Firewall под Юниксами - настройка и использование

Спецвыпуск Хакера, номер #005, стр. 005-088-4

block in log quick on ppp0 from any to 195.34.1.0/32

block in log quick on ppp0 from any to 195.34.1.255/32

Если после внесения изменений в файл правил IPFilter'a потребуется активировать новые правила, юзай следующую команду: ipf -Fa -f /etc/ipf.rules.

Для полного описания использования и возможностей IPFilter рекомендую тебе прочитать IPF-HowTo на http://www.obfuscation.org/ipf/

IPChains

Chain по-английски значит "цепочка". Этот firewall по умолчанию присутствует в Linux-системах с ядром 2.1.102+ и 2.2.*. Он пришел на смену ipfwadm, который сидит в Линуксах с ядрами серии 2.0.*. В свою очередь, ipfwadm являлся переписанной версией ipfw с FreeBSD.

Для работы IPChains в конфигурации ядра должны быть обязательно отмечены следующие опции:

Networking Options:

-Packet Socket

-Network firewalls

-IP: firewalling

Новые правила в ipchains добавляются из командной строки, но существует возможность сохранения внесенных правил в файл и затем их загрузки при необходимости. Это делается следующим образом:

# ipchains-save > /etc/ipchains.rules

Правила сохранены в файле etc/ipchains.rules. Для того чтобы загрузить их снова - например, после перезагрузки, набери:

# ipchains-restore < /etc/ipchains.rules

В IPChains есть три встроенные цепочки: input (входящие пакеты), ouput (исходящие пакеты) и forward. Я опишу основные опции, используемые для конфигурации ipchains:

-N создание новой цепочки

-X удаление пользовательской цепочки

-P изменение параметров встроенной цепочки

-L вывод списка всех используемых цепочек и правил

-F удаление правил из всех цепочек

-A добавление правила к цепочке

-D удаление заданного правила из цепочки или заданного номера правила

-R замена заданного номера правила в цепочке

-I вставить новое правило в определенную позицию цепочки

-p протокол может быть задан как словом, так и по номеру

-s исходящие адрес пакета и порт

-d адресат пакета и порт

-icmp-type типа ICMP пакета может быть задан как словом, так и номером

-i сетевой интерфейс

-j действие фильтра (ACCEPT, DENY, REDIRECT (порт), MASQ)

-l запись пакета в лог

-y TCP пакеты с флагом SYN

-v вывод детальной информации

Фильтровка по IP-адресам, портам и протоколам

Для фильтровки по адресам используются флаги: -s (исходящие адрес/порты) и -d (адресованные адрес/порты). Чтобы задать любой возможный IP-адрес, используется маска 0/0. Например, запретим все подключения на порт 514 (syslog) по протоколу udp (для задания любого протокола используется слово all):

# ipchains -A input -j DENY -p udp -s 0/0 -d 0/0 514

Или, например, разрешим использование только WWW сервиса из нашей локальной сети:

# ipchains -A output -j DENY -p tcp -s 192.168.0.0/24 -d 0/0 ! www

Фильтровка по интерфейсам

Предположим, что наша машина имеет два сетевых интерфейса: eth0 и eth1. Один смотрит в сторону локальной сети, а другой - в сторону Интернета. Нам требуется запретить ICMP пакеты типа 8, идущие с интерфейса eth1:

Назад на стр. 005-088-3  Содержание  Вперед на стр. 005-088-5

загрузка...
Cпец Хакер #075Cпец Хакер #074Cпец Хакер #073Cпец Хакер #072Cпец Хакер #071Cпец Хакер #070Cпец Хакер #069Cпец Хакер #068Cпец Хакер #067Cпец Хакер #066Cпец Хакер #065Cпец Хакер #064Cпец Хакер #063Cпец Хакер #062Cпец Хакер #061Cпец Хакер #060Cпец Хакер #059Cпец Хакер #058Cпец Хакер #057Cпец Хакер #056Cпец Хакер #055Cпец Хакер #054Cпец Хакер #053Cпец Хакер #052Cпец Хакер #051Cпец Хакер #050Cпец Хакер #049Cпец Хакер #048Cпец Хакер #047Cпец Хакер #046Cпец Хакер #045Cпец Хакер #044Cпец Хакер #043Cпец Хакер #042Cпец Хакер #041Cпец Хакер #040Cпец Хакер #039Cпец Хакер #038Cпец Хакер #037Cпец Хакер #036Cпец Хакер #035Cпец Хакер #034Cпец Хакер #033Cпец Хакер #032Cпец Хакер #031Cпец Хакер #030Cпец Хакер #029Cпец Хакер #028Cпец Хакер #027Cпец Хакер #026Cпец Хакер #025Cпец Хакер #024Cпец Хакер #023Cпец Хакер #022Cпец Хакер #021Cпец Хакер #020Cпец Хакер #019Cпец Хакер #018Cпец Хакер #017Cпец Хакер #016Cпец Хакер #015Cпец Хакер #014Cпец Хакер #013Cпец Хакер #012Cпец Хакер #011Cпец Хакер #010Cпец Хакер #009Cпец Хакер #008Cпец Хакер #007Cпец Хакер #006Cпец Хакер #005Cпец Хакер #004Cпец Хакер #003Cпец Хакер #002Cпец Хакер #001