• А вот и долгожданный выпуск с контентом. Кстати, следующий выпуск рассылки Linuxbegin (#56 - Новости) планируется выпустить уже сегодня :).

• Результаты голосования из выпуска #55:

Результат: Читатели рассылки проявили просто поразительный интерес к теме "Linux-роутеры"!!! В этом выпуске помещена бОльшая часть той информации, которую я смог найти в Рунете по этой теме (перед отправкой рассылки я, конечно же, всё это прочитал и узнал много интересного - например, что дистрибутив FreeSCO не имеет никакого отношения к SCO :). За кадром осталось огромное количество информации на тему "Настройка сервера под Linux и FreeBSD, администрация, ..." с Opennet.ru и других подобных сайтов ("Немного о Linux", некоторые главы из "Краткого руководства по установке и настройке Mandrake Linux 9.1", ... - полный список скоро будет на сайте Linuxbegin в разделе "Ссылки").

И самое главное - впервые в истории рассылки (насколько я помню) второе место занял вариант "Против всех"... Обычно в следующем выпуске я публиковал статьи по теме, занявшей второе место - но сейчас я решил провести новый опрос (см. раздел "Читайте в следующем номере" :).

• Более подробная информация об одной из вышеупомянутых ссылок:

• 10.08.03: Краткое руководство по установке и настройке Mandrake Linux 9.1
Эта книга является сборником типовых решений для наиболее часто встречающихся задач под Linux. Таким образом, эту книгу можно рассматривать как несколько расширенные FAQ по инсталляции и настройке Mandrake Linux и пошаговые инструкции по простейшей настройке основных сервисов, таких как named, Apache, ProFTPd, Postfix, Samba, Squid и т.д. Практически отсутствует теория и описания редко используемых функций - предпочтение отдано пошаговым инструкциям для быстрой типовой настройки. Книга доступна в HTML и PDF и распространяется под лицензией GFDL. Это - первая довольно маленькая версия (32 Kb в сжатом виде). Авторы ждут ваших комментариев и предложений на форуме проекта Lafox.net. [LOR]

• Как раздать интернет на локальную сеть
• Linux как маршрутизатор
• Гладкий роутер
• Настройка сетевых интерфейсов и маршрутизация с помощью пакета iproute 2
• Создание маршрутизатора на базе FreeBSD 5 по шагам
• Linux-маршрутизаторы: вопросы и ответы от Tony Mancill

(Это - глава из документа "Краткое руководство по установке и настройке Mandrake Linux 9.1").

Мы хотим, чтобы машины из локальной сети имели доступ к Internet. В данном случае наш сервер должен выполнять функции роутера (маршрутизатора). В нем должно быть как минимум два интерфейса:

Для "раздачи" интернет во внутреннюю сеть часто используется IP маскарадинг (IPMASQUARADE). Работает это, вкратце, следующим образом: пакет (IP пакет также часто называют datagram), поступающий из локальной сети на роутер, в своем заголовке содержит IP адрес создавшего его компьютера (далее ip-источника) и IP-адрес пункта назначения (далее ip-получателя). Роутер в этом случае подменяет ip-источника на свой ip и отправляет этот пакет получателю. Получатель формирует ответный пакет для роутера. Роутер принимает этот пакет, но он знает, что этот пакет предназначен не ему (путем запоминания номера пакета) и, заменяет в нем ip-получателя на ip-источника, затем отправляет этот пакет локальной машине в сети. Таким образом, получается, что машины во внутренней сети получают доступ в интернет от имени роутера. Отсюда и название "IP-маскарадинг", так как маршрутизатор маскирует своим IP машины внутри локальной сети. Это дает возможность серьезно повысить защищенность рабочих станций внутри сети и обеспечить их интернетом без раздачи им реальных IP адресов.

В отличии от прокси сервера (например SQUID), этот способ позволяет хорошо работать не только http, но и ftp/pop3/smtp/ssh/telnet/. практически ЛЮБОМУ сервису. При этом не нужно объяснять сервису, что он работает через прокси.

Полное описание того, что такое IP-Masquarade и как его настраивать на английском языке, можно получить здесь: http://www.ibiblio.org/pub/Linux/docs/HOWTO/other-formats/html/IP-Masquerade-HOWTO-html.tar.gz. В частности, оттуда нас интересует раздел: 3.4.1. Выбираем оттуда первый примерчик (выделенный серым цветом), копируем его в файл и делаем этот файл запускаемым.

В адаптированном для Linux Mandrake 9.1 виде этот скрипт можно получить здесь: http://lafox.net/docs/masq/. Для других дистрибутивов, вероятно, нужно поправить пути в переменных : IPTABLES, DEPMOD, MODPROBE.

В сокращенном виде (без комментариев и нефункциональных выводов сообщений) скрипт выглядит так:

#!/bin/sh
# полная версия находится здесь: http://lafox.net/docs/masq/
IPTABLES=/sbin/iptables
DEPMOD=/sbin/depmod
MODPROBE=/sbin/modprobe

EXTIF="eth0"
INTIF="eth1"

$DEPMOD -a

$MODPROBE ip_tables
$MODPROBE ip_conntrack
$MODPROBE ip_conntrack_ftp
$MODPROBE ip_conntrack_irc
$MODPROBE iptable_nat
$MODPROBE ip_nat_ftp
$MODPROBE ip_nat_irc

echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT 
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT 
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD 
$IPTABLES -t nat -F

$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
$IPTABLES -A FORWARD -j LOG

$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

echo -e "done.\n"

Давайте сохраним это в файлик и назовем его, к примеру masq.sh. Далее поправляем переменные:

EXTIF="eth0"
INTIF="eth1"

Также, возможно, следует закомментировать строку:

$IPTABLES -A FORWARD -j LOG

Этим мы отключим логирование. Иначе, в больших сетях могут возникнуть проблемы с огромными размерами log файлов.

Далее просто запускаем этот скрипт и радуемся тому, что локальная сеть получила интернет. :-)

Посмотреть на то, что сделал этот скрипт с iptables, можно командочками:

# iptables -L
# iptables -L -t nat

IP-маскарадинг часто используется совместно с кэширующим прокси-сервером.

Как применить Linux в качестве маршрутизатора между небольшой сетью и Интернетом?

Подключение ЛС к Интернету

Есть несколько способов подключения локальной сети (ЛС) к Интернету, отличающиеся объемом адресного пространства. Можно назвать следующие: через коммутируемое соединение (динамический IP) или выделенную линию с одним IP-адресом или с выделенной подсетью адресов. Есть также вариант с использованием внутренних IP-адресов провайдера. В любом случае компьютер с Linux должен иметь два сетевых интерфейса: один для связи с локальной сетью, другой для Интернета.

Известно, что особенностью коммутируемого доступа по телефонным линиям является непостоянность соединения. Его установку можно инициировать либо вручную специальной командой, либо автоматически. Первый способ подробно описан ранее ("Как подключить Linux к Internet" — "Мир ПК", #6/2000, с. 76). Следует только добавить, что с точки зрения маршрутизации коммутируемая линия почти эквивалентна выделенной с одним IP-адресом с той лишь разницей, что динамический адрес не позволяет устанавливать во внутренней сети общедоступные Web- или почтовые серверы.

Вариант автоматического подключения компьютера с Linux реализуется, например, с помощью утилиты diald: она самостоятельно устанавливает коммутируемое соединение в том случае, когда появляются IP-пакеты, которые нужно переправить во внешнюю сеть (Интернет) из локальной сети.

Другой метод установки коммутируемого соединения использует систему EQL, интегрированную в ядро Linux и позволяющую применять для передачи информации две телефонные линии. В этом случае благодаря перераспределению нагрузки суммарная скорость передачи данных увеличивается. Однако такой метод соединения должен поддерживать и провайдер. Поэтому, скорее всего, эта система лучше подойдет для подключения удаленных филиалов или складов.

Согласование адресов

При соединении локальной сети с Интернетом, когда имеется всего один IP-адрес, проблемой является согласование внутреннего IP-пространства с общим адресным пространством Интернета. В этом случае обычно используют преобразование (или трансляцию) адресов — NAT (Network Address Translation).

(Преобразование адресов еще называют маскарадингом, поскольку одна из самых распространенных программ для реализации NAT называется IP Masquerade. Собственно, первоначально технология NAT была разработана в целях безопасности, чтобы скрыть от внешних наблюдателей структуру внутренней сети. Сейчас же эта технология активно применяется провайдерами для экономии IP-адресов).

Следует отметить, что во всех перечисленных выше случаях компьютер с Linux выполняет только одну функцию: «вылавливает» из внутренней сети IP-пакеты с внешними адресами и передает их в сетевой интерфейс, который подключен к cети провайдера. Он также получает пакеты из Интернета, переводит их адреса во внутреннюю нумерацию и передает в локальную сеть. То есть работает, в основном, система трансляции адресов, при этом стандартные механизмы маршрутизации практически не используются.

Собственно, полноценная маршрутизация возникает либо когда под всю локальную сеть выделяется отдельный блок адресов, либо если сетевых интерфейсов больше двух. Первый случай может иметь два варианта: блок адресов общедоступен или является частью внутреннего IP-пространства провайдера. Впрочем, с точки зрения маршрутизации эти варианты почти равноправны. Отличия состоят в более жесткой защите при подключении к Интернету, поскольку основу ее задают правила маршрутизации.

Настройка маршрутизации

Для настройки маршрутизации нужно определить адрес, сетевую маску и IP-адрес шлюза, через который пакет дойдет до адресата. Для этого можно пользоваться стандартной утилитой linuxconf, а точнее ее частью netconf. Раздел Routing and gateways (маршрутизация и шлюзы) позволяет настроить все, что связано с маршрутизацией. Впрочем, можно воспользоваться и текстовыми утилитами ifconfig для настройки сетевых интерфейсов и утилитой route для изучения и изменения таблиц маршрутизации.

Однако нужно иметь в виду, что netconf изменяет определенные конфигурационные файлы, что позволяет восстанавливать состояние при перезагрузке. В то же время текстовые утилиты меняют только текущее состояние системы, не сохраняя настроек в конфигурационных файлах. Поэтому текстовые утилиты лучше использовать для получения справочной информации и тестирования, а уже с помощью netconf «зафиксировать» получившуюся устойчивую конфигурацию. Заметим, что для восстановления сетевой конфигурации netconf пользуется теми же командными утилитами ifconfig и route. Можно даже посмотреть, как это делается, если заглянуть в файл /etc/rc.d/init.d/ network, где хранятся сценарии конфигурирования сетевой инфраструктуры.

Защита внутренней сети

При подключении к Интернету необходимо задуматься о защите внутренней сети. Даже если там не хранится никаких секретов, все равно следует предусмотреть хотя бы минимальную защиту. В противном случае вы рискуете переплатить за подключение. Основу сетевой защиты, как правило, составляет межсетевой экран (firewall), базирующийся на фильтрации пакетов. В Linux предусмотрен механизм фильтрации в виде подсистемы ipchains, с помощью которой можно определять правила обработки IP-пакетов. Поскольку и защита, и маршрутизация работают с одними и теми же пакетами, то и настраивать их нужно совместно. В частности, система безопасности может блокировать некоторые подозрительные IP-пакеты, приходящие извне, и тем самым упростить работу маршрутизатора.

Наиболее сложная настройка маршрутизации требуется при двух внешних подключениях. В этом случае приходится заботиться и о распределении нагрузки между соединениями, и о вычислении минимального расстояния до получателя, и о работе с различными протоколами передачи информации о маршрутах. К счастью, для небольших локальных сетей такая избыточность не нужна, а если она все-таки возникла, то лучше пользоваться коммерческими маршрутизаторами. Кроме того, российская компания SWsoft выпустила дистрибутив Linux под названием xLswitch, который изначально рассчитан на построение маршрутизаторов на основе ПК.

Среди великого множества различных дистрибутивов Linux выделяется группа дистрибутивов, предназначенная для выполнения различных узкоспециальных задач. Наверняка можно сказать, что если есть какое-нибудь задание для компьютера, то есть маленький дистрибутивчик, ориентированный только на его выполнение. Зачем они нужны, такие покромсанные? А для того чтобы с минимальными усилиями и не затрачивая дополнительное время на конфигурирование быстро настроить необходимый сервис или дать вторую жизнь старой железяке, тем самым разгрузив более мощные компьютеры для выполнения другой работы. Наиболее известными мини-дистрибутивами являются роутеры, сочетающие в себе, как правило, еще и функции firewall, www, dhcp и иногда ftp сервера. До недавнего времени моим любимым дистрибутивом, предназначенным для этих целей, был FreeSCO. Но у него при всех его достоинствах есть маленький недостаток - он давно не обновлялся. Поиски замены привели меня к SmoothWall. Данный дистрибутив построен на ядре серии 2.2.х которую так любят администраторы, имеет низкие системные требования (рекомендуется 486i, 16 Мб ОЗУ), поддерживает кроме разнообразных сетевых устройств (Ethernet 10/100, ISDN, USB ADSL и обычные аналоговые модемы) также и IDE CD-ROM (с которого собственно производится инсталляция дистрибутива) и, конечно же, дисковод. ISO-образ дистрибутива занимает чуть более 20 Мб. Установка особой сложности не вызывает. Программа установки сама автоматически разбивает диск /dev/hda на 4 раздела (/boot, swap, /var/log и корневой)(рис.1) хотя в дальнейшем это можно изменить в комплект входят все необходимые утилиты для создания и обслуживания файловой системы ext2fs.

Дальше необходимо просто честно ответить на вопросы об IP-адресах, выбрать раскладку клавиатуры, временной пояс и при необходимости ввести телефонный номер провайдера, но, к сожалению только один (хотя это и можно, при необходимости выправить вручную скриптом). Сетевые устройства программа установки находит сама при не удаче можно попробовать выбрать из довольно объемистого списка. После всего следует запрос трех паролей для пользователей root, setup (для запуска программы изменения первичных настроек /usr/local/sbin/setup) и admin. После окончания процесса установки можно предварительно достав выехавший диск запихать компьютер под стол.

Все дальнейшие действия по настройке теперь можно производить через удобный web- интерфейс (рис.2), для чего нужно зайти по адресу http://smoothwall:81 или https://smoothwall:445 для работы по защищенному протоколу. С помощью которого можно узнать статистику о работе роутера (uptime, учет количества пакетов и скорость передачи по интерфейсам, использование диска, пользователи), получить справку о настройке тех или иных параметров, войти в shell, изменить работу некоторых сервисов, остановить (или перезагрузить) роутер или отключить один из интерфейсов. Теперь о некоторых features. SmootWall по умолчанию выполняет роль кеширующего Web-сервера (по-умолчанию: время обновления 15 мин, кеш 4 Мб), при необходимости в DHCP сервисе нужно просто указать в setup в соответствующей вкладке диапазон IP-адресов и включить сервис, Кроме Web-интрефейса можно войти с помощью SSH. В лог-файлах (которые можно импортировать нажатием одной кнопки) можно найти подробные данные системы предупреждения о вторжении IDS (Intrustion Detection System) (имя, адрес, дата, степень опасности и т.д.), подробности работы firewall и отчеты всех остальных запущенных сервисов и ядра. Имеется возможность создания VPN (Virtual Private Network) (сообщения шифруются при помощи алгоритма 3DES).

В заключение хочу отметить, что это - удобный, хорошо продуманный и постоянно развивающийся продукт.

Большинство дистрибутивов Linux, впрочем как и UNIX, для настройки сети и маршрутизации используют команды ifconfig, arp и route. Однако в Linux, начиная с ядра 2.2, была полностью переделана сетевая система и были добавлены новые возможности, которые ранее требовали дополнительных утилит, такие как маршрутизация на основе правил, управление трафиком и т.д. К этим возможностям предоставляет доступ пакет программ iproute2, который в настоящее время входит в большинство современных дистрибутивов.

Утилита ip объединяет в себе возможности команд ifconfig, arp и route, рассмотрим синтаксис команды:

ip [Опции] Объект [ Команда [Аргументы команды] ]

где Опции - опциональные параметры, который влияют на общую работу утилиты или вывод результатов.

В настоящее время доступны следующие опции:

• -V, -Version - выводит в стандартный вывод (stdout) версию программы ip
  
• -s, -stats, -statistic - выводит статистическую информацию.
  
• -f, - family - указывается перед идентификатором протокола, таким как inet (IPv4), inet6(IPv6) или link (Устройстов). Служит для выбора указания протокола, если протокол не указан, то по умолчанию протокол выбирается из параметров команд.
  
• -4 - аналог параметра -family inet
  
• -6 - аналог параметра -family inet6
  
• -0 - аналог параметра -family link
  
• -o, -oneline - каждая запись будет выводиться на новой строке.
  
• -r - выводить на экран символические имена хостов.
  

Объект - это объект, с которым будут работать или получать о котором информацию. Объекты бывают следующими:

• link - сетевое устройство
  
• address - IPv4 или IPv6 адрес на устройстве.
  
• neighbour - ARP адреса
  
• route - машрутизация
  
• rule - база данных правил машрутизации
  
• madress - Multicast-адреса представляют собой особый подвид широковещательных адресов, позволяющих обращаться к группе машин, которые не обязательно должны быть в той же самой подсети. Они весьма полезны при сетевых голосовых переговорах и видеоконференциях. Поддерживаются многими, но не всеми картами Ethernet.
  
• mroute - Multicast-пакетов.
  
• tunnel - туннель через IP.
  

Команда описывает действие над Объектом.

Доступные команды: set и show (или list).

ip link set - изменение параметров сетевого устройства.

Аргументы:

• dev - Имя интерфейса, с которым будем проводить какие-то манипуляции.
  
• up (включить) или down (выключить) - включить или выключить сетевой интерфейс.
  
• arp on или arp off - изменяет значение флага NOARP на устройстве.
  
• multicast on или multicast off - изменяет флаг MULTICAST на устройстве.
  
• dynamic on или dynamic off - изменяет флаг DYNAMIC на устройстве.
  
• name - Изменяет имя устройства
  
• txqueuelen Число или txqlen Число - изменяет длину передаваемой очереди.
  
• mtu Число - изменяет значение MTU на устройстве.
  
• address Адрес - изменяет адрес на устройстве.
  
• broadcast Адрес или brd Адрес - изменяет широковещательный адрес на устройстве.
  

ip link show (list, ls, sh, lst, l) - показывает информацию об сетевом интерфейсе. Аргументы:

• dev - Имя интерфейса с которым будем проводить какие-то манипуляции.
  
• up - показать только включенные интерфейсы.

