Межсетевой экран в Linux Mint

В операционной системе Linux в качестве фильтра пакетов используется Netfilter

(http://www.netfilter.org/), который входит  в состав ядра и разрабатывается группой

Netfilter Core Team. Для управления его настройками  используется  утилита командной строки iptables, разрабатываемая параллельно этим же проектом. Процесс

настройки требует некоторого понимания протоколов, используемых при обмене информации  в  Интернете, и  назвать его простым нельзя. Хотя  тема настройки

netfilter/iptables уже не является новой, в  глобальной сети  можно найти  не один

десяток документов, описывающих как его устройство, так и сами команды. Кроме этого написано несколько хороших графических утилит  (КМуFirewall, Firewall Builder, Firestarter и  др.), помогающих самостоятельно создавать  правила неподготовленному пользователю.

В Ubuntu, начиная с версии 8.04, для управления правилами netfilter используется UFW (Uncomplicated firewall), поэтому процесс настройки здесь выглядит несколько иначе, чем в других  дистрибутивах.   Позже UFW перекочевал в другие  дистрибутивы,  в том числе   и в Linux Mint. Важно понять, что UFW не заменяет iptables, а является лишь удобной высокоуровневой надстройкой над этой утилитой. Процесс создания новых правил  планируется сделать максимально  понятным для обычного пользователя. Кроме этого упрощена интеграция  приложений с межсетевым экраном.  Разработчик может создавать  готовые правила,  которые будут автоматически активироваться при установке сервиса, разрешая нужные сетевые соединения.

Файлы настроек UF W находятся в  каталоге /etc/ufw, синтаксис  команд  внутри несколько проще и понятнее, чем iptables (рис. 6.6).

Рис. 6.6. Правила  UFW

По умолчанию UFW всегда отключен, и  перед запуском демона его  необходимо актировать, заменив в файле /etc/ufw/ufw.conf строку

ENABLED=no

ENABLED=yes

Иначе при попытке его запуска командой

$ sudo /etc/init.d/ufw start

получим  отказ

*   Skippin g  firewall :   uf w    (no t   enabled). .

Кроме непосредственного редактирования конфигурационных  файлов настройки можно производить при помощи консольной утилиты ufw. Например, чтобы активировать uwf и  разрешить ее загрузку, при  старте  системы можно поступить следующим образом:

$   sud o   uf w   enabl e

Firewal l   starte d   an d   enable d   o n   syste m    startu p Отключить также просто:

$   sud o   uf w   disabl e

Firewal l   stoppe d   an d   disable d   o n   syste m   startu p

Существует  две глобальные политики:  все разрешено и все  запрещено.  Первая активируется при помощи команды

$   sud o   uf w   defaul t   allo w

Политика по  умолчанию incomin g  изменен а  на    `allow ´

 (не   забудьт е   соответствующим   образо м   обновит ь   ваши   правила) Чтобы запретить все подключения,  используем

$   sud o   uf w   defaul t   den y

При помощи ufw очень просто разрешить или запретить входящие соединения для сервиса, описанного  в /etc/services, или конкретного порта/протокола.

В общем случае команда выглядит так: uf w   allow|den y    [service ]

Иными  словами, чтобы разрешить подключение к веб-серверу,  работающему на 80-м порту, поступаем следующим образом:

$   sud o   uf w   allo w   80/tc p

Чтобы просмотреть правила iptables без их активации, добавляем в команду параметр -dry-run . Параметр statu s позволит узнать текущие настройки UFW без заглядывания внутрь iptables:

$   sud o   uf w   statu s

Удалить разрешение на подключение к выбранному порту можно так же просто:

$ sudo ufw delete allow 80/tcp

Запрещающее правило создается аналогично разрешающему, только вместо allow

используем deny:

$ sudo ufw deny 53

Теперь мы блокировали доступ к 53-му порту. При этом если ранее было создано, например, разрешающее правило, которое теперь нужно заменить на блокирующее, то это лучше производить  в два этапа. Вначале отключаем первое правило, а затем устанавливаем второе.

Вместо номера порта можно назвать сервис  по имени. Смотрим,  как  называется нужный сервис:

$ cat /etc/services | less

и включаем его в правило:

$ sudo ufw allow ssh

В правилах UF W можно задавать IP-адреса (источника и назначения). Например, чтобы разрешить подключение с внутренней сети  192.168.1.0/24, используем:

$ sudo ufw allow 192.168.1.0/24

или запрещающее правило:

$ sudo ufw deny from 10.20.30.40

Опционально можно указать порт и  протокол. Разрешим подключение  по SSH только с одного IP-адреса:

$ sudo ufw allow from 192.168.0.20 to any port 22

Для включения/отключения регистрации используется команда logging. Включаем:

$ sudo ufw logging on

Файл /etc/ufw/sysctl.conf задает некоторые системные переменные  (аналог общесистемного/etc/sysctl.conf).  Например, чтобы разрешить перенаправление пакетов, снимаем комментарий  со строки

net/ipv4/ip_forward=1

В состав  Linux Mint включен и  графический интерфейс  UFW — GUFW  (http:// gufw.tuxfamily.org/, рис. 6.7).

Рис. 6.7. Программа настройки  UFW — GUFW

Возможностей у него немного, но их  вполне достаточно. С его  помощью можно просмотреть установленные  правила, создать новые,  одним движением  мышки запретить или разрешить  входящий трафик.

Источник: Яремчук С. А.  Linux Mint на 100 %. — СПб.: Питер, 2011. — 240 е.: ил. — (Серия «На 100 %»).

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий