[an error occurred while processing this directive]

Приложение B - Вопросы и ответы


Статистика и события

Что произойдет, если закончится нет свободное дисковое пространства для хранения статистики или событий ?

При разработке межсетевого экрана Aker проблема безопасности рассматривалась как наиболее важная. Межсетевой экран, работающий без защищенной системы сбора статистики, обладает серьезной дырой в защите. По этой причине, после тщательного анализа возможных действий для решения проблемы недостатка дискового пространства остановились на следующем:

  1. Обнаружив недостаток дискового пространства для хранения статистики и событий, межсетевой экран немедленно блокирует роутинг IP пакетов.Это ведет к тому, что все проходящие через межсетевой экран соединения автоматически разрываются, а новые соединения не открываются.
  2. Межсетевой экран генерирует предупреждения о недостатке дискового пространства, посылая их в syslogd хоста, на котором запущен межсетевой экран, и, кроме того, он посылает аварийные сообщения удаленному графическому интерфейсу пользователя. Эти специальные аварийные сообщения не описаны в окне реакции системы.

Единственный способ заставить работать межсетевой экран после обнаружения недостатка дискового пространства - это увеличить пространство, доступное для хранения статистики и событий, или стереть файл регистрации или событий (невозможно сжать эти файлы, так как для выполнения сжатия необходимо дисковое пространство). После этого надо заново перегрузить хост или ввести следующую команду, чтобы восстановить маршрутизацию.

sysctl -w net.inet.ip.forwarding=1

Я только что получил аварийное сообщение в графическом интерфейсе пользователя, гласящее: "Не хватает дискового пространства для хранения статистики" или "Не хватает дискового пространства для хранения событий". С этого момента я не могу установить никакого соединения с внешнй сетью. Как мне решить эту проблему?

См. предыдущий пункт.

Удаленное администрирование.

Я пользуюсь удаленным администрированием через Интернет. Существует ли риск того, что мой пароль будет перехвачен?

Нет. Пароль пользователя никогда не посылается через сеть в незашифрованном виде. Метод аутентификации основан на вызовах - ответах, по которым межсетевой экран может аутентифицировать пользователя без получения его пароля, а удаленный интерфейс способен аутентифицировать межсетевой экран.

Я потерял пароль единственного администратора, зарегистрированного в системе. Существует ли способ его восстановления?

Не существует доступного способа восстановления утерянного пароля. Тем не менее, можно использовать локальный модуль администрирования пользователями, чтобы создать другого администратора или заменить пароль существующего администратора на известный пароль. Локальный модуль может быть запущен командой /etc/firewall/fwadmin от имени пользователя root

Трансляция сетевых адресов (NAT)

Я получаю сообщения о том, что заполнена таблица трансляции для TCP (или UDP) протокола; однако, при просмотре окна активных соединений видно, что число активных соединений в данный момент заметно меньше максимально допустимого значения, установленного в системе. В чем тут дело?

Дело в том, что транслятор сетевых адресов считает активными те соединения, которые еще не достигли тайм-аута (устновленного в окне настройки параметров), независимо от того, были ли эти соединения закрыты или нет.

Предположим, что тайм-аут составляет 900 секунд (предустановленное значение). Тогда это означает, что все соединения, установленные в течение последних 15 минут, содержаться удерживаться в таблице трансляции. Некоторые протоколы, такие как HTTP, используют большое число небольших соединений для передачи данных, и в связи с этим они могут явиться причиной того, что таблица соединений транслятора адресов будет заполнена явно меньшим числом соединений, чем ожидалось.

Решение этой проблемы состоит в том, чтобы увеличивать максимальное число соединений до тех пор, пока не будет найдено значение, при котором не будут генерироваться данные сообщения.

Когда я пользуюсь транслятором сетевых адресов межсетевого экрана Aker с FTP, на дисплее появляются два соединения к одному и тому же хосту назначения, одно с моего хоста, а другое с межсетевого экрана. В чем дело?

Это нормальное поведение транслятора сетевых адресов в отношении FTP протокола. На дисплее соединения всегда появляются парами, что продемонстрировано ниже на примере (предположим, что межсетевой экран имеет IP адрес 200.239.39.1):

10.0.0.1     1078 aaa.bbb.ccc.ddd 21
200.239.39.1 1040 aaa.bbb.ccc.ddd 21

Два соединения появляются на дисплее потому, что FTP соединение клиента прозрачно перенаправляется FTP proxy, запущенному на межсетевом экране, и этот proxy устанавливает соединение в направлении необходимого сервера. Такое происходит только в отношении контрольного канала FTP. Канал передачи данных, так же как и соединения других протоколов, проходит через обычный транслятор сетевых адресов, запущенный внутри ядра.

Как только я добавляю хост в серверную таблицу трансляции, все инициированные таким хостом соединения имеют адрес источника св соответствии с таблицей, кроме FTP соединений, которые имеют в качестве адреса источника глобальный виртуальный адрес. Что я делаю неправильно?

Ничего. Все FTP соединения автоматически перенаправляются локальному proxy, и поэтому, в качестве виртуальный IP адрес является их адресом источника. Этот процесс происходит независимо от того, имеет ли хост свой IP адрес в серверной таблице трансляции или нет.

Аутентификация пользователей

Я правильно настроил агента аутентификации в моем Windows NT, тем не менее ни один пользователь не смог пройти аутентификацию. Каждый из них получил сообщение о неверном пароле. Что я должен делать?

Проверьте, имеют ли эти пользователи право Локальный вход в систему на хосте с запущенным агентом. Для получения таких прав необходимо выполнить следующие шаги:

  1. Запустите Диспетчер пользователей. В нем выберите меню Политика и опцию Права пользователей.
  2. Выберите опцию Локальный вход в систему и установите ее для всех необходимых пользователей и групп. Чтобы упростить задачу, можно использовать группу Все.

Я пользуюсь агентом аутентификации для Windows NT, и заметил, что тогда как многие пользователи аутентифицируются правильно, некоторые не могут этого сделать, всегда получая сообщения о неверном пароле. В чем может быть ошибка?

Проверьте, установлена ли у пользователей, у которых возникли проблемы с аутентификацией, опция Потребовать смену пароля при следующем входе в систему. Если она установлена, уберите ее, и тогда пользователи будут снова нормально проходить аутентификацию.

Для проверки запустите Диспетчер пользователей и нажмите дважды на имени необходимого пользователя. Эта опция указана на дисплее под полями описания пользователя.

[an error occurred while processing this directive]