Firewall под Юниксами - настройка и использование

Спецвыпуск Хакера, номер #005, стр. 005-088-1

MegaBoklan <mb@policeoffice.com>

В этой статье мы поговорим о двух Firewall'aх, которые присутствуют в большинстве современных некоммерческих ЮНИКС-систем. А именно: о прогах IPFilter и IPChains. Вот расшифровка некоторых терминов, которые мы будем юзать в этой статье или которые просто тебе понадобятся, если ты хочешь работать с firewall'ами.

Firewall - программа, выполняющая фильтрацию сетевого трафика по заданным правилам.

IP - Internet Protocol.

ICMP - Internet Control Message Protocol.

UDP - User Datagram Protocol.

TCP - Transmission Control Protocol.

IGMP - Internet Group Management Protocol.

broadcast - адреса для широковещательных запросов x.x.x.0 и x.x.x.255

Сетевой интерфейс - физическое устройство (сетевая карта) или псевдоустройства, PPP интерфейс.

IPFilter

Данный Firewall по умолчанию присутствует в системах OpenBSD, FreeBSD и NetBSD, он также доступен для систем Linux, Solaris и IRIX. Он представляет собой фильтр пакетов семейства TCP/IP. IPFilter может быть установлен как в виде отдельного модуля ядра, загружаемого при необходимости, так и в виде компонента, встроенного в само ядро. В пакет IPFilter входят следующие программы:

ipf- выполняет чтение правил из файла или из командной строки и добавляет их в ядро.

ipfstat - выполняет вывод детальной статистики фильтра пакетов.

ipftest - читает правила из файла и затем для каждого создает примерный пакет для тестирования.

ipmon - выполняет чтение логов ipf.

ipsend - создает пакеты с заданными параметрами и выполняет их отсылку.

ipresend - выполняет чтение сохраненных пакетов из файла (snoop, tcpdump, etherfind) и посылает их снова.

iptest - программа для тестирования надежности TCP/IP стека.

Домашняя страница IPFilter находится по адресу: http://coombs.anu.edu.au/~avalon/.

Если ты работаешь на OpenBSD, FreeBSD или NetBSD, то для того чтобы включить IPFilter, тебе потребуется внести изменения в файл конфигурации /etc/rc.conf. Открой его твоим любимым текстовым редактором и найди следующую строчку:

ipfilter=NO

и вместо NO напиши YES :). Для того чтобы активировать ipf без перезагрузки, набери:

# ipf -Fa -f /etc/ipf.rules -E

По умолчанию файл, содержащий список правил для IPFilter'a, находится по адресу /etc/ipf.rules. По желанию это можно изменить путем модифицирования файла /etc/rc.conf. Просто пропиши новый адрес в этой строке:

ipfilter_rules=/etc/ipf.rules # Rules for IP packet filtering

Впервые открыв файл с правилами, ты найдешь в нем нечто подобное:

pass in from any to any

pass out from any to any

Эти две строчки разрешают все входящие и все исходящие соединения. Каждое правило должно начинаться с ключевого слова 'pass' - пропустить, или 'block' - блокировать. Ключевое слово 'in' означает входящие пакеты, а 'out', соответственно, исходящие. Далее следуют условия для этого правила. Во время работы IPFilter начинает чтение правил для поступившего пакета сверху вниз. Например:

block in all

pass in all

Первое правило говорит, что следует блокировать все пакеты, однако IPFilter продолжает чтение правил дальше и в данном случае пропустит пакет, потому что последнее правило это позволяет.

Содержание  Вперед на стр. 005-088-2

загрузка...
Cпец Хакер #075Cпец Хакер #074Cпец Хакер #073Cпец Хакер #072Cпец Хакер #071Cпец Хакер #070Cпец Хакер #069Cпец Хакер #068Cпец Хакер #067Cпец Хакер #066Cпец Хакер #065Cпец Хакер #064Cпец Хакер #063Cпец Хакер #062Cпец Хакер #061Cпец Хакер #060Cпец Хакер #059Cпец Хакер #058Cпец Хакер #057Cпец Хакер #056Cпец Хакер #055Cпец Хакер #054Cпец Хакер #053Cпец Хакер #052Cпец Хакер #051Cпец Хакер #050Cпец Хакер #049Cпец Хакер #048Cпец Хакер #047Cпец Хакер #046Cпец Хакер #045Cпец Хакер #044Cпец Хакер #043Cпец Хакер #042Cпец Хакер #041Cпец Хакер #040Cпец Хакер #039Cпец Хакер #038Cпец Хакер #037Cпец Хакер #036Cпец Хакер #035Cпец Хакер #034Cпец Хакер #033Cпец Хакер #032Cпец Хакер #031Cпец Хакер #030Cпец Хакер #029Cпец Хакер #028Cпец Хакер #027Cпец Хакер #026Cпец Хакер #025Cпец Хакер #024Cпец Хакер #023Cпец Хакер #022Cпец Хакер #021Cпец Хакер #020Cпец Хакер #019Cпец Хакер #018Cпец Хакер #017Cпец Хакер #016Cпец Хакер #015Cпец Хакер #014Cпец Хакер #013Cпец Хакер #012Cпец Хакер #011Cпец Хакер #010Cпец Хакер #009Cпец Хакер #008Cпец Хакер #007Cпец Хакер #006Cпец Хакер #005Cпец Хакер #004Cпец Хакер #003Cпец Хакер #002Cпец Хакер #001