8 :: 1/64 
       
    2. Настройте адрес обратной связи.

       [редактировать интерфейсы]
      user @ R0 #  установить lo0 блок 0 семейство inet6 адрес 1 :: 1/128 
       
    3. Укажите временной интервал между объявлениями маршрутизатора на интерфейсе.

      Маршрутизатор отправляет объявления соседям после указанного временной интервал. В этом примере маршрутизатор R0 отправляет объявления маршрутизатора. к маршрутизатору R1 после минимального интервала в 3 секунды и максимального интервала 4 секунды.

       [редактировать протоколы маршрутизатора-объявления]
      user @ R0 #  установить интерфейс fe-0/1/3 max-ads-interval 4 
      user @ R0 #  установить интерфейс fe-0/1/3 min-ads-interval 3 
       
    4. Настроить рекурсивные DNS-адреса и время их жизни на интерфейсе.

       [редактировать протоколы маршрутизатора-объявления]
      user @ R0 #  установить интерфейс fe-0/1/3 dns-server-address abcd: 1 :: 1 Lifetime 100 
      user @ R0 #  установить интерфейс fe-0/1/3 dns-server-address abcd: 1 :: 2 Lifetime 200 
      user @ R0 #  установить интерфейс fe-0/1/3 dns-server-address abcd: 1 :: 3 Lifetime 300 
       

    Результаты

    В режиме конфигурации подтвердите свою конфигурацию, нажав ввод команд шоу интерфейсов и шоу протоколов .Если вывод не отображается предполагаемой конфигурации, повторите инструкции в этом примере исправить конфигурацию.

     пользователь @ R0 #  показать интерфейсы 
    fe-0/1/3 {
        unit 0 {
            family inet6 {
                адрес 2001: DB8 :: 1/64;
            }
        }
    }
    lo0 {
        unit 0 {
            family inet6 {
                адрес: 1/128;
            }
        }
    }
    user @ R0 #  показать протоколы 
    маршрутизатор-реклама {
        interface fe-0/1 / 3.0 {
            макс-интервал рекламы 4;
            мин-реклама-интервал 3;
            dns-server-address abcd: 1 :: 1 {
                время жизни 100;
            }
            dns-server-address abcd: 1 :: 2 {
                срок службы 200;
            }
            dns-server-address abcd: 1 :: 3 {
                срок службы 300;
            }
        }
    }
     

    Если вы закончили настройку устройства, подтвердите конфигурацию.

     пользователь @ R0 #  совершает 
     

    Как настроить службу DNS Cloudflare 1.1.1.1 в Windows 10 или на вашем маршрутизаторе

    Каждый бит вашего веб-трафика проходит через DNS - службу доменных имен - обычно управляемую вашим интернет-провайдером. Ряд компаний предлагают альтернативы, позволяющие направлять трафик более быстрыми или безопасными способами, а гигант веб-инфраструктуры Cloudflare развернул свой собственный DNS для потребителей: 1.1.1.1. Cloudflare обещает, что его новый DNS не только быстрее, чем у конкурентов, но также более безопасен и приватен.

    Что такое Cloudflare?

    Cloudflare - это компания, занимающаяся веб-инфраструктурой, предлагающая сеть доставки контента (CDN), защиту от распределенного отказа в обслуживании (DDoS), авторитетные службы DNS, а теперь и службу распознавания DNS для потребителей. Его сеть обслуживает более 6 миллионов веб-сайтов, в том числе таких крупных компаний, как Uber, OkCupid и Mobile Nations. Среди всех своих сервисов Cloudflare имеет огромную инфраструктуру, разбросанную по всему миру - чем ближе его серверы CDN к вашему компьютеру, тем быстрее он может предоставлять вам контент.Огромный размер Cloudflare CDN также означает, что он потенциально может служить системой DNS на уровне потребителя.

    Что такое DNS и что делает сервис Cloudflare уникальным?

    DNS - это, по сути, телефонная книга Интернета. Каждый веб-сайт расположен по IP-адресу - строке цифр, обозначающей точное местоположение сервера в Интернете. Поскольку запоминание множества IP-адресов, таких как 104.16.213.223, было бы проблемой, вместо этого у нас есть доменные имена, такие как WindowsCentral.com, которые хранятся в базе данных DNS вместе с IP-адресом.Вы вводите WindowsCentral.com в свой браузер, ваш компьютер отправляет его через сеть в DNS, который затем возвращает страницу, расположенную по адресу 104.16.213.223.

    У вашего Интернет-провайдера есть собственный DNS-преобразователь, что позволяет легко подключить службу и выйти в Интернет. Но это не всегда самые быстрые и безопасные сервисы, поэтому популярность сторонних сервисов растет. На протяжении многих лет мы видели множество компаний, предлагающих услуги быстрого DNS, включая Cisco OpenDNS и Google Public DNS. Хотя эти сервисы известны своей быстротой и надежностью, Cloudflare 1.Ожидается, что 1.1.1 будет еще быстрее и безопаснее.

    Изображение предоставлено: Cloudflare

    Согласно Cloudflare, средняя задержка 1.1.1.1 составляет около 14 мс, что делает его самым быстрым DNS-преобразователем во всем мире (средняя задержка Google Public DNS составляет 34 мс). Помимо скорости, Cloudflare также рекламирует большую конфиденциальность, обещая, что записи пользователей никогда не будут храниться на дисках, а журналы будут удаляться каждые 24 часа.

    В этом руководстве по Windows 10 мы расскажем, как настроить маршрутизатор или компьютер для использования нового сверхбыстрого и безопасного 1.1.1.1 DNS-преобразователь от Cloudflare.

    Cloudflare IP-адреса бесплатного DNS-резолвера

    Это IP-адреса для настройки службы DNS Cloudflare на компьютере или маршрутизаторе.

    IP версия 4

    IP версия 6

    • 2606: 4700: 4700 :: 1111
    • 2606: 4700: 4700 :: 1001

    Как настроить службу Cloudflare DNS на маршрутизаторе

    Лучший способ изменить текущие настройки DNS, чтобы начать использовать Cloudflare 1.1.1.1 - это перенастроить ваш роутер. Такой подход позволяет автоматически настраивать каждое устройство в доме (например, настольный компьютер, ноутбук, планшет, телефон, игровую консоль и смарт-телевизор), а не настраивать каждое устройство по отдельности.

    Чтобы настроить маршрутизатор на использование DNS-адресов Cloudflare, выполните следующие действия:

    Важно: Инструкции по настройке могут отличаться на вашем маршрутизаторе, прежде чем продолжить, обязательно посетите веб-сайт поддержки производителя для получения более подробной информации.

    1. Откройте веб-браузер.
    2. Введите IP-адрес вашего маршрутизатора и нажмите Введите .

      Подсказка: Вы можете узнать эту информацию, нажав клавишу Windows + комбинацию клавиш R , набрав cmd , нажав OK , и в командной строке запустите команду ipconfig . IP-адрес маршрутизатора будет тем, который указан в поле Default Gateway .

    3. Войдите в систему, используя имя пользователя и пароль вашего маршрутизатора, как требуется.(Обычно вы найдете эту информацию на наклейке на маршрутизаторе.)
    4. Откройте страницу настроек DNS-сервера. Посетите веб-сайт поддержки производителя вашего маршрутизатора, чтобы найти эти настройки. Однако в большинстве случаев эти настройки можно найти в разделе дополнительных настроек. Вот место, где можно перейти к настройкам DNS в некоторых из самых популярных брендов домашних маршрутизаторов:

      • Linksys: Настройка > Базовая настройка .
      • ASUS: WAN > Интернет-соединение .
      • Google Wifi: Настройки > Сеть и общие > Расширенная сеть > DNS .
      • Netgear: Интернет .
      • D-Link: Настройка подключения к Интернету вручную .
    5. В разделе настроек DNS используйте эти IPv4-адреса:

    6. Сохраните ваши настройки.
    7. Перезагрузите браузер.

    После того, как вы выполнили все шаги, перезагрузите компьютер, чтобы начать использовать новые настройки.

    Кроме того, вы можете открыть командную строку и выполнить эти две команды:

    • ipconfig / flushdns
    • ipconfig / обновить

    Эти команды очистят кеш DNS Resolver на вашем устройстве и запросят обновление настроек IPv4.

    Стоит отметить, что вам не нужно применять адреса IP версии 6 на вашем маршрутизаторе, если ваша сеть уже использует IP версии 4. Однако, если вам необходимо использовать адреса IPv6, вы должны ввести их в IPv6. Страница настройки DNS на вашем роутере.

