Главная » 2014 » Март » 23 » Межсетевой экран IMetfilter. Концепция Netfilter (продолжение)

15:50
Межсетевой экран IMetfilter. Концепция Netfilter (продолжение)

Первое правило разрешает передавать в нашей сети трафик, предназначенный для DNS-сервера, а второе разрешает передачу ответов от DNS-сервера за пределы сети. Для чего нужны аргументы -m state и --state? Эти два параметра позволяют вос- пользоваться процессором инспекции пакетоц с проверкой состояния (stateful packet-inspection engine) программы Netfilter.

Использование этих параметров сообщает Netfilter, что мы хотим разрешить новое соединение для IP-назначения и указанной пары портов. При действии этих правил принимается запускающий пакет (triggering packet), и информация из него вводится в таблицу состояния. Теперь необходимо указать, что мы хотим разрешить любой исходящий трафик, связанный с этими соединениями, добавив следующее правило: # iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT Единственное, что еще нужно сделать, — разделить трафик от машин за предела- ми межсетевого экрана, который позволит общаться с внешним миром. Для этого необходимо определить следующее правило: # iptables -A FORWARD -m state --state NEW -i ethl -j ACCEPT Это правило вводит любое исходящее соединение из внутренней сети в таблицу состояния. Оно работает за счет поиска соответствий пакетов, поступающих на внутренний интерфейс межсетевого экрана и создающих новые соединения.

Если в межсетевом экране включить несколько интерфейсов, то для внутреннего интерфейса придется использовать логический оператор NOT (то есть -i ! ethO). Теперь любой трафик, поступающий на межсетевой экран через внутренний интерфейс, соответствующий исходящему соединению, благодаря предыдущему правилу будет приниматься, поскольку это правило поместит это соединение в таблицу состояния. В этих примерах порядок ввода правил не важен.

NAT-серверПоскольку мы оперируем с политикой отказа по умолчанию (DENY), то все наши прави- ла имеют указатель ACCEPT. Однако если в качестве аргумента параметра -j использовать указатель DROP или REJECT, то придется быть более вниматель- ным, чтобы гарантировать, что порядок ввода правил приведет к желаемому результату. Не забывайте, что при прохождении цепочки правил всегда запу- скается первое правило, которому соответствует пакет, поэтому порядок правил иногда может быть критически важным. Необходимо отметить также, что порядок правил при некоторых условиях может повлиять на производительность. Например, представленное ранее правило, совпадающее с состояниями ESTABLISHED и RELATED, должно указываться перед любыми другими правилами, поскольку оно будет совпадать значительно чаще, чем любое из правил, которое соответствует только новым соединениям. Помещение правила вперед предотвращает дальнейшее прохождение пакетов, уже связан- ных с соединением, по остальной части цепочки правил в поисках соответствия. Для завершения настройки межсетевого экрана необходимо разрешить перена- правление пакетов. Выполните команду # echo 1 > /proc/sys/net/ipv4/ip_forward.

На заметку: Если Вы ищите стеклянные столы, тогда рекомендуем обратить внимание на интернет-сайт http://www.elburg-mebel.ru/.

Она заставляет ядро пересылать при необходимости пакеты между интерфейса- ми. Для того чтобы эта операция выполнялась автоматически в ходе загрузки системы, добавьте в /etc/sysctl.conf следующую строку: net.ipv4.ip_forward=l Если ОС не поддерживает /etc/sysctl.conf, то эту команду можно поместить в один из rc-сценариев загрузки (например, в /etc/rc.local). Еще одним полезным параметром ядра является rpfilter, который помогает предотвратить 1Р-спуфинг. Он разрешает верификацию адреса источника путем проверки того, что IP-адрес любого пакета доступен через ожидаемый сетевой интерфейс. Разрешение осуществляется с помощью следующей команды: # echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

Почти так же, как мы разрешали IP-перенаправление, мы можем разрешить верификацию адреса источника, отредактировав /etc/sysctl.conf в поддерживаю- щей его системе либо внеся изменения в re.local. Для включения rp_filter добавьте в sysctl.conf следующую строку: net.ipv4.conf.all.rp_fi1ter-1 Для сохранения всех правил их необходимо либо записать в сценарий ядра, либо использовать обычный способ распространения Linux. В ОС Red Hat это выпол- няется командой # /sbin/service iptables save Это сохранит все текущие активные правила фильтрации в /etc/sysconfig/iptables. Для выполнения этой же операции в Debian отредактируйте /etc/default/iptables и установите set enabl e_i ptabl es_i ni td=true. После этого запустