Firewall

Przyjęte założenia: wewnątrz sieci pozwalamy na wszystko, z zewnątrz tylko ping (z ograniczeniem ilości w jednostce czasu) i usługi na które pozwolimy. Domyślnie włączony jest dostęp z zewnątrz przez SSH, pozwalający na zdalną administrację serwerem oraz dostęp do serwera WWW (pod warunkiem, że uruchomimy odpowiedniego daemona).

Dostępne opcje konfiguracyjne pozwalają na włączenie dostępu do działających na naszym komputerze serwerów (wszystkie serwery MUSZĄ działać na standardowych portach):
SSH
HTTP (zmienna WWW)
FTP
HTTPS
POP + SMTP (zmienna MAIL)
IMAP
IMAPS

Włączaniedanej usługi polega na ustawieniu w pliku /etc/rc.conf odpowiedniej zmiennej na „1”. Ustawienie jednej z tych zmiennych na „0” powoduje zablokowanie dostępu z internetu do serwera danej usługi.
Dostęp do serwerów SMTP i POP3 jest włączany za pomocą zmiennej MAIL.
Oczywiście należy dany serwer skonfigurować i uruchomić. Aby serwer startował wraz z systemem należy dodać jego nazwę do zmiennej DAEMONS w pliku /etc/rc.conf.

Zmienna NETWORK odpowiada za włączenie maskarady. Ustawienie jej na „0” i restart scriptu /etc/rc.d/iptables wyłączy maskaradę. Domyślna wartość tej zmiennej to „1”.

UWAGA! Żadna ze zmiennych (NETWORK, SSH, WWW, FTP, MAIL, HTTPS, IMAP, IMAPS) nie może być pusta – zawsze należy przypisać im jedną z wartości „0” lub „1”.

Wbudowany firewall nie ma zbyt wielu mozliwości. Jego celem jest zapewnienie pewnego minimum bezpieczeństaw do czasu skonfigurowania pełnego, dostosowanego do potrzeb zestawu reguł filtrujących. W chwili obecnej trwają prace nad dwoma systemami konfiguracji firewalla. Jeden oparty o, znany z poprzedniej wersji NND, firewall Zciecha i drugi o rozbudowany firewall Cinasa.
Oczywiście istnieje możliwość przygotowania własnego zestawu reguł. W tym celu należy wprowadzić do systemu potrzebne reguły filtrujące a następnie wydać polecenie

/etc/rc.d/iptables save

Wygenerowany zestaw reguł zostanie zapisany w pliku /etc/iptables/iptables.rules i będzie automatycznie ładowany po restarcie (komputera lub scriptu /etc/rc.d/iptables) zamiast domyślnego, wbudowanego firewalla.

Michał Lechański (Mis’)


Dodaj komentarz