[ Pobierz całość w formacie PDF ]
.Następnie przepisuje także odpowiedzi tak, aby wyglądały że są wysyłane do oryginalnego adresata.Maskarada ma specjalne moduły, które służą do obsługi różnych protokołów, jak FTP, RealAudio, itp.Dla trudnych do obsłużenia protokołów możliwe jest włączenie "auto-forwarding", który może obsłużyć część z nich przez automatyczne ustawienie przekierowania dla określonych zestawów portów.Każda usługa, która ma być udostępniona przez Internet, musi być uruchomiona na firewallu.Aby udostępnić np.dostęp do stron WWW z sieci prywatnej, firewall musi mieć skonfigurowaną maskaradę dla dowolnych pakietów , które wychodzą z sieci prywatnej i są kierowane na porty 80 serwerów internetowych.Przeglądarka nie musi być w żaden specjalny sposób skonfigurowana.Serwer DNS musi być skonfigurowany w sieci prywatnej.Domyślną bramą dla sieci prywatnej powinien być firewall.Jeżeli użytkownik będzie chciał pobrać stronę z jakiegoś adresu, przeglądarka otworzy połączenie z tym serwerem.W momencie, gdy pakiety z komputera użytkownika przechodzą przez firewall, są przepisywane tak jakby nadchodziły z interfejsu PPP firewalla z określonego portu.Gdy serwer WWW przesyła do firewalla dane na wcześniej określony port, dane te są przepisywane i wysyłane do połączenia z przeglądarką użytkownika.Z punktu widzenia serwera WWW łączył się z nim firewall.Z punktu widzenia użytkownika, jego komputer połączył się z serwerem WWW (chociaż w rzeczywistości połączenia dokonał firewall).llSieć publiczna - tutaj sieć lokalna jest częścią Internetu i pakiety przepływają bez zmian między sieciami.Pula adresów IP sieci prywatnej musi być przydzielona przez złożenie podania o blok adresów IP.W tym przypadku filtr pakietów jest używany do ograniczenia przekazywania pakietów między siecią a resztą Internetu, np.przez ograniczenie, że ze strony Internetu można połączyć sie tylko na serwery WWW w sieci lokalnej.Aby udostępnić np.dostęp do stron WWW z sieci lokalnej, firewall musi być skonfigurowany do akceptacji całego ruchu.Przeglądarki internetowe nie wymagają specjalnych konfiguracji.Serwer DNS musi być skonfigurowany w sieci lokalnej.Domyślną bramą sieci lokalnej powinien być firewall.Jeżeli użytkownik będzie chciał pobrać stronę z jakiegoś adresu, jego przeglądarka połączy się z serwerem WWW.Pakiety przechodzą przez firewall, tak jak przez inne routery.Połączenie jest tylko jedno - z komputera użytkownika do serwera WWW.llPrzekierowywanie portów - jest to sposób aby udostępnić Internetowi usługi bez uruchamiania ich na firewallu.Będą one pracowały podobnie jak proxy lub maskarada dla połączeń zewnętrznych.Sposobem na to jest przekierowywanie (redirecting) portów.Firewall czeka na połączenie na danym porcie i jeżeli takie przyjdzie, otwiera połączenie do zdefiniowanego serwera w sieci lokalnej, który udostępnia daną usługę.Firewall kopiuje dane między tymi połączeniami.Z punktu widzenia Internetu połączenie odbywa się z firewallem, a serwer w sieci lokalnej widzi to jako połączenie z firewallem.Przekierowywanie portów może być może wykonywać specjalny program (np.redir) lub przez ustawienie forwardingu w jądrze systemu.lPrzykłady reguł dla IPChainsAby blokować pakiety z określonym adresem IP należy wpisac:# ipchains -A kierunek -j DENY -p all -l -s x.x.x.x/x -d 0.0/0gdzie kierunek to: input, output lub forward.Input oznacza pakiety, które przychodzą do systemu.Output to pakiety wychodzące do sieci.Forward oznacza pakiety, które docierają do systemu, ale nie są kierowane do tej maszyny - pakiety te są rutowane przez Linuxa.Input i output dotyczny także pakietów typu forward.Do specyfikacji adresu IP źródła pakietu służy opcja -s, po której podajemy adres IP.Można także podać grupę adresów przez podanie po znaku slash maski podsieci, lub liczby bitów maski.Adres 0.0/0 (lub 0/0) oznacza dowolny adres IP.Podobnie opcja -d oznacza docelowy adres IP pakietu.Można także podać protokół, który chce się filtrować.Słyży do tego opcja -p.W przykładzie powyżej blokujemy wszystkie protokoły.Poprawnymi wartościami są tcp, udp, icmp lub all.Można także użyć protokołów z pliku /etc/protocols.Powinno używać się opcji -l, aby umożliwić logowanie pakietów, które spełniają podane zasady.Każdy taki pakiet będzie wpisany do logu jądra systemu.Aby włączyć filtrowanie określonego portu należy wpisać:# ipchains -A input -j DENY -p tcp -l -s 0.0/0 -d y.y.y.y/32 port # ipchains -A input -j ACCEPT -p tcp -s x.x.x.x/24 -d y.y.y.y/32 portgdzie y.y.y.y jest adresem IP maszyny, którą chcemy chronić, a x.x.x.x jest maską podsieci, z której istnieje możliwość połącznia się na dany port
[ Pobierz całość w formacie PDF ]