Примеры:

Выведем информацию о состоянии интерфейса eth0

# ip link ls dev eth0

В результате получим:

eth0: mtu 1500 qdisc cbq qlen 100
link/ether 00:04:61:92:21:1d brd ff:ff:ff:ff:ff:ff

Выведем статистику интерфейса eth0

#ip -s link ls dev eth0

2: eth0: mtu 1500 qdisc cbq qlen 100
link/ether 00:04:61:92:21:1d brd ff:ff:ff:ff:ff:ff
RX: bytes packets errors dropped overrun mcast
2891892504 15070935 0 0 0 0
TX: bytes packets errors dropped carrier collsns
3139067270 54387014 0 0 0 132934

Команда address имеет ряд псевдонимов: addr, a. Объект address - это адрес IPv4 или IPv6 протокола, связанный с каким-то устройством, чтобы оно могло работать с данными протоколами. Так же каждое устройство может иметь несколько IP адресов. Команда ip address показывает адреса, их свойства, а так же добавляет новые или удаляет старые.

ip address add - добавляет новый адрес.

Аргументы:

• dev Имя - имя устройства.
  
• local Адрес - адрес интерфейса.
  
• peer Адрес - адрес удаленной машины при использовании протокола PPP.
  
• broadcast Адрес - широковещательный адрес на интерфейсе. Вы можете использовать специальные символы "+" и "-", в этом случае широковещательный адрес получается путем установки/сброса бит в адрес хоста.
  
• label Метка - каждый адрес может быть подписан строкой, однако следует помнить, что имя должно начинаться с имени устройства, затем после двоеточия идет сама метка.

Пример:

ip addr add 10.0.0.1/24 brd + dev eth0 label eth0:Alias

Данная команда добавляет адрес 10.0.0.1/24 с маской подсети 255.255.255.0 со стандартным широковещательным адресом и именем eth0:Alias.

ip address delete - удаляет адреса. Сокращения: delete, del, d.

Пример:

ip addr del 127.0.0.1/8 dev lo

Удаляет адрес 127.0.0.1/8 с устройства lo.

ip address show - выводит информацию об адресе. Сокращения: show, list, lst, sh, ls, l. Аргументы:

• dev Имя - имя устройства.
  
• to Префикс - вывести информация о адресах с заданным префиксом.
  
• label Имя - вывести информацию об адресах с заданным именем.
  

Пример работы команды:

kuznet@alisa:~ $ ip addr ls eth0
3: eth0: mtu 1500 qdisc cbq qlen 100
link/ether 00:a0:cc:66:18:78 brd ff:ff:ff:ff:ff:ff
inet 193.233.7.90/24 brd 193.233.7.255 scope global eth0
inet6 3ffe:2400:0:1:2a0:ccff:fe66:1878/64 scope global dynamic
valid_lft forever preferred_lft 604746sec
inet6 fe80::2a0:ccff:fe66:1878/10 scope link
kuznet@alisa:~ $

ip route - управление таблицей машрутизации.

Сокращения: route, ro, r.

ip route add - добавить новый маршрут
ip route change - изменить маршрут
ip route replace - заменить маршрут

Сокращения: add, a; change, chg; replace, repl.

Аргументы:

• to - назначение маршрута.
  
• metric Число - задание метрики маршрута.
  
• table Идентификатор таблицы - таблица связанная с маршрутом. Идентификатором таблицы может быть номер или строка из файла /etc/iproute2/rt_tables
  
• dev Имя - имя устройства.
  
• via Адрес - адрес перехода к следующему маршрутизатору
  
• src Адрес - адрес источника
  
• nexthop NEXTHOP - следующий переход в случае, если используется многоканальная маршрутизация.
  
• via Адрес
  
• dev Имя - имя устройства.
  
• weight Число - вес маршрута, определяющийся шириной канала или качеством .
  

Примеры:

Добавляем маршрут к сети 10.0.0/24 через 193.233.7.65

ip route add 10.0.0/24 via 193.233.7.65

Добавим шлюз по умолчанию в случае использования двух каналов в зависимости от загрузки канала:

ip route add default scope global nexthop dev ppp0
nexthop dev ppp1

ip route delete - удалить маршрут.

Сокращения: delete, del, d.

Аргументы: Аргументы данной команды сходны с ip route add.

Пример:

Удаляем маршрут, созданный в предыдущем разделе.

ip route del default scope global nexthop dev ppp0
nexthop dev ppp1

ip rule - управление правилами машрутизации

Сокращения: rule, ru

Маршрутизация может производиться не только в зависимости от адреса получателя, но и по адресу источника, IP протокола и транспортного протокола. По умолчанию существуют 3 правила:

• Таблица Local (ID 255) - специальная таблица маршрутизации с самым большим приоритетом, которая содержит таблицы для локальных и широковещательных адресов.
  
• Таблица Main (ID 254) - обычная таблица маршрутизации.
  
• Таблица Default (ID 253) - пустая по умолчанию таблица.
  

ip rule add - добавить новое правило.
Ip rule delete - удалить правило.

Сокращения: add, a; delete, del, d

Аргументы:

• from - адрес источник
  
• to - адрес получателя
  
• iif Имя - имя интерфейса с которого будет получен пакет
  
• fwmark Метка - метка пакета, устанавливаемая firewall.
  
• table Идентификатор таблицы - таблица связанная с маршрутом. Идентификатором таблицы может быть номер или строка из файла /etc/iproute2/rt_tables
  
• priority Число- приоритет таблицы.
  

Примеры:

Маршрутизировать пакеты с сети 192.203.80.0/24 согласно таблицы example.

ip ru add from 192.203.80.0/24 table example prio 220

Рассмотрим примеры использования маршрутизации на основе правил.

1. Пусть у нас есть два канала в интернет: быстрый модем с IP адресом 212.64.94.251, связанный PPP c 212.64.94.1, и медленный c 212.64.78.148, связанный PPP c 195.96.98.253. Надо пакеты одного пользователя отправлять через медленный модем. Для этого сформируем новое правило:

# echo 200 User >> /etc/iproute2/rt_tables
# ip rule add from 10.0.0.10 table John
# ip rule ls
0: from all lookup local
32765: from 10.0.0.10 lookup John
32766: from all lookup main
32767: from all lookup default

Далее назначаем для этого пользователя шлюз по умолчанию и очищаем кэш таблицы маршрутизации для того чтобы наши изменения вступили в действие.

# ip route add default via 195.96.98.253 dev ppp2 table John
# ip route flush cache

2. Необходимо направить весь трафик на 80 порт через сетевую карту eth0. Пометим пакеты, идущие на 80 порт.

# iptables -A PREROUTING -i eth0 -t mangle -p tcp --dport 80
-j MARK --set-mark 2

Создадим правила для помеченных пакетов.

# echo 202 www.out >> /etc/iproute2/rt_tables
# ip rule add fwmark 2 table www.out
# ip route add default via 10.0.0.2 dev eth0 table www.out
# ip route flush cache

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ:

1. IP Command Reference - Alexey N. Kuznetsov
2. Linux Advanced Routing & Traffic Control HOWTO

Ну вот наконец решился написать о своих похождениях в мире UNIX.

Начало было очень простое. Есть две сети которые необходимо соединить
роутером. Обе сети полностью сделаны на Windows 2000, с использованием
ActiveDirectory. В принципе можно было поднять роутер на Windows, но
использовать для этого дела мощную, рабочую машину было жалко. Поэтому,
порывшись в закромах, нашел компьютер попроще, а именно: P-166, RAM
4xSIMMх8M, HDD 1,1 G (проще небыло). Вставил в нее дежурный CD-ROM, два
Ethernet-а и начал пробовать (диск c FreeBSD 5.0 скачал раньше). 

Ну что делают все новички в первую очередь. Правильно вставил диск в
CD-ROM, пошла загрузка. Первая инсталляция длилась порядка двух суток.
Думал - одурею. 

Начал читать в Инете, что умные люди пишут по поводу настройки роутера.
И тут выясняю, что все описания настроек роутера относятся к версии
FreeBSD от 2.ххх до 4.2.xxx. А поскольку у меня была версия уже 5, то
возникло много закономерных вопросов. И самый первый - а относится
ли все что написано ко мне. 

Ну и вот после всего этого, доведя инсталляцию роутера до автоматизма,
сейчас она занимает около 40 мин, решил поделиться с миром, как я это
делаю, поскольку, таких как я начинающих должно быть не мало.

Дальше попробую по шагам.

Ну, первое, как ни странно, но я производил инсталляцию в режиме Custom.
Хотя этот режим вроде как для экспертов, но после многочисленных попыток
решил, что так проще.

Первое что требуется, естественно, это разбиение винчестера. Так как все
программы необходимо куда-то записать. Но поскольку у роутера диск это
не критичное место, то здесь я пошел по пути наименьшего сопротивления,
т.е. все разбивалось так, как предлагала система.

Заходим в пункт Partition, нажимаем букву А и FreeBSD выделяет нам весь
диск под партицию. Нажимаем букву Q, выходим в предыдущее меню.

Заходим в пункт Label, опять нажимаем букву А и, опять, FreeBSD
разбивает нам, уже, партицию так, как он считает правильно. Нажимаем
букву Q, выходим в предыдущее меню.

Заходим в пункт Distributions. Вот здесь начинается отход от стандарта.
Движемся по меню вниз и на пункте Minimal нажимаем пробел. Этим мы
устанавливаем минимальную конфигурацию системы. Т.к., еще раз повторюсь,
кроме роутера нам ничего не надо. Поднимаемся вверх, на пункт меню Exit
и еще раз нажимаем клавишу пробел. Выходим в предыдущее меню.

Опускаемся на следующий пункт меню Media и выбираем откуда будем
закачивать систему. В нашем случае CD-ROM.

Опускаемся на следующий пункт меню Commit. Нажимаем его и идем пить чай
или кофе. Кому что нравится, т.к. минут 15-20 система будет
перекачиваться с CD-ROM-а на винчестер.

После окончания инсталляции, переходим к следующему пункту
Configuration.

Пропускаем пункты Distribution и Packages изменяем пароль root-а Root
Password.

Опять пропускаем пункты Fdisk и Label.

В пункте меню User Management добавляем пользователя из группы wheel,
чтобы можно было переключиться в режим root-a.

Console можно не настраивать, но если есть желание, то почему бы и не
настроить.

Time Zone лучше настроить, иначе могут быть проблемы со временем.

Media и Mouse тоже пропускаем и остается самая важная часть - Networking.

Итак, вначале, что бы не забыть впоследствии, на пункте меню Gateway
нажимаем пробел, устанавливая крестик. Затем поднимаемся выше на пункт
меню Interfaces. Нажимаем пробел и нам высвечиваются все сетевые
интерфейсы которые у нас есть. В конце первых двух, которые называются
lnc0 и lnc1, написано слово Ethernet. Значит это они родные. Нажимаем
пробел на первом. Вводим имя компьютера, имя домена, шлюза по умолчанию
у нас нет, адрес DNS сервера и IP адрес той подсети, куда смотрит данный
Ethernet. Все остальное остается по умолчанию, как было. Со вторым
поступаем аналогично и пишем адрес подсети, в которую он смотрит.

Выходим из программы инсталляции, перегружаем компьютер.

Если сетевые кабели вставлены, и адреса ethrnet-ов мы прописали
правильно, то, УРА, роутер уже работает.

Проверяем. Набираем команду ping с адресом первого Ethernet-а. Должно
работать. Набираем команду ping с адресом второго Ethernet-а. Должно
работать. Набираем команду ping с адресом любого компьютера из первой
сети. Должно работать. Набираем команду ping с адресом любого компьютера
из второй сети. Должно работать. На компьютерах обоих сетей прописываем
default gateway (а лучше в DHCP указать соответствующий параметр).
Пытаемся командой ping из первой сети найти компьютер во второй сети, и
наоборот. Тоже должно работать.

Если не работает, значит, что-то делалось не так как написано, поскольку
писалось во время инсталляции, повторяя работу.

Еще раз хочу заострить внимание читающих на том моменте, что в данном
случае FreeBSD никак, еще раз повторю - никак, не оптимизируется. 

С уважением ко всем читающим.

Часть первая: Гибкость решает всё.

Маршрутизаторы на базе Linux и открытых исходников являются правильным выбором любого менеджера сети, чей девиз - "Никаких ограничений". Так утверждает Tony Mancill, автор "Linux Routers: A Primer for Network Administrators". В первой части этой статьи Mancill обьясняет преимущества использования Linux-роутеров, даёт советы по выбору правильного маршрутизатора и просто излагает свои взгляды на сетевые технологии нового поколения.

Почему вы отказалсь от использования традиционных маршрутизаторов?

Tony Mancill: Традиционные решения часто ограничивают вас - или с точки зрения поддержки новых технологий ('Нет, вы должны купить XYZ, чтобы использовать интерфейс B'), или с точки зрения программного обеспечения и характеристик ('Это устройство делает только X; купите наше новое устройство Y, если вам нужно Y'). Если рассуждать теоретически - вы просто садитесь и разрабатываете сеть, обсуждаете это с поставщиком, находите верное решение, воплощаете его в реальность и забываете про это. Тем не менее, в большинстве реальных случаев дела обстоят по-другому. Если у вас нет постоянных изменений и перестановок, то или ваш бизнес не растет, или вы просто игнорируете новые технологии. В первом случае могут возникнуть огромные нагрузки на сетевого администратора, а второе - это просто название игры. Если вам не нравятся технологические изменения - возможно, что сетевая администрация не является для вас идеальным родом занятий.

Почему Linux и роутеры - хороший признак?

Mancill: Говоря одним словом - гибкость. Linux по самой своей природе - открытая система, идущая в ногу с новыми и развивающимися технологиями, поэтому вы выбираете платформу, которая будет работать даже тогда, когда IPv6 по 48-терабитному оптоволоконному кабелю станет стандартным компонентом десктопа. Но, в то же самое время, Linux - не только система для экспериментов. Роутеры, помимо всего прочего, должны стабильно работать под постоянной нагрузкой. Тот факт, что система Linux широко используется как рабочая лошадка для сетевых и серверных платформ, означает, что её код уже многократно проверен и укреплён бесчисленными ситуациями и бесчисленными часами рабочего времени.

Другие преимущества?

Mancill: Маршрутизаторы так же должны обладать возможностями лёгкого мониторинга и управления. И мне кажется, что в этой области Linux имеет большое преимущество перед другими, более традиционными платформами для роутеров. Я знаю наилучшим образом, какие сетевые компоненты мне нужны для успеха моей компании, а так же - какой тип проверки и системы уведомления нужен службе поддержки персонала. Кому-то нужны короткие сообщения, другие хотят электронную почту, а третьи - централизованный Web-интерфейс с красивой графикой. Но я, возможно, не смогу позволить себе приобрести устройство с такой же функциональностью (например - Tivoli или HP OpenView). Или я просто не хочу ограничиваться только той функциональностью, которую они обеспечивают, и т.д. Маршрутизатор на базе Linux может работать совместно с любой внешней средой мониторинга, или обеспечивать те же услуги непосредственно. (Просто не забывайте, что кто-то всё же должен заниматься системой мониторинга.)

Говоря о стоимости - действует ли репутация Linux, как недорогой системы, применимо к маршрутизаторам?

Mancill: Конечно же, всегда есть вопрос стоимости. Linux свободен, во многих смыслах этого слова, но экономия идёт не только из-за этого. Работа вашего маршрутизатора на распространённой платформе - такой, как хороший сервер PC - означает, что вы получаете абсолютно наилучшее отношение технологии к цене, потому что вы перемещаете функции маршрутизации с проприетарного железа на наиболее распространённое и мощное оборудование. У вас есть некоторая "защита для улучшений", потому что вы всегда можете выбирать ваши аппаратные средства и поддержку для этих аппаратных средств. Общая экономия вполне может превысить экономию от использования свободной OS.

Часть 2: Функциональность маршрутизатора живёт в ядре Linux.

Итак, ваш IT-отдел решил попробовать Linux-маршрутизаторы. Возможности просто изобилуют. С чего начать? Tony Mancill, автор "Linux Routers: A Primer for Network Administrators", отвечает на этот вопрос, а так же делится своими мыслями о коммерческих маршутизаторах и обсуждает опции маршрутизации, доступные для Linux.

С какими коммерческими маршрутизаторами вы работали? Каковы достоинства и недостатки каждого из них?

Tony Mancill: Хорошо, кажется, что практически все работали с [маршрутизаторами] Cisco - раньше или позже. В основном ни у кого не возникает слишком негативных впечатлений для того, чтобы говорить о них. Компания Cisco сделала хорошую работу по формализации своих продуктов и стандартизации повседневных операций для сетевых администраторов.

Cisco предлагает согласованность и поддержку, но это отражается на стоимости. На самом деле существуют не только денежные издержки. Более важен тот факт, что в данном случае существует потеря гибкости. Вы ограничены структурой, навязанной вам инженерами из Cisco и их маркетинговым отделом.

У меня был один действительно страшный случай с другим коммерческим маршрутизатором от поставщика, который в дальнейшем был приобретен другой компанией. (Обжегшись однажды, я больше не работал с этими поставщиками). Я уверен, что большинство сетевых администраторов могут столкнуться с тем же - критическая система терпит неудачу в самое неподходящее время, а служба поддержки может дать только несколько общих советов, совершенно не соответствующих тем огромным деньгам, которые были затрачены на поддержку. Мне пришлось столкнуться и с этим, и с достаточно неудобными средствами управления, которые предоставляли очень ограниченный контроль над маршрутизатором.

Какие маршрутизаторы работали у вас достаточно хорошо?

Mancill: Наиболее полезные маршрутизаторы, с которыми я работал - это маршрутизаторы от WAN (frame relay или синхронный PPP), основанные на картах Sangoma WANPIPE. Решение: берется обыкновенный PC и одна или несколько карт Sangoma, которые могут взаимодействовать с CSU/DSU или непосредственно с цифровым носителем T1/E1. Приблизительно за половину стоимости традиционного маршрутизатора вы получаете маршрутизатор с богатыми диагностическими средствами, который так же способен выполнять и другие функции в вашей сетевой инфраструктуре.

В чём заключается основное преимущество решения от Sangoma?

Mancill: Трудно преувеличить значение таких возможностей, как полный доступ к протоколу Layer 2, когда вы создаёте новую WAN связь, или возможность создания DNS-сервера в маршрутизаторе спутникового офиса. Единственная слабость таких решений, как Sangoma - то, что вы несёте ответственность за выбор аппаратного и программного обеспечения. Вероятно, не все к этому готовы, особенно если вам нужны аппаратные средства для работы в агресивной физической среде. Так же у вас не будет централизованной службы поддержки для подобного решения. Для некоторых корпораций это - недостаток.

Тем не менее, вы можете иметь целостную поддержку и все еще оставаться в 'Linux-пространстве', выбрав такого поставщика, как ImageStream. Я ещё не использовал их оборудование в промышленной среде, но я изучил их предложение и у меня сложилось прочное впечатление, что они делают всё правильно.

Из каких основных элементов состоит Linux-маршрутизация?

Mancill: Первый и самый важный - это ядро Linux. Без разницы, сконфигурировали ли вы пару статических маршрутов, настроили динамическую маршрутизацию с демоном, запущенным с правами пользователя, или использовали такие возможности ядра, как маршрутизация по правилам - всё равно обработкой пакетов занимается именно ядро. Даже самый простой вариант Linux - например, однодискетный дистрибутив с ядром и несколькими консольными утилитами - может выполнять сложную маршрутизацию, перевод сетевых адресов, и организацию очереди пакетов на основе QoS [Quality of Service].

Какие компоненты присутствуют собственно в ядре?

Mancill: В ядре есть несколько значимых компонентов, или кирпичиков в фундаменте маршрутизации, который являются критическими и, подобно самому ядру, очень надёжными:

- Netfilter (a.k.a. iptables) обеспечивает фильтрацию пакетов, перевод сетевых адресов (NAT), port forwardind, и общие средства управления пакетами, которые могут осуществлять почти любые мыслимые операции с IP-пакетом.

- Iproute2 предоставляет как основную, так и продвинутую конфигурацию сети, включая маршрутизацию по правилам, туннелинг и QoS-классификацию пакетов.

- Чтобы запустить динамический протокол маршрутизации, подобно OSPF или BGP4, вам понадобится только open-source демон под названием Zebra. Эта программа обрабатывает протокол маршрутизации и интерфейс конфигурации, а так же - передаёт изменения маршрутизации по всем правилам ядра Linux. Многие (и я даже скажу, что таких большинство) из тех, кому нужны динамические протоколы маршрутизации на открытой платформе, используют именно Zebra - включая коммерческих поставщиков Linux-решений (таких, как ImageStream).

- С очень правильным и, возможно, даже запаздывающим акцентом на безопасность, установленным в последнее время, я рекомендую FreeS/WAN, открытую реализацию IPsec и сопутствующих ключевых средств управления. Это - основной компонент любых стандартных VPN, которые будут управляться вашим Linux-роутером. (Избегайте проприетарных стандартов везде, где это возможно).

Часть 3: Эксперт описывает оптимальную настройку Linux-маршрутизатора.

Маршрутизация Linux хорошо подходит для организации, если менеджер сети является хорошим специалистом - утверждает Tony Mancill, автор "Linux Routers: A Primer for Network Administrators". В финальной части интервью он описывает наилучшим образом настроенную Linux-сеть. Он также даёт список важных сетевых технологий, которые появятся в будущем.

Могли бы вы описать оптимальную сетевую среду Linux?

Mancill: Ответ, конечно же, зависит от того, что вы пытаетесь сделать. Оптимальная настройка Linux - это то, что нужно для удовлетворения потребностей вашей окружающей среды! Действительно, мне трудно дать ответ на этот вопрос, потому что мне кажется, что почти все сетевые среды, работающие на основе Linux, с которыми я работал, были так или иначе оптимальными.

Оптимальные условия для меня означают, что у вас есть излишние аппаратные средства там, где это нужно - особенно это касается жестких дисков и источников питания. Так же это понятие включает в себя хорошее состояние окружающей среды в серверной комнате, а именно - стабилизация электропитания, кондиционирование воздуха, и хорошо настроенные средства мониторинга и уведомления. Так же у группы IT должны быть адекватные условия и достаточное количество времени.

Оптимальные условия - это так же и команда менеджмента, которая хочет доверять решениям своих служащих, а не красочным обещаниям каких-нибудь ABC Sales.

Вам понадобится всё это, а так же много мигающих лампочек и небольших наклеек с пингвинами, чтобы поместить их на все машины.

Какие новые сетевые технологии можно ожидать в ближайшем будущем? Как они помогут предприятиям?

Mancill: IPv6, хотя этот протокол уже не новый, до сих пор находится на подходе. Он принесёт большую пользу предприятиям, потому что он существенно упрощает потребность в управлении IP-адресами. DHCP и NAT сделали многое для увеличения полезной жизни IPv4, но они также создали и достаточное количество лишней работы администраторам, не говоря о масштабах целой индустрии. Linux, конечно же, одинаково хорошо поддерживает как существующую сетевую адресацию, так и IPv6.

VoIP (Голос по IP) - тоже не новый протокол, но он ещё не испоьзуется широко и нуждается в технологической доработке. Он станет молотом, который сокрушит "Берлинскую Стену", воздвигнутую AT&T и другими проприетарными телефонными компаниями.

Если на вашем столе есть мощный универсальный компьютер, зачем вам ещё и отдельный телефон с голосовой почтой? VoIP чувствителен к задержкам, поэтому для его работы нужны сети, которые могут распределять трафик согласно приоритетам. Такая потребность ускорит развитие сопутствующих технологий - таких, как QoS и АТМ.

Как насчёт Wi-Fi?

Mancill: Wi-Fi и другие беспроводные технологии тоже почти стали реальностью, но я думаю, что потенциал для широкомасштабного развертывания этой технологии ещё даже не начал формироваться. Каждый, кто принимает участие в создании сетей, знает, что проводка - это дорого, а перемещение проводки - в два раза дороже. Способность размещать рабочие станции везде, где доступно электропитание (телефон будет работать через VoIP), позволит предприятиям выживать и быть более гибкими.

Конфигурируем Linux-роутеры

Даже самый опытный сетевой администратор может испытывать затруднения при настройке Linux-маршрутизаторов - утверждает Tony Mancill, автор "Linux Routers: A Primer for Network Administrators". Существуют заметные различия в процессе конфигурации Linux, Windows и Unix, и Mancill описал наиболее важные "да и нет" для настройки Linux-роутеров.

1. Оденьте шляпу Индианы Джонса и начните поиск документации.

