Bezpiecze±stwo system≤w Linux'owych

Linux Security - Firewall
Strona g│≤wna

Filtrowanie pakiet≤w
Firewall to program zabezpieczaj▒cy przed niepowo│anym wej╢ciem z internetu do systemu. Do zbudowania zapory ogniowej pos│u┐ymy siΩ programem ipchains s│u┐▒cego do filtrowania pakiet≤w IP.

Ka┐dy pakiet zawiera nag│owek i tre╢µ. Filtracja pakiet≤w polega na przenalizowaniu nag│owka a nastΩpnie podjΩcia decyzji czy dany pakiet przepu╢ciµ czy odrzuciµ - wed│ug regu│ zwanych │a±cuchami (chains).
S▒ trzy rodzaje │a±cuch≤w:
  • input
  • output
  • forward
Gdy pakiet whodzi poprzez okre╢lony interfejs wtedy j▒dro u┐ywa │a±cucha input w celu podjΩcia decyzji co z nim dalej zrobiµ.
Je╢li dany pakiet nie zostanie odrzucony wtedy j▒dro przysy│a go dalej - u┐ywany jest wtedy │a±cuch forward.
Podczas przesy│ania pakietu na zewn▒trz j▒dro korzysta z │a±cucha output.

1.Przyk│adowe regu│y filtrowania pakiet≤w:
    ipchains-restore - przywr≤cenie konfiguracji firewalla
    ipchains-save - zapamiΩtuje aktualne ustawienia firewalla
    ipchains -ML - pokazuje regu│y zwi▒zane z maskowaniem adres≤w

2.Wyja╢nienie parametr≤w ipchains:
    -L - wypisuje regu│y dla podanego │a±cucha
    -A - dodaje regu│y
    -D - usuwa regu│y
    -I - wstawia regu│e w okreslonej pozycji w │a±cuchu
    -R - wymienia okreslon▒ regu│e w │a±cuch
    -F - kasowanie regu│ z │a±cucha
    -X - kasowanie pustego │a±cucha
    -N - tworzenie nowego │a±ucha
    -Z - zerowanie licznik≤w bajt≤w w regu│ach │ancucha
    -M - lista aktualnie maskowanych polacze±
    -c - sprawdzanie okreslonego pakietu na dzialanie │ancucha
    -P - ustawianie domy╢lnego zabezpieczenia dla wbudowanych │a±cuch≤w

    -s adres [port] - okre╢la ╝r≤d│o pakietu
    -p nazwa_protoko│u - okre╢la protok≤│ (tcp, icmp, udp, all)
    -d adres [port] - okre╢la docelowy adres pakietu
    -i nazwa - okre╢la nazwe interfejsu do/lub z kt≤rego pakiet bedzie otrzymywany/wysy│any

    -j cel - okre╢la typ reakcji na odebrany pakiet:

      ACCEPT - przepuszcza pakiet
      REJECT - odrzuca pakiet
      - informuje nadawce o jego odrzuceniu
      DENY - odrzuca pakiet
      - nie informuje nadawcy o jego odrzuceniu
      REDIR - przekierowanie pakietu
      MASQ - maskowanie adres≤w IP
3.Przyk│adowy skrypt blokuj▒cy dostΩp do systemu z zewn▒trz:
#!/bin/bash
echo ##ZAPORA OGNIOWA##

#kasowanie regu│
ipchains -X
ipchains -F

#zerwanie wszystkich po│▒cze±
ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY

#usuniΩcie zakazu na loopback
ipchains -A input -s 127.0.0.1 -j ACCEPT
ipchains -A output -s 127.0.0.1 -j ACCEPT

#w ten spos≤b mo┐na w│▒czyµ lokalnie us│uge telnet
ipchains -A input -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 23 -j ACCEPT 
ipchains -A output -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 23 -j ACCEPT