Безопасность сетей

Основы работы брандмауэров

Сенченко Т.В. (aka Boffin)

[email protected]

icq: 865491

(предыдущая страница ...)

Какие основные правила фильтрации необходимо задавать для экранирования пакетов на базе ядра?

*источник: «Брандмауэры в Internet» (Matt Curtin & Marcus J. Ranum)

Мы рассмотрим пример для пакета ipfwadm на Linux, но принципы (и даже большая часть командных строк) подойдут и для других интерфейсов экранирования пакетов на уровне ядра на системах Unix с "открытым кодом".

Правила пакета ipfwadm делятся на четыре основных категории:

-A

Учет пакетов

-I

Входной брандмауэр

-O

Выходной брандмауэр

-F

Брандмауэр для пересылки

Пакет ipfwadm поддерживает также возможности маскирования (-M). Подробнее о ключах и опциях пакета ipfwadm см. на соответствующей странице справочного руководства.

Реализация

Пусть в организации используется приватная сеть класса C (см. RFC 1918) с адресом 192.168.1.0. Поставщик услуг Internet выделил адрес 201.123.102.32 для внешнего интерфейса шлюза и адрес 201.123.102.33 для внешнего почтового сервера. В организации приняты следующие правила:

Разрешаются все исходящие подключения по TCP
Разрешаются обращения извне по протоколам SMTP и DNS к внешнему почтовому серверу
Передача любой другой информации блокируется

Следующий блок команд можно поместить в файл загрузки системы (например, rc.local во многих Unix-системах).

ipfwadm -F -f

ipfwadm -F -p deny

ipfwadm -F -i m -b -P tcp -S 0.0.0.0/0 1024:65535 -D 201.123.102.33 25

ipfwadm -F -i m -b -P tcp -S 0.0.0.0/0 1024:65535 -D 201.123.102.33 53

ipfwadm -F -i m -b -P udp -S 0.0.0.0/0 1024:65535 -D 201.123.102.33 53

ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0 -W eth0

/sbin/route add -host 201.123.102.33 gw 192.168.1.2

Объяснение

Первая строка сбрасывает (-f) все правила пересылки (-F).
Вторая строка устанавливает отказ от передачи в качестве стандартного правила (-p).
Строки с третьей по пятую задают правила для входящей информации (-i) в следующем формате:

ipfwadm -F (forward - пересылка) -i (входящая) m (маскирование) -b (двунаправленное) -P (протокол)[протокол] -S (источник)[подсеть/маска] [исходные порты] -D (цель) [подсеть/маска][порт]

Шестая строка добавляет (-a) правило, разрешающее обращаться с внутренних IP-адресов к любым портам по любым внешним адресам.
Восьмая строка добавляет маршрут, так что информация, посылаемая по адресу 201.123.102.33 будет передаваться на внутренний адрес 192.168.1.2.

(... продолжение)

Обсудить статью на форуме

Дата обновления 10.01.2005