Linux HOWTO


IP файрволл (для версий ядра 2.0). - часть 2


# Сбросить таблицу фильтров передачи # Установить правило по умолчанию в 'разрешить' # /sbin/ipfwadm -F -f /sbin/ipfwadm -F -p accept # # То же самое для входных фильтров # /sbin/ipfwadm -I -f /sbin/ipfwadm -I -p accept

# Настроить интерфейс PPP # Можно было бы использовать опцию '-a deny' вместо '-a reject -y' # но тогда будет невозможно открывать исходящие соединения на этом # интерфейсе. Опция '-o' указывает, что отвергнутые пакеты следует # протоколировать. Тратя место на диске, вы получаете возможность # обнаруживать атаки и ошибки в конфигурации. # /sbin/ipfwadm -I -a reject -y -o -P tcp -S 0/0 -D 172.16.174.30

# Отбрасывать очевидно неверные пакеты: # Информация не должна приходит с любых типов широковещательных адресов # /sbin/ipfwadm -F -a deny -o -S 224.0/3 -D 172.16.37.0/24 # # Пакеты с кольцевого интерфейса не должны попадать на реальный # /sbin/ipfwadm -F -a deny -o -S 127.0/8 -D 172.16.37.0/24

# разрешить входящие SMTP и DNS запросы, но только к выделенному для # этого серверу # /sbin/ipfwadm -F -a accept -P tcp -S 0/0 -D 172.16.37.19 25 53 # # DNS использует протокол UDP наряду с TCP, его тоже следует разрешить # /sbin/ipfwadm -F -a accept -P udp -S 0/0 -D 172.16.37.19 53 # # запретить "ответы" на опасные порты, такие как NFS или его расширений # (Larry McVoy's NFS extension). Если у Вас работает squid, добавьте и # его порты # /sbin/ipfwadm -F -a deny -o -P udp -S 0/0 53 \ -D 172.16.37.0/24 2049 2050

# ответы на другие порты разрешены # /sbin/ipfwadm -F -a accept -P udp -S 0/0 53 \ -D 172.16.37.0/24 53 1024:65535

# Запретить входящие соединения с демоном identd # Используйте параметр 'reject' чтобы машина, пытающаяся установить # соединение получала отказ немедленно # /sbin/ipfwadm -F -a reject -o -P tcp -S 0/0 -D 172.16.37.0/24 113

# Разрешить соединения определенных типов из "дружественных" сетей # 192.168.64 и 192.168.65. # /sbin/ipfwadm -F -a accept -P tcp -S 192.168.64.0/23 \ -D 172.16.37.0/24 20:23

# Разрешить прохождение любых пакетов из локальной сети. # /sbin/ipfwadm -F -a accept -P tcp -S 172.16.37.0/24 -D 0/0

# запретить остальные tcp-соединения и протоколировать их # (добавьте 1:1023 если у Вас перестанет работать ftp) # /sbin/ipfwadm -F -a deny -o -y -P tcp -S 0/0 -D 172.16.37.0/24

# то же самое для udp-соединений # /sbin/ipfwadm -F -a deny -o -P udp -S 0/0 -D 172.16.37.0/24

Правильная настройка файрволла -- нелегкая задача. Приведенный пример может послужить хорошей отправной точкой. Некоторую информацию Вы можете получить, воспользовавшись man-страницей программы ipfwadm. Обязательно получите информацию из всех возможных надежных источников и попросите кого-либо протестировать ваши настройки "снаружи".




Начало  Назад  Вперед



Книжный магазин