Введение

Вступительное слово

Не является секретом тот факт, что системные администраторы и пользователи смотрят на вопросы безопасности и применения ограничений немного по-разному. Достаточно часто по этой причине пользователь оказывается за firewall, который он может и обойти, испытывая при этом некоторые неудобства. В этом мини-HOWTO приводится описание простого способа использования стандартных утилит работы с интернетом, в обход firewall, при помощи IP-эмулятора, запущенного поверх telnet.

Идея создания данного документа была навеяна Мини-HOWTO "Term+Firewall", автора Barak Pearlmutter bap@cs.unm.edu, описавшего старую, и более нигде не применяемую программу, Term (кстати, великолепную для своих времен вещь). Также эта идея была подкреплена наличием некоторых особенностей не совсем стандартных telnet-ов.

Проблемы с безопасностью

Конечно, если ваш системный администратор установил firewall, то у него (нее) были на это причины - и вы могли подписать с ним контракт, запрещающий вам обходить этот firewall. С другой стороны, если вам разрешен telnet наружу (это главное условие для описанного здесь обхода firewall), значит вам разрешен доступ к внешним компьютерам - а если у вас есть доступ к внешним компьютерам, то вы можете выполнить то, что описано ниже.

Поэтому использование существующих прорех в firewall - это всего лишь вопрос удобства использования стандартных утилит и протоколов - это не использование специальных или модифицированных (и перекомпилированных) программ, использующих несколько специализированных прокси, неправильно или плохо настроенных, некомпетентным или невнимательным системным администратором; это не установка большого количества специализированных преобразователей, позволяющих работать вам с интернетом через пути, разрешенные на firewall (например, через HTTP).

Более того, использование пользовательского IP-эмулятора (такого, как SLiRP) должно оградить firewall от внешних атак, если конечно вы сами этого не разрешите (или они очень умны и хитры, и root на внешней машине следит за вами).

Вообще, описанный здесь обход firewall относительно безопасен. Однако, многое зависит от конкретных обстоятельств, и я не даю никаких гарантий. Многие вещи в Интернете сами по себе небезопасны, с этим обходом или без него - подходите ко всему с должной мерой осторожности, если у вас нет причин чувствовать себя безопасно. Если необходимо - используйте шифрование, дополнительную авторизацию и т.п..

Если подытожить - не используйте эту информацию, если не знаете, что делаете. Еще раз прочитайте главу "Ответственность".

Другие требования

Вы знаете, что делаете; Вы знаете, как установить сетевое соединение; У вас есть имя и пароль входа в две системы на обеих сторонах от firewall; Вы можете устанавливать telnet-соединение с одной системы на другую (или ssh-, или нечто подобное) ; Вы можете запустить IP-эмулятор в оболочках в обеих системах; У вас есть программы, умеющие использовать эмуляцию IP на обеих сторонах; Заметьте, что эмуляцию может использовать любая программа, так как локальный эмулятор - это pppd, взаимодействующий с ядром Linux; другие эмуляторы (например Term) требуют рекомпиляции и подключения соответствующих библиотек.

pppd можно найти на любом уважающем себя ftp-сайте; там же обычно можно найти и SLiRP. Если на удаленной машине у вас нет прав системного администратора, то вы можете использовать SLiRP.

Где взять необходимые программы?

Многие из описанных здесь программ обычно входят в комплект вашего дистрибутива, правда, возможно, не полностью или с некоторыми ограничениями; во всяком случае, все пакеты, кроме двух последних, существуют в формате rpm. Если вы хотите получить последнюю версию исходных текстов или уже готовых программ (ведь может на одном из концов соединения быть не-Linux), посетите следующие страницы: