Firewall под Юниксами - настройка и использование

Спецвыпуск Хакера, номер #005, стр. 005-088-2

Иногда, когда в твоем файле правил содержится большое количество условий, то будет возникать задержка при проходе пакетов из-за того, что IPFilter будет просматривать все строчки до конца. Чтобы этого избежать, можно использовать ключевое слово 'quick':

block in quick all

pass in all

Если пакет удовлетворяет правилу и в правиле присутствует ключевое слово 'quick', то IPFilter не будет продолжать дальнейшее чтение, а сразу применит к пакету заданное правило.

Фильтровка по IP-адресам

Для фильтровки по заданным адресам существуют ключевые слова 'from' и 'to'. Слово 'any' подразумевает любой возможный IP-адрес. Пример правила:

block in quick all from 192.168.0.0/16 to any

Фильтровка по протоколам

Для фильтровки пакетов по протоколам используется ключевое слово 'proto'. Эта фича очень полезна для предотвращения некоторых типов атак. Вот пример блокировки ICMP пакетов:

block in quick proto icmp any to any

Такое правило будет блокировать ВСЕ ICMP пакеты, что не очень правильно, так как ICMP выполняет много важных задач в работе сети. Нам требуется запретить только ICMP пакеты типа Echo Request (8), которые чаще всего используются для флуд-атак. Для решения этой задачи существует ключевое слово 'icmp-type':

block in quick proto icmp from any to any icmp-type 8

Теперь пинга от нас никто не дождется ;). Далее следует неполный список основных типов и кодов ICMP пакетов, а также их описание.

0 - echo reply (ответ на ping)

3 - цель не доступна

3 (код 0) - сеть не доступна

3 (код 1) - узел не доступен

3 (код 2) - протокол не доступен

3 (код 3) - порт не доступен

4 (код 4) - временная приостановка передачи

5 - перенаправление

5 (код 0) - перенаправление для сети

5 (код 1) - перенаправление для узла

8 - echo request (запрос на ping)

Код для типа ICMP-пакета задается ключевым словом 'code'. В качестве примера запретим пакеты 5-го типа с кодом 1. Дело в том, что в атаке Winfreez используется флуд ICMP пакетами именно этого типа и кода с адреса маршрутизатора. При этом у атакуемого хоста быстро изменяется таблица маршрутизации, результатом чего является подвисание машины. Итак, наше запрещающее правило будет выглядеть следующим образом:

block in quick proto icmp from any to any icmp-type 5 code 1

Фильтровка по интерфейсам

Данная возможность позволяет фильтровать пакеты, идущие с разных сетевых интерфейсов. Для этого существует ключевое слово 'on':

block in quick on ppp0 proto igmp from any to any

Данное правило запретит все IGMP пакеты, идущие с сетевого интерфейса ppp0.

Если ты не знаешь имена своих сетевых интерфейсов, воспользуйся командой ifconfig:

[zlob]: ifconfig -a

lo0: flags=8009<UP,LOOPBACK,MULTICAST> mtu 32972

inet 127.0.0.1 netmask 0xff000000

de0: flags=8863<UP,BROADCAST,NOTRAILERS,RUNNING,SIMPLEX,MULTICAST> mtu 1500

media: Ethernet 10baseT

status: active

inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255

ne0: flags=8863<UP,BROADCAST,NOTRAILERS,RUNNING,SIMPLEX,MULTICAST> mtu 1500

Назад на стр. 005-088-1  Содержание  Вперед на стр. 005-088-3

загрузка...
Cпец Хакер #075Cпец Хакер #074Cпец Хакер #073Cпец Хакер #072Cпец Хакер #071Cпец Хакер #070Cпец Хакер #069Cпец Хакер #068Cпец Хакер #067Cпец Хакер #066Cпец Хакер #065Cпец Хакер #064Cпец Хакер #063Cпец Хакер #062Cпец Хакер #061Cпец Хакер #060Cпец Хакер #059Cпец Хакер #058Cпец Хакер #057Cпец Хакер #056Cпец Хакер #055Cпец Хакер #054Cпец Хакер #053Cпец Хакер #052Cпец Хакер #051Cпец Хакер #050Cпец Хакер #049Cпец Хакер #048Cпец Хакер #047Cпец Хакер #046Cпец Хакер #045Cпец Хакер #044Cпец Хакер #043Cпец Хакер #042Cпец Хакер #041Cпец Хакер #040Cпец Хакер #039Cпец Хакер #038Cпец Хакер #037Cпец Хакер #036Cпец Хакер #035Cпец Хакер #034Cпец Хакер #033Cпец Хакер #032Cпец Хакер #031Cпец Хакер #030Cпец Хакер #029Cпец Хакер #028Cпец Хакер #027Cпец Хакер #026Cпец Хакер #025Cпец Хакер #024Cпец Хакер #023Cпец Хакер #022Cпец Хакер #021Cпец Хакер #020Cпец Хакер #019Cпец Хакер #018Cпец Хакер #017Cпец Хакер #016Cпец Хакер #015Cпец Хакер #014Cпец Хакер #013Cпец Хакер #012Cпец Хакер #011Cпец Хакер #010Cпец Хакер #009Cпец Хакер #008Cпец Хакер #007Cпец Хакер #006Cпец Хакер #005Cпец Хакер #004Cпец Хакер #003Cпец Хакер #002Cпец Хакер #001