Firewall
 

Firewall
« написано: 25.04.2006 :: 00:06:52 »
Процитировано сообщение: Vulzscht от 04.04.2006 :: 16:48:10:
6) немного бы узнать о IPtables и работе с ним.
Вероятно, все уже так или иначе имели дело с файерволом -- не буду особо заострять внимание на некоторых моментах...
Однако кое-что из азов уточнить хотелось бы, а именно то, как ведёт себя пакетный фильтр в ОС Linux (ipchains, iptables) и *BSD (ipfw) и в чём состоит главное отличие в его поведении от *BSD (IPFilter, pf).
В Linux, все входящие пакеты попадают в цепочку INPUT, а исходящие -- в OUTPUT (это утверждение справедливо только для нетранзитных пакетов, то есть предназначенной данной машине).
В *BSD системах -- это in и out.

Отличие в следующем: в Linux (ipchains и iptables) и *BSD (ipfw) прграмма фильтрации вызывается по одному разу для каждого правила фильтрации. Этот единственный раз соответствует первому подходящему для пакета правилу.
То есть если мы укажем несколько правил
то третье по счёту правило _никогда_ не будет выполняться!!!
Это обусловлено тем, что для всех пакетов, соответсвующих требованиям:
- исходящий адрес из диапазона 10.0.0.0/17
- адрес назначения 10.0.75.5
- TCP протокол
- порт назначения 21
уже обработаны -- к ним применено ПЕРВОЕ правило, которому они соответствовали. а именно -- ACCEPT!
То есть для Linux (ipchains, iptables) следует правила составлять в порядке от менее значимого к более значимому.
Вследствие обработки лишь первых правил, соответсвующих пакету, повышается производительность файерволов iptables и ipchains в сравнении с IPFilter и pf.

В *BSD системах (FreeBSD с IPFilter и OpenBSD с pf) -- всё с точностью до наоборот!!!
То есть файервол там работает по принципу "консервативного" файервола -- к пакету будет применено ПОСЛЕДНЕЕ правило, которому он будет соответствовать!
То есть, если мы напишем в /etc/pf.conf для OpenBSD

Всё будет работать правильно (а ведь первым правилом является 'block in' -- блокировать все входящие пакеты) -- доступ на FTP сервер разрешён (и никуда более!). А всё потому, что применяется последнее значимое правило.

Для более детального ознакомления с опциями программы iptables, рекоммендую обратиться к прочтению следующего документа: ftp://10.0.75.5/exch/linux-info/iptables-textbook.tgz

Цитата:
FirewallBuilder - это просто графический интерфейс для iptables или я неправ?
Да.

почитал документ, пасибо
возник вопрос - в консоли я запускаю iptables командой
а вот с добавлением правил не очень понял...
просто если использовать просто iptables или путь указанный выше и уже настройки какие-либо, выдается что команда не найдена
и еще вопрос - может, хотя не дошел еще по мануалу, - при загрузке iptables автоматом грузится последний файл настроек?
и как создать свой файл и добавить iptables в автозагрузку по умолчанию
понимаю, что вопросы детские, но... увы... "я не волшебник, я только учусь"

Правила можно добавлять прямо в процессе: то есть пишешь в коммандной строке Далее для сохранения правил в файл конфига пользуешься утилитой iptables-save, а для их восстановления -- iptables-restore. Вообще говоря, скрипт /etc/init.d/iptables должен уметь делать и то и другое.

Просмотреть текущий набор правил можно при помощи комманды и различных дополнительных опций. И ещё: в разных дистрибутивах Linux на безопасность смотрят по-своему, и как следствие, в переменной окружения $PATH не всегда присутствуют все директории с системными утилитами/программами.
Иногда это может поставить в тупик: как так (iptables у меня точно стОит, а система мне говорит: "command not found")?
Для поиска можно воспользоваться утилитой locate: (В этом случае в системе необходимо наличие slocate. Если база данных slocate не не обновлялась -- выполни updatedb).
Иногда просто нужно узнать расположение системной утилитки (только в том случае, если путь к ней присутствует в переменной окружения $PATH) -- в этом случае поможет which:

немножко подумал...
впринципе получилось так восстановить правила... правда выдалось сообщение об ошибке, но при просмотре цепочек все оказалось на месте...

а вообще все-таки как восстановить нормально правила? в мануале по восстановлению упоминается только параметры -с (восстановить все как я понял) и -n (не очищать все вроде как), просто еще интересно где точно лежил этот файл настроек
вобщем вот как все происходит:
после последнего действия не наблюдается абсолютно никакой активности или попыток восстановить правила, в чем может быть ошибка? с моей точки зрения юзверя вроде как все правильно, если не указана таблица, то используется таблица по умолчанию...

а еще покопался в fwbuilder - есть там темка интересная... создается просто *.fw скрипт, при запуске которого все правила автоматом добавляются в iptables... единственное что пока не очень понятно, как в самом fwbuilder правила добавлять... уж больно хитро там как-то...

Скрипт /etc/init.d/iptables уже умеет и сохранять и восстанавливать правила.
Притом делает он это в момент старта и останова автоматически.

Есть такая возможность -- перенаправление ввода/вывода называется...
При вводе вышеуказанной комманды, iptables просто выплюнул тебе всё на стандартный вывод (дисплей). Для сохранения всего этого хозяйства в файл, необходимо перенаправить вывод в файл, например А для восстановления, соответственно Опция -n в iptables-restore используется для _не_очистки_ предыдущего набора правил. То есть, если ты выполнил то ты получишь предыдущий набор правил плюс новый_набор_правил, а не только новый_набор_правил. Без этой опции при выполнении iptables-restore предыдущий набор правил _очищается_.

Необходимой таблицей является таблица flter.
Таблицы же mangle и nat тебе не нужны.
Без опции -t имя_таблицы iptables должен сохранять/восстанваливать весь набор правил.

Не приходилось им пользоваться...
Разбирайся!