Проблема номер 1 в настройке Linux-маршрутизаторов - недостаток качественной документации для новых характеристик и более продвинутой функциональности. Даже когда подробная документация существует, у неё может и не быть главного / канонического варианта.

На многих сайтах члены сообщества Linux и Open-Source предлагают советы по конфигурации маршрутизатора, обзоры продуктов, HOWTOs и поддержку. Да, вы испоьзуете операционную систему, которая поддерживается сообществом, но это означает, что вы можете затратить дополнительное время на то, чтобы разобраться во многочисленных архивах, документов и HOWTO и наконец-то найти то, что вы ищете. В крайних случаях мне приходилось ссылаться собственно на исходный код, чтобы точно определить, какая возможность в данном случае должна быть использована.

2. Не говорите на Windows-языке с Linux-маршрутизатором.

Не существует одного централизованного пути настройки маршрутизаторов на всех платформах. Большинство маршрутизаторов Linux конфигурируются иначе, чем их традиционные аналоги. Кроме этого, средства конфигурации сети и маршрутизации могут различаться даже в двух разных дистрибутивах Linux.

Например, может существовать много механизмов для сохранения конфигурации каждой различной подсистемы, в зависимости от используемых компонентов. Один конфигуратор может управлять WAN-интерфейсами, другой - статической маршрутизацией, а третий - правилами firewall'а.

3. Не пользуйтесь программой настройки, которую написал ваш друг TuxMan.

Используйте стабильные версии ядра и различных инструментальных средств всегда, когда это только возможно. Ими пользуется наибольшее число людей - следовательно, вероятность того, что у вас возникнут ненужные проблемы, является наименьшей.

Конечно же, вы можете пойти своим собственным путём. Но приготовьтесь к тому, что вам придётся играть в Игру Версий. Менеджеры сети, которые играют в Игру Версий, делают своих пользователей и группу поддержки IT нервными и раздражительными. Например, вам может понадобиться драйвер, который поддерживается версией ядра x.y.z, но инструментальные средства, которые вам нужны для Q, функционируют только в x.y.z-2. В этом случае вам придётся долго копаться в исходниках.

4. Всё должно быть просто - иначе вы будете выглядеть глупо.

Не нагружайте ваш Linux-маршрутизатор всякими прибамбасами. Конечно же, можно заставить компьютер c Linux делать всё, что угодно, но всё же пытайтесь контролировать себя. В конце концов, неиспользованные и лишние программы на сервере могут поставить под угрозу безопасность системы.

5. Компилируйте всё сами, если хотите, чтобы всё было сделано правильно.

Соберите собственное ядро из исходников. Ядра из дистрибутивов обычно не ориентированы на использование в качестве маршрутизатора и почти всегда содержат намного больше драйверов, чем нужно. Дополнительные драйверы уменьшают количество памяти, доступной для других компонентов ядра.

6. Не позволяйте Windows-администратору нанести вред вашему роутеру.

Безопасность начинается дома, поэтому - обратите внимание на физическую защиту роутера от окружающей среды. Например, ни о чем не подозревающий админ Win2k может подойти к вашему маршрутизатору и нажать CTRL-ALT-DEL, чтобы попытаться войти в систему. Фактически, если вы должны предоставлять доступ к вашей системной консоли с других машин, просто выключите запись 'ctrlaltdel' в /etc/inittab.

7. Используйте журналируемую файловую систему - такую, как ext3 или reiserfs.

Вы будете благодарны за спасённое время после неожиданной перезагрузки.

8. Не живите одним моментом.

Делайте планы на будущее - с учётом роста, функциональности и изменений. Маршрутизаторы часто находятся в сердце основных операций целого предприятия, поэтому бывает очень трудно выделить время для модернизации и изменений, в течении которого ваш роутер не будет работать. Постройте ваш маршрутизатор с помощью новейших технологий, учитывая совместимость с предстоящими технологиями. Попытайтесь запланировать всё на 7-12 месяцев вперёд.

9. Не верьте в свои способности мгновенного вспоминания.

Составляйте и поддерживайте подробную документацию о вашей базовой конфигурации и любых последующих изменениях конфигурации. Даже если вы - единственный администратор системы, лучше иметь хорошую документацию, чем заново изобретать колесо каждый год.

10. Уважайте законы Мерфи.

Составляйте планы для резервирования. А так же - убедитесь, что у вас в запасе есть дешевые преконфигурированные системы. Маршрутизаторы Linux часто имеют стоимость значительно ниже, чем их традиционные аналоги, поэтому их использование даёт вам преимущества и сохраняет ваш бюджет.

11. Не будьте изоляционистом. Присоединитесь к сообществу маршрутизаторов и маршрутизации.

Подпишитесь на списки рассылки, в которых обсуждаются те типы роутеров и программного обеспечения, которые вы используете. Так же подпишитесь на одну или несколько рассылок по безопасности Linux. Постоянно быть в курсе всех новостей - важно.

Потратьте немного своего времени на написание ответов на вопросы других людей, если сможете. Добрая воля - заразительна.

Ссылки на оригиналы: Часть 1, Часть 2, Часть 3, Советы по конфигурации.

Проголосуйте за понравившуюся вам статью. Та статья, которая наберет больше всего голосов, будет опубликована в выпуске #56. Статья, занявшая второе место, будет размещена в выпуске #57. Там же появится новое голосование, и т.д.

• Настройка сервисов - Продолжение серверной темы: Squid, Samba, Xinetd, Postfix, ftp-сервер, ... (Только не это!)

• Графический интерфейс Linux - Рассказ про X Window System и его настройку. (Только не это!)

• Windows, подвинься! (Green Card для Linux) - Для тех, кто был бы не против установить Linux совместно с Windows, но не знает, как это сделать. (Только не это!)

• Немного о модемах - Хорошо, если всё определилось при установке. А если нет? (Только не это!)

• Впечатления от Red Hat Linux 9 - Настройка и русификация самого распространенного дистрибутива. (Только не это!)

• Не нужно ничего из вышеперечисленного - Тогда я размещу какую-нибудь супер новейшую статью :).

• Ваше предложение - Пишите на xoid26@linux-online.ru, какую информацию хотели бы вы видеть в рассылке, и, может быть, в следующих выпусках вы найдете именно то, что вам нужно!!