Linux Gazette на русском (comp.soft.linux.gazette) : Рассылка : Subscribe.Ru

Отправляет email-рассылки с помощью сервиса Sendsay

Рассылка закрыта

При закрытии подписчики были переданы в рассылку "LinuxCenter News Channel: новости Linux" на которую и рекомендуем вам подписаться.

Вы можете найти рассылки сходной тематики в Каталоге рассылок.

← Март 2002 →
	1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

Автор

ru_classic

Статистика

10.645 подписчиков
-2 за неделю

← Все выпуски →

Linux Gazette на русском

Служба Рассылок Subscribe.Ru

Здравствуйте!

Во-первых, как всегда, отзывы. Сегодня -- на статью о "числодробилках":

С интересом прочитал этот выпуск рассылки и узнал об еще одной специализированной системе для математиков. Наверное, Вам будет интересно узнать о другой свободно распространяемой и открытой системе компьютерной алгебры, работающей под Linux, Windows и MacOS - системе GAP, название которой расшифровывается как "Группы, алгоритмы и программы", и, может быть, даже опубликовать что-нибудь в Вашей рассылке. Кстати, я также веду рассылку на Subscribe.Ru, она находится по адресу http://subscribe.ru/catalog/science.exact.gap/ Материалы о системе можно посмотреть на сайте Украинской группы пользователей GAP по адресу http://www.zsu.zp.ua/UkrGAP/ и на моей личной странице http://www.zsu.zp.ua/ppages/konoval/konov.htm . Там есть как вводные популярные статьи, так и примеры применения системы. Если будут вопросы - обращайтесь, пожалуйста!

Вот так. Я раньше о такой программе не знал. И, хотя я не математик, но мне интересно. Надеюсь, что эта информация станет приятной неожиданностью еще для кого-нибудь.

Сегодня публикуется статья, посвященная практическому примеру сетевого администрирования.

Сергей Скороходов suralis-s@mtu-net.ru

Реализация bridging firewall

Автор: (C) David Whitmarsh Перевод: (C) А. Куприн

В чём разница между мост-брандмауэром (bridging firewal) и обычным брандмауэром (межсетевой экран, firewall)? Обычный брандмауэр работает, как маршрутизатор: находящуюся за ним систему кофигурируют таким образом, чтобы из неё межсетевой экран был виден как шлюз во внешнюю сеть, а внешние маршрутизаторы конфигурируются так, чтобы видеть его как шлюз в защищенную сеть. Мост (bridge) -- это часть оборудования, соединяющая два (или более) сегмента сети вместе и просто перенаправляет пакеты в обе стороны. Другими словами, маршрутизатор соединяет две сети вместе и выполняет роль транслятора между ними; мост же похож на патч-кабель (patch cable), соединяющий две части одной сети вместе. Мост-брандмауэр действует как мост, но одновременно фильтрует проходящие пакеты, оставаясь невидимым для другой стороны.

Почему у вас может появиться желание использовать мост-брандмауэр? На ум сразу приходят две причины:

Вы можете подключить брандмауэр не изменяя существующую сетевую конфигурацию.

Вы можете защитить ту часть сети, в которой вы не имеете контроля над внешней маршрутизацией (external routing) в вашу сеть.

Моя проблема

У меня в офисе новое "с иголочки" ADSL соединение от Demon Internet (ISP в UK -- United Kingdom или Объединенное Королевство, официальное название Великобритании. Прим. ред.) с подсетью на 16 адресов (базовый, широковещательный, ip-адрес шлюза + 13 ip-адресов). По вине капризов и причуд UK-коммерции и "регулятивного окружения", линия и маршрутизатор были установлены и являются собственностью British Telecom plc., а оборудование для конфигурации маршрутизатора, как встроенного шлюза (internal gateway), отсутствует. Это оставляет мне две возможности:

Соединить каждый хост напрямую с ADSL и настроить iptables отдельно для каждого из них.

Использовать межсетевой экран с ip-маскарадингом для предоставления внешнему миру одного ip-адреса.

Первый вариант неприемлем с точки зрения безопасности. Рост числа iptable-конфигураций увеличивает вероятность ошибки и затраты на администрирование. Второй вариант тоже имеет свои недостатки. В то время, как почти все можно настроить и вполне успешно использовать под ip-маскарадингом, есть и исключения, в том числе некоторые технологии, которые я хотел бы исследовать, например VPN. Мост-брандмауэр может решить эти проблемы. Такой экран может располагаться за ADSL-маршрутизатором, выполнять часть его функций и защищать сеть без перекофигурирования самого маршрутизатора. Последняя оставшаяся проблема -- это то, что реализация межсетевого моста в стандартном ядре Linux не использует iptables, поэтому вы получаете машину, которая выполняет либо функции моста, либо межсетевого экрана, но не может являться и тем и другим одновременно.

Решение

К счастью есть проект, позволяющий машине выполнять функции моста (bridging) в связке с iptables так, что любые проходящие через мост пакеты должны подчиняться правилам iptables. В результате получаем полностью прозрачный для сети межсетевой экран не требующий специальной маршрутизации. В том, что касается Интернета, такой брандмауэр никак себя не проявляет за исключением случая, когда определённые соединения блокируются. Программное обеспечение представляет собой накладываемую на ядро "заплатку" (патч, patch), позволяющую существующему коду сетевого моста работать внутри iptables. Для удобства разработчиками создан rpm-пакет с ядром (для RedHat 7.2) с уже установленной заплаткой. Хуже то, что использование этого патча мало документировано, поэтому я и подумал о том, чтобы восполнить этот пробел (в помощь собравшихся пойти по этому пути).

Функционирование моста (bridging) и маршрутизация -- как это работает

Если кратко, то мост работает связывая два или более сетевых интерфейса. Производя мониторинг активности во всех подключённых сегментах сети, код реализации моста "выучивает" MAC-адреса, до которых можно "достучаться" с каждого интерфейса и использует эту информацию для принятия решения о том, куда отправлять тот или иной пакет. Интерфейсы, подключенные к мосту обычно не имеют ассоциированных с ними ip-адресов , но, в целом, с точки зрения межсетевого экрана, мост представляет собой единый интерфейс.

Рисунок: прохождение пакетов при включенном межсетевом экране.

Топология сети

Мои статические адреса расположены в диапазоне xxx.xxx.xxx.48-63, маска подсети -- 255.255.255.240. Я решил разделить этот диапазон на два сегмента: диапазон xxx.xxx.xxx.48-56 будет использоваться для сети, расположенной перед сетевым экраном и включать в себя ip-адрес ADSL-маршрутизатора (xxx.xxx.xxx.49). Диапазон xxx.xxx.xxx.57-62 предназначен для сети, расположенной за межсетевым экраном. Учтите, что это не настоящие подсети, поскольку они соединены при помощи моста, а не маршрутизатора.

Рисунок: Топология сети

Правила для межсетевого экрана

Пример скрипта с правилами для межсетевого экрана очень похож на скрипт настройки обычного брендмауэра (он списан с Oskar Andreasson's iptables tutorial). Основные правила следующие:

Блокировать пакеты с нежелаемых ip-адресов.

Разрешать любые исходящие соединения из внутренней сети.

Разрешать прохождение пакетов принадлежащих уже установленным соединениям.

Разрешать соединения с указанными портами и хостами, расположенными снаружи.

Объявление переменных

Для понимания и простоты обслуживания, хорошей идеей будет использовать в качестве имён интерфейсов и ip-адресов переменные. Значения, используемые в описываемых примерах следующие:

      IP_TABLES=/sbin/iptables

      BR_IP="xxx.xxx.xxx.57"
      BR_IFACE=br0
      LAN_BCAST_ADDRESS="xxx.xxx.xxx.63"
      INTERNAL_ADDRESS_RANGE="xxx.xxx.xxx.56/29"

      INET_IFACE="eth1"
      LAN_IFACE="eth0"

      LO_IFACE="lo"
      LO_IP="127.0.0.1"

"xxx.xxx.xxx" представляет собой первые три байта ip-адреса. $INTERNAL_ADDRESS_RANGE содержит адрес сегмента сети, расположенного за межсетевым экраном.

Настройка моста

Теперь мы должны произвести несколько обычных настроек. Во-первых, мы отключим наши два интерфейса и удалим их ip-адреса.

      ifdown $INET_IFACE
      ifdown $LAN_IFACE
      ifconfig $INET_IFACE 0.0.0.0
      ifconfig $LAN_IFACE 0.0.0.0

Если вы только что выполнили эти команды по telnet'у или через ssh-соединение, то встаньте и перейдите к консоли вашего брандмауэра:).

Следующей командой мы создаём мост и присоединяем к нему ethernet-интерфейсы.

      brctl addbr $BR_IFACE

      brctl addif $BR_IFACE $INET_IFACE
      brctl addif $BR_IFACE $LAN_IFACE

Теперь, если вы хотите, то можете поднять мост как внутренний интерфейс,

      ifconfig $BR_IFACE $BR_IP

Блокирование спуфинга

Мы можем блокировать пакеты со злонамеренно измененными адресами (spoofed) ещё на уровне цепочки преобразований [mangle] PREROUTING. Здесь мы можем одновременно захватить как входящие (INPUT) так и транзитные (FORWARDED) пакеты. Предпочтительнее использовать mangle PREROUTING, чем nat PREROUTING, потому что при передаче в nat таблице на соответствие ip-адреса и имени хоста проверяется только первый пакет.

Эта строка гарантирует, что только пакеты с правильными внутренними адресами ($INTERNAL_ADDRESS_RANGE) будут приняты внутренним интерфейсом ($LAN_IFACE):


   $IPTABLES -t mangle -A PREROUTING -i $LAN_IFACE -s $INTERNAL_ADDRESS_RANGE -j ACCEPT

А эта цепочка предотвратит принятие пакетов с внутренними адресами ($INTERNAL_ADDRESS_RANGE) внешним интерфейсом ($INET_IFACE):


   $IPTABLES -t mangle -A PREROUTING -i $INET_IFACE ! -s $INTERNAL_ADDRESS_RANGE -j ACCEPT

Доступ к сетевому экрану из внутренней сети

Можно сделать межсетевой экран полностью невидимым в сети или, ради удобства, разрешить соединения из него. Эти команды разрешат все соединения из внутренней сети. В зависимости от степени вашего доверия к пользователям локальной сети, вы можете быть более избирательным.


      $IPTABLES -A INPUT -p ALL -i $BR_IFACE -s $INTERNAL_ADDRESS_RANGE -d $LAN_BCAST_ADDRESS -j ACCEPT
      $IPTABLES -A INPUT -p ALL -i $BR_IFACE -s $INTERNAL_ADDRESS_RANGE -d $BR_IP -j ACCEPT

Помните, что пакеты из диапазона $INTERNAL_ADDRESS_RANGE, которые пришли на неправильный интерфейс, вы уже уничтожили.

Дополнительная информация

Патч на ядро, без которого правила iptables работать не будут.

Рекомендую прочесть iptables tutorial от Oskar Andreasson.

Для лучшего понимания пакетной фильтрации и работы в сети попробуйте также почитать Rusty's Remarkably Unreliable Guides .

Sparkle Home Page (сайт компании автора)

Благодарности

Спасибо Lennert Buytenhek за действительно полезный патч и замечание по этой статье.

David Whitmarsh

David Whitmarsh -- независимый консультант, его компания, Sparkle Computer Co Ltd, обслуживает главным образом финансовые организации в Лондоне. При наличии четырех детей время становится большой ценностью, и единственная для Дейвида возможность поработать с Linux и свободным софтом -- работа на лаптопе во время ежедневных поездок из Sussex'а.

Copyright (C) 2002, David Whitmarsh.
Copying license http://www.linuxgazette.com/copying.html
Published in Issue 76 of Linux Gazette, March 2002

Команда переводчиков:
Владимир Меренков, Александр Михайлов, Иван Песин, Сергей Скороходов, Александр Саввин, Роман Шумихин, Александр Куприн

Со всеми предложениями, идеями и комментариями обращайтесь к Сергею Скороходову (suralis-s@mtu-net.ru)

Сайт рассылки: http://gazette.linux.ru.net
Эту статью можно взять здесь: http://gazette/linux.ru.net/lg76/articles/rus-whitmarsh.html

http://subscribe.ru/
E-mail: ask@subscribe.ru

Отписаться
Убрать рекламу

В избранное

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} {#if $P.login_register_tab == 1} <form class="authentication-form" method="post" action="/MEMBERLOGIN_authen_cred"> <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <h1>Войти на сайт</h1> {* {#include js_tmpl_auth_reg_button} *} {#include js_tmpl_auth_reg_action} <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones"><p>{#include js_tmpl_auth_reg_descr} </p></div> <div class="logreg_advice noPhones"> Если вы еще не с нами, то начните с <a href="#" onclick="rgNav('js_tab_reg');return false;" class="dashed" data-func="registr">регистрации</a> </div> <br><br> <a class="dashed auth-enter" href="/manage/author/"><b>Вход для авторов</b></a> </dt> </dl> </form> {#/if} {#if $P.login_register_tab == 2} <div class="rg_block_options"> <div id="js_tap_panel_auth"> <h1>Регистрация</h1> <div class="social_reg"> {* <div class="rg_description">{#include js_tmpl_soc_auth_reg_descr}</div> *} {#include js_tmpl_auth_reg_soc} <div class="rg_soc_auth_agree">{#include js_tmpl_auth_reg_agree}</div> </div> <div class="subscribe_reg"> {* <div class="rg_description"> #include js_tmpl_auth_reg_descr </div> *} {#include js_tmpl_auth_reg_action} </div> {* {#include js_tmpl_auth_reg_button} *} <div class="clr"> </div> <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones">{#include js_tmpl_auth_reg_descr} {#include js_tmpl_soc_auth_reg_descr} </div> </div> </div> {#/if} </div> {* <div class="gray_bg register_shadow"></div> *} </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_auth" class="{#if $P.login_register_tab == 1} rg_active_nav {#/if} rg_first_nav"><a onclick="rgNav('js_tab_auth');return false;" href="">Вход на сайт</a></li> <li id="js_tab_reg" class="{#if $P.login_register_tab == 2} rg_active_nav {#/if}"><a onclick="rgNav('js_tab_reg');return false;" href="">Регистрация </a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_action} {#if $P.login_register_tab == 1} {#include js_tmpl_auth_reg_soc} {#/if} <div class="rg_forms"> <input type="hidden" id="login_register_destination" value="{$P.login_register_destination}"/> {#if $P.login_register_tab == 1} <div class="rg_for_input"> <span class="rg_text_inner">E-mail или код подписчика</span> <input id="credential_0" class="js_keydown_selector rg_input_text" data-js_submit="no" data-js_next_input_name="credential_1" name="" type="text" /> </div> <div class="rg_for_input"> <span class="rg_text_inner">Пароль</span> <input id="credential_1" class="js_keydown_selector rg_input_text" data-js_submit="yes" data-js_action="js_loginFormBut" name="" type="password" onkeyup="showAttention(this,!!window.event.shiftKey)" /> <span class="pswd_attention" id="attention_pswd"> <span class="icon_attention"></span> <span class="pswd_attention-text" id="attention-text_pswd1">Русская раскладка клавиатуры!</span> <span class="pswd_attention-text" id="attention-text_pswd2">У вас включен Caps Lock!</span> <span class="pswd_attention-text" id="attention-text_pswd3">У вас включен Caps Lock и русская раскладка клавиатуры!</span> </span> </div> <div class="rg_for_input input-alien"> <span class="chk noPhones"><input id="chk_alien" name="" type="checkbox" /></span><label for="chk_alien" class="noPhones"> Чужой компьютер</label> <a class="forgot_pass" href="/member/totalrecall">Забыли пароль?</a> </div> <div class="rg_for_input"> <em id="auth_msg" class="reg_error"></em> <input id="lf_typeauthid" value="email" type="hidden"> <input type="submit" class="button button-red logreg_submit" id="js_loginFormBut" value="Войти">  <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} {#if $P.login_register_tab == 2} <div class="rg_for_input"> <span class="rg_text_inner">E-mail</span> <input id="arfemail" class="js_keydown_selector rg_input_text" name="" type="text" data-js_submit="yes" data-js_action="js_regFormBut"/> </div> <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a> </label> <br /> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_personal' type="checkbox" data-js_submit="yes" /></span> Нажимая на кнопку "Готово!", я даю <a class="link_txd logreg_accLink" href="/faq/persverordnung.html">согласие на обработку персональных данных</a> </label> </div> {* <div style="float: left;position: absolute;left: 11em;"> <img src="http://www.kupivip.ru/images/vip/logo.png?1604" style="width: 86px; vertical-align: middle;display: block;"> </div> <div class="rg_for_input rg_set_lineh"> <label class="js_tap_panel_checkbox"><input name="" id="js_tap_panel_checkbox_kupivip" type="checkbox" data-js_submit="yes"> Я хочу получать новости о скидках на одежду</label> </div> *} <div class="rg_for_input"> <em id="reg_msg" class="reg_error rg_for_input_wide"></em> <em id="reg_msg2" class="reg_error rg_for_input_wide"></em> <input id="rf_typeauthid" value="email" type="hidden"> <a class="button button-red logreg_submit" id="js_regFormBut" href="#">Готово!</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} </div> {#/template js_tmpl_auth_reg_action} {#template js_tmpl_auth_reg_agree} <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms_reg' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a></label> <em id="reg_msg_soc" class="reg_error rg_for_input_wide"></em> </div> {#/template js_tmpl_auth_reg_agree} {#template js_tmpl_auth_reg_button} <div class="rg_butons_socials"> {#if $P.login_register_tab == 1} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} {#if $P.login_register_tab == 2} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} </div> {#/template js_tmpl_auth_reg_button} {#template js_tmpl_auth_reg_descr} {#if $P.login_register_tab == 1} Для оформления подписки на выбранную рассылку, работы с интересующей вас группой или доступа в нужный вам раздел, просим авторизоваться на Subscribe.ru {#/if} {#if $P.login_register_tab == 2} Для регистрации укажите ваш e-mail адрес. Адрес должен быть действующим, на него сразу после регистрации будет отправлено письмо с инструкциями и кодом подтверждения. {#/if} {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_soc_auth_reg_descr} Или зарегистрируйтесь через социальную сеть. {#/template js_tmpl_soc_auth_reg_descr} {#template js_tmpl_auth_reg_soc} <div class="rg_soc"> {#if $P.login_register_tab == 1} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/login/vk/&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} {#if $P.login_register_tab == 2} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/join/vk&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} </div> {#/template js_tmpl_auth_reg_soc}

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <p class="rg_description">{#include js_tmpl_auth_reg_descr}</p> <div class="clr"> </div> {#include js_tmpl_auth_reg_action} <div class="clr"> </div> </dt> </dl> </div>  </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_reg" class="rg_active_nav rg_first_nav"><a href="" onclick="return false;" >Регистрация</a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_descr} <strong>Пожалуйста, подтвердите ваш адрес.</strong><br><br>Вам отправлено письмо для подтверждения вашего адреса {$P.register_confirm_mail}.<br>Для подтверждения адреса перейдите по ссылке из этого письма. {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_auth_reg_action} <div class="rg_forms confirm_code_from_letter"> <div class="rg_for_input"> <span class="rg_inp_descr" style="width:15em;">Или введите код из письма:</span> <input type="text" value="" id="confirm_code" name="" data-js_submit="yes" data-js_action="js_confirmFormBut" class="js_keydown_selector rg_input_text_conf" > </div> <div class="rg_for_input"><label>Не пришло письмо? <b>Пожалуйста, проверьте папку Спам</b><br /> (папку для нежелательной почты).</label><br /> <a href="" onclick="ajax_recall_code();return false" >Вышлите мне письмо еще раз!</a></div> <div class="rg_for_input"> <em class="reg_error" id="confirm_msg"></em> <a href="#" class="button button-red" id="js_confirmFormBut">Готово</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> <br> </div> </div> {#/template js_tmpl_auth_reg_action}

Linux Gazette на русском

Рассылка закрыта

Статистика

Linux Gazette на русском

Моя проблема

Решение

Функционирование моста (bridging) и маршрутизация -- как это работает

Топология сети

Правила для межсетевого экрана

Объявление переменных

Настройка моста

Блокирование спуфинга

Доступ к сетевому экрану из внутренней сети

Дополнительная информация

Благодарности

David Whitmarsh

Copyright (C) 2002, David Whitmarsh. Copying license http://www.linuxgazette.com/copying.html Published in Issue 76 of Linux Gazette, March 2002

Copyright (C) 2002, David Whitmarsh.
Copying license http://www.linuxgazette.com/copying.html
Published in Issue 76 of Linux Gazette, March 2002