    • 2606: 4700: 4700 :: 1111
    • 2606: 4700: 4700 :: 1001

    Как настроить службу Cloudflare DNS в Windows 10

    В качестве альтернативы, если настройка домашнего маршрутизатора является немного сложной задачей или вы хотите использовать настройки Cloudflare DNS в каждой сети, к которой вы подключаетесь, включая общедоступные сети (например, кафе и аэропорт), на своем ноутбуке или планшете вы можете настроить настройки DNS в Windows 10 вместо настройки маршрутизатора.

    Чтобы настроить параметры DNS Cloudflare в Windows 10, выполните следующие действия:

    Важно: Не рекомендуется использовать эти инструкции, если вы используете компьютер на работе, потому что изменение этих настроек может вызвать проблемы с подключением и другие проблемы. Если вы хотите изменить эти настройки на своем рабочем компьютере, всегда сначала консультируйтесь со своим ИТ-администратором.

    1. Открыть Старт .
    2. Найдите Панель управления и щелкните верхний результат, чтобы открыть интерфейс.
    3. Щелкните Сеть и Интернет .
    4. Щелкните Центр управления сетями и общим доступом .
    5. Нажмите Изменить настройки адаптера .

    6. Щелкните правой кнопкой мыши адаптер Wi-Fi или Ethernet, который вы используете для подключения к Интернету, и выберите параметр Свойства .

    7. Выберите опцию Интернет-протокол версии 4 (TCP / IPv4) .
    8. Нажмите кнопку Свойства .

    9. Выберите вариант Использовать следующий адрес DNS-сервера .
    10. В поле «Предпочитаемый DNS-сервер» введите этот IPv4-адрес:

    11. В поле «Альтернативный DNS-сервер» введите этот IPv4-адрес:

    12. Нажмите ОК .

    13. (Необязательно) Если в свойствах сетевого адаптера включен стек Internet Protocol Version 6 (TCP / IPv6) , выберите этот параметр.
    14. Нажмите кнопку Свойства .

    15. Выберите вариант Использовать следующий адрес DNS-сервера .
    16. В поле «Предпочитаемый DNS-сервер» введите этот IPv6-адрес:

    17. В поле «Альтернативный DNS-сервер» введите этот IPv6-адрес:

    18. Нажмите ОК .

    19. Щелкните Закройте .

    После выполнения этих шагов ваше устройство свяжется с серверами Cloudflare для разрешения доменных имен (например, Google.com или WindowsCentral.com).

    Упомянутые выше шаги относятся к Windows 10, но инструкции также работают с Windows 8.1 и Windows 7.

    Как проверить, используете ли вы настройки DNS Cloudflare

    Если вы хотите убедиться, что действительно используете настройки Cloudflare DNS, вы можете использовать инструмент nslookup , чтобы быстро узнать эту информацию:

    1. Открыть Старт .
    2. Найдите cmd , щелкните верхний результат, чтобы открыть командную строку .
    3. Введите следующую команду и нажмите Введите :

    Вывод команды должен включать следующий результат:

    • Сервер по умолчанию: 1dot1dot1dot1.cloudflare-dns.com
    • Адрес: 1.1.1.1

    Если вы используете адреса IPv6, то результат должен выглядеть следующим образом:

    • Сервер по умолчанию: 1dot1dot1dot1.cloudflare-dns.com
    • Адрес: 2606: 4700: 4700 :: 1111

    Если вы настраиваете маршрутизатор вместо компьютера, инструмент nslookup покажет IP-адрес вашего маршрутизатора.Это ожидаемый результат, поскольку именно ваш маршрутизатор выполняет запросы DNS от имени всех устройств, подключенных к сети.

    В этом случае вы можете убедиться, что настройки Cloudflare DNS настроены правильно, с помощью сетевых инструментов вашего маршрутизатора (если применимо) и с помощью метода nslookup для проверки настроек.

    Вы переходите на службу Cloudflare DNS? Расскажите в комментариях.

    Дополнительные ресурсы по Windows 10

    Дополнительные полезные статьи, статьи и ответы на распространенные вопросы о Windows 10 см. На следующих ресурсах:

    Можно ли менять DNS-серверы? И как это сделать правильно

    Я уверен, что вы знаете, что система доменных имен (DNS) - это иерархическая и децентрализованная система именования, которая позволяет вам подключаться к Интернету.Однако, если вы не знаете, DNS - это тип системы, который помогает преобразовывать удобочитаемые доменные имена в IP-адреса - адреса, которые распознает Интернет.

    Тем не менее, знаете ли вы, какой тип DNS-сервера вы используете для доступа в Интернет?

    Используете ли вы DNS-сервер вашего интернет-провайдера по умолчанию?

    Если у вас нет ответа на вопрос, это означает, что вы, скорее всего, используете сервер по умолчанию вашего интернет-провайдера.

    Серверы интернет-провайдера по умолчанию хороши с точки зрения скорости - по крайней мере, вы можете засвидетельствовать это, поскольку это то, что вы используете уже некоторое время.Однако стоит знать, что на сервере отсутствуют функции обеспечения конфиденциальности, и он даже не так быстро связывается с доменами для просмотра веб-страниц, как вы могли подумать.

    Это некоторые из причин, по которым вам нужно подумать о переключении с вашего сервера по умолчанию на лучший общедоступный DNS-сервер, такой как Cloudflare DNS. Но прежде чем вы начнете переключаться, задайте животрепещущий вопрос; безопасно ли менять свой DNS-сервер и как именно это можно сделать?

    Переключение с текущего DNS-сервера на другой очень безопасно и никогда не повредит вашему компьютеру или устройству.Однако убедитесь, что вы переходите на известный и надежный сервер, такой как Cloudflare или другой сторонний сервер, который не продает ваши данные. Чтобы изменить DNS-сервер на уровне маршрутизатора или компьютера, войдите в настройки сети и переключитесь на новые номера DNS-серверов.

    Существует множество причин, по которым вы можете захотеть переключиться с одного сервера на другой. Это может быть связано с тем, что DNS-сервер не предлагает вам достаточно функций, которые предлагают некоторые из лучших общедоступных / частных серверов DNS, таких как конфиденциальность, родительский контроль и высокая избыточность.В оставшейся части этого поста мы подробнее рассмотрим все, что вам нужно знать о «переключении DNS-сервера» и о том, как это сделать правильно.

    Можно ли сменить DNS-сервер?

    Если вы не переключаетесь на неизвестный DNS-сервер, я могу сказать, что изменение вашего DNS-сервера очень безопасно. Тем не менее, вопрос в том, почему вы заинтересованы в смене DNS-сервера и на какой из них вы переключаетесь?

    Если вы меняете свой DNS-сервер из-за низкой производительности и отсутствия полезных функций, таких как родительский контроль, безопасность и высокая скорость, то вам следует переключиться на надежный и популярный.На самом деле использование DNS-сервера вашего интернет-провайдера по умолчанию - это нормально, но не очень безопасно для вас с точки зрения конфиденциальности и скорости.

    Тем не менее, если вы хотите безопасно изменить свой DNS-сервер, убедитесь, что вы не переключаетесь на плохой или незащищенный сервер. Что ж, единственный способ избежать этого - выбрать надежный и популярный DNS-сервер, такой как Cloudflare, Google DNS или OpenDNS.

    Стоит ли менять DNS-сервер?

    Вот еще вопрос, важно ли менять DNS-сервер? Ответ положительный, особенно если вы используете DNS-сервер вашего интернет-провайдера по умолчанию.Тем не менее, давайте кратко рассмотрим ниже некоторые из причин, по которым вам необходимо переключиться на другой надежный DNS-сервер.

    Одна из причин, по которой вы должны изменить свой DNS, - это высокая производительность. Если вы не знаете, большинство интернет-провайдеров не очень надежны с точки зрения производительности просмотра. Сторонние DNS-серверы в большинстве своем быстрее их. Тем не менее, если у вас низкая скорость просмотра, самое время переключиться с сервера по умолчанию вашего интернет-провайдера на высокопроизводительный, который находится ближе к вашему местоположению.

    Еще одна причина, по которой вам следует сменить DNS-сервер, заключается в том, что ваш провайдер может регистрировать вашу историю просмотров, чтобы знать, какие веб-сайты вы посещаете. Это не очень хорошо, если вы хотите получить все, включая конфиденциальность.

    Конечно, многие интернет-провайдеры часто заявляют, что не регистрируют историю просмотров своих клиентов. Однако, поскольку они отвечают за серверы, они всегда могут регистрировать историю просмотров, чтобы понять, как вы взаимодействуете со своим браузером (ценные данные). Если вы действительно цените свою конфиденциальность, возможно, вы захотите сменить DNS-сервер на более надежный.

    Если вы используете маршрутизатор для подключения к Интернету, высока вероятность, что к нему будут подключены и другие устройства, в том числе принадлежащие вашим детям. Недостатком этого является то, что если вы используете DNS-сервер по умолчанию вашего интернет-провайдера, то ваши дети смогут смотреть любой тип контента, что нехорошо. Чтобы этого не произошло, вам нужно настроить веб-фильтрацию, чтобы ограничить доступ детей к просмотру.

    Большинство серверов интернет-провайдеров не поддерживают функции родительского контроля.Однако, если вас очень интересует эта функция, лучший способ - сменить сервер на надежный, который предлагает эту функцию, например OpenDNS. С OpenDNS вы сможете настроить функцию родительского контроля так, как вы этого хотите.

    Пошаговое руководство по смене DNS-сервера

    Вам нужен адрес нового сервера

    Чтобы вы сказали, что хотите изменить DNS-сервер вашего интернет-провайдера по умолчанию, это означает, что у вас уже есть хороший сервер, который вы планируете перейти на.Однако, если вам все еще сложно выбрать лучший DNS-сервер, не стоит слишком беспокоиться, мы поможем вам.

    Google Public DNS

    Самый распространенный общедоступный DNS-сервер, который вы можете выбрать, если не заботитесь о конфиденциальности, - это Google DNS. Сервер предлагает множество удивительных функций, он бесплатный и не требует открытия учетной записи. Но я не доверяю Google. Если вы это сделаете, чтобы перейти на этот сервер, вам понадобится IPv4-адрес: 8.8.8.8 и 8.8.4.4.

    Cloudflare DNS

    Помимо Google DNS, вы также можете подумать о переходе на Cloudflare, который известен своей самой популярной сетью доставки контента. DNS-сервер предлагает впечатляющую производительность и первоклассную функцию конфиденциальности - они не регистрируют ваш интернет-трафик. Вот первичный и вторичный DNS-адреса IPv4, если вы планируете использовать Cloudflare: 1.1.1.1 и 1.0.0.1.

    OpenDNS

    Вы также можете использовать OpenDNS, если планируете переключиться с сервера вашего интернет-провайдера на новый.Некоторые из его предложений включают веб-фильтрацию (необязательно) и блокировку фишинговых сайтов. Перейдите на OpenDNS, используя эти адреса: 208.67.222.222 и 208.67.220.220.

    Если вас интересует другой сервер резервного копирования, помимо вышеупомянутых, проведите исследование и получите первичный и вторичный IPv4-адреса. Теперь, когда у вас есть адреса, пора сменить DNS-сервер.

    Измените DNS-сервер вашего браузера

    В Windows откройте панель управления -> Сеть и Интернет -> Сетевые подключения .

    • Щелкните Internet Protocol Version 4 (TCP / IPv4) , а затем Properties .
    • Выберите Используйте следующие адреса DNS-сервера и введите новый DNS-адрес в поле ниже.
    • Введите первичный DNS в первое поле и вторичный DNS во второе. Нажмите ОК .

    Если вы хотите использовать IPv6, щелкните Internet Protocol Version 6 (TCP / IPv6) , а затем Properties . Найдите DNS-серверы IPv6 и введите их, как вы делали для IPv4.Некоторые браузеры еще не могут использовать IPv6.

    Сделайте лишнюю милю и измените DNS-сервер вашего маршрутизатора

    Изменяя настройки DNS на уровне маршрутизатора, вы можете быть уверены, что все устройства, подключенные к вашему маршрутизатору, также будут направлять свой трафик через выбранный вами DNS-сервер, а не через вашего интернет-провайдера.

    • Чтобы начать процесс, вам потребуется доступ к веб-интерфейсу вашего маршрутизатора. Если вам это сложно сделать, вы можете воспользоваться руководством к роутеру. Если у вас его нет, startpage.com найдите модель своего маршрутизатора, чтобы получить доступ к руководству, или перейдите сюда, чтобы получить довольно хороший список IP-адресов маршрутизаторов по умолчанию для популярных марок маршрутизаторов.
      • В Windows вы можете найти IP-адрес маршрутизатора, нажав Пуск в меню панели задач и набрав CMD в поле
      • После ввода команды CMD откроется командная строка с черным экраном. вверх.
      • Введите команду ipconfig в командной строке, чтобы отобразить настройки IP по умолчанию и конфигурацию системы, включая подключенный маршрутизатор.
    • Найдите шлюз по умолчанию. Обычно IP-адрес маршрутизатора по умолчанию будет выглядеть примерно так: 192.168.1.1
    • Введите IP-адрес вашего маршрутизатора в адресную строку браузера, когда вы подключены к своей сети.
    • Обратитесь к руководству по эксплуатации вашего маршрутизатора, чтобы определить учетные данные для входа на маршрутизатор, или найдите их здесь.
    • После получения доступа к интерфейсу просмотрите страницы, чтобы найти параметр DNS-сервера.
    • Поскольку у вас уже есть адреса первичного и вторичного серверов нового публичного или частного DNS, все, что вам нужно сделать, это ввести их в соответствующие поля.

    Вот и все! Вы успешно изменили свой DNS-сервер.

    Как проверить, не был ли взломан DNS вашего роутера

    Ваш компьютер и ваш роутер могут быть атакованы хакерами и вредоносными программами, которые могут нарушить ваше интернет-соединение. Вам необходимо как можно скорее проверить свой маршрутизатор, чтобы убедиться, что вас не взломали.

    Система доменных имен

    Когда мы хотим посетить веб-сайт, например Google, мы вводим google.com в адресное поле веб-браузера.Браузеры и компьютеры не используют доменные имена, такие как google.com, а вместо этого используют IP-адреса.

    IP-адрес состоит из четырех чисел от 0 до 255, например: 216.58.198.110. Чтобы перейти на веб-сайт Google, когда вы вводите google.com в адресное поле браузера, он связывается с сервером DNS (система доменных имен), который предоставляет IP-адрес. Затем браузер может получить доступ к веб-серверу, используя этот IP-адрес, и получить домашнюю страницу Google.

    Компьютеру необходимо знать адрес DNS-сервера, чтобы запрашивать его, когда ему нужно знать IP-адрес веб-сайта.Он может получить эту информацию от маршрутизатора. Если вы не укажете вручную, какие DNS-серверы использовать, а большинство людей не укажут их, будут использоваться те, которые хранятся в маршрутизаторе.

    Смена DNS-серверов

    Теперь представьте, что вредоносная программа или хакер проникли в настройки маршрутизатора или компьютера и изменили адреса DNS-сервера на свои собственные. Они будут использоваться компьютером и веб-браузером, а затем весь интернет-трафик будет направляться через серверы, предоставленные вредоносным ПО или хакером.

    Это будет означать, что вместо посещения веб-сайтов, которые вы считаете безопасными, таких как онлайн-банк, eBay, PayPal и другие места, вы будете перенаправлены без вашего ведома на сайт, управляемый вредоносным ПО или хакером.В этом случае данные для входа могут быть украдены.

    DNS-захват может также использоваться для изменения содержимого веб-страниц, например рекламы. Тогда это принесет преступникам деньги.

    Это серьезная проблема безопасности, называемая отравлением DNS или перехватом DNS, и это уже известно. Это не просто теория.

    В предыдущей статье мы рассмотрели изменение DNS-серверов вручную, и вредоносные программы тоже могут это делать, хотя и не для скорости и производительности. Наоборот.

    Проверьте свой маршрутизатор

    Вы можете легко проверить, что ваш маршрутизатор в порядке и что безопасные DNS-серверы используются с помощью Router Checker от охранной компании F-Secure.

    Откройте веб-браузер и перейдите на сайт: campaign.f-secure.com/router-checker/en_global/

    Нажмите кнопку Проверьте свой маршрутизатор . Результат отображается через несколько секунд, и он не должен сообщать о каких-либо проблемах.

    Щелкните Просмотреть технические подробности результатов, чтобы получить информацию о ваших DNS-серверах и подключении к Интернету.

    Что делать, если ваш DNS был взломан?

    Предположим, что на ваших DNS-серверах установлено что-то вредоносное. Что вы делаете?

    1. Прекратить пользоваться Интернетом
    2. Измените свои DNS-серверы

    Вы можете вручную ввести DNS-серверы для использования, и это отменяет все, что предоставляется маршрутизатором или вашим интернет-провайдером. Вот как это сделать в Windows 10. Старые версии Windows очень похожи.

    Захват маршрутизатора затрагивает не только ваш компьютер, но и все компьютеры, телефоны, планшеты и устройства, которые подключаются к маршрутизатору.

    Изменить DNS-серверы

    1. Щелкните правой кнопкой мыши значок сети / Wi-Fi в правой части панели задач и выберите Открыть центр управления сетями и общим доступом.

    2. Щелкните ссылку рядом с надписью Connections (возможно, там указано имя вашего маршрутизатора).

    3. Щелкните Свойства в окне состояния Wi-Fi.

    4. Дважды щелкните Протокол Интернета версии 4 (TCP / IPv4) в списке.

    5.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *