Межсетевой экран IMetfilter ч.1

Защитите вашу сеть с помощью мощных встроенных функций межсетевого экрана ОС Linux. Linux давно уже имеет возможность фильтрации пакетов, и сама эта ОС появилась, как только появились понятия «мощность» и «гибкость». Первое поколение программного кода фильтрации пакетов называлось ipfw (сокращение от IP firewall) и обеспечивало базовые возможности фильтрации. Из-за того что программа ipfw перестала соответствовать все более делающимся конфигурациям, в настоящее время она используется очень редко. Программа второго поколения IP-фильтрации называлась IP chains. Она является значительно усовершенствованной ipfw и по-прежнему находит широкое применение.

Программа новейшего поколения называется Netfilter. Она управляется командой iptables, используется исключительно с 2.4.x и последующими версиями ядра. Хотя Netfilter является компонентом ядра, a iptables — средством настройки пользователя, эти два понятия зачастую используются для обозначения одного и того же процесса. Важной концепцией Netfilter является цепочка, которая состоит из списков правил, применяемых к пакетам, когда они вводятся в систему, проходят по ней или покидают ее. Ядро определяет три цепочки, используемые по умолчанию, но имеется возможность определять новые цепочки правил и связывать их с ранее определенными цепочками. Цепочка INPUT применяется к пакетам, получаемым локальной системой или предназначенным для нее. Цепочка OUTPUT применяется к пакетам, передаваемым локальной системой. И наконец, цепочка FORWARD применяется всякий раз, когда пакет переправляется системой из одного сетевого интерфейса (сетевого адаптера) в другой, когда система выполняет роль маршрутизатора пакетов или шлюза, а также во всех случаях, когда пакеты не исходят из этой системы и не предназначены ей. Команда iptables используется для внесения изменений в цепочки и наборы правил Netfilter.

Можно создать новую цепь, удалить существующую цепь или список правил в цепи, подавить цепь (то есть удалить все правила в цепи), а также установить для цепочки действие по умолчанию. Iptables также позволяет добавлять правила в цепочку, удалять и заменять их. Перед тем как рассматривать примеры правил, необходимо установить для цепочек поведение по умолчанию. Для этого воспользуемся параметром -Р, который определяет «политику»: # iptables -P INPUT DROP # iptables -P FORWARD DROP Это гарантирует, что через межсетевой экран смогут пройти только пакеты, удовлетворяющие указанной последовательности правил. При относительно малом числе служб, предоставляемых сетью, значительно проще явно указать все типы разрешенного трафика, чем указывать весь трафик, который необходимо запретить.

Обратите внимание на то, что для цепочки OUTPUT политика по умолчанию не определена; так сделано для того, чтобы трафик за пределами межсетевого экрана обрабатывался стандартным способом. Согласно политике по умолчанию, установленной для DROP, указывается, что действительно разрешено. Это то место, где необходимо определить, какие службы должны быть доступны для внешнего мира. Что касается прочих примеров, мы разберемся, что ethO является внешним интерфейсом нашего межсетевого экрана, a eth1 — внутренним. В нашей сети имеется web-сервер (192.168.1.20), почтовый сервер (192.168.1.21) и DNS-сервер (192.168.1.18) — минимальный набор для нормальной работы сервера в Сети.

источник: Локхарт Э. Антихакинг в сети. Трюки.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *