Для завершения настройки межсетевого экрана необходимо разрешить перенаправление пакетов. Выполните команду # echo 1 > /proc/sys/net/ipv4/ip_forward 90

Она заставляет ядро пересылать при необходимости пакеты между интерфейсами. Для того чтобы эта операция выполнялась автоматически в ходе загрузки системы, добавьте в /etc/sysctl.conf следующую строку: net.ipv4.ip_forward=l Если ОС не поддерживает /etc/sysctl.conf, то эту команду можно поместить в один из rc-сценариев загрузки (например, в /etc/rc.local). Еще одним полезным параметром ядра является rpfilter, который помогает предотвратить 1Р-спуфинг. Он разрешает верификацию адреса источника путем проверки того, что IP-адрес любого пакета доступен через ожидаемый сетевой интерфейс. Разрешение осуществляется с помощью следующей команды: # echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

Верификация адреса источника

Почти так же, как мы разрешали IP-перенаправление, мы можем разрешить верификацию адреса источника, отредактировав /etc/sysctl.conf в поддерживающей его системе либо внеся изменения в re.local. Для включения rp_filter добавьте в sysctl.conf следующую строку: net.ipv4.conf.all.rp_fi1ter-1 Для сохранения всех правил их необходимо либо записать в сценарий ядра, либо использовать обычный способ распространения Linux. В ОС Red Hat это выполняется командой # /sbin/service iptables save. Это сохранит все текущие активные правила фильтрации в /etc/sysconfig/iptables. Для выполнения этой же операции в Debian отредактируйте /etc/default/iptables и установите set enabl e_i ptabl es_i ni td=true. После этого запустите команду # /etc/init.d/iptables save_active. После перезагрузки машины конфигурация iptables будет автоматически восстановлена.

источник: Локхарт Э. Антихакинг в сети. Трюки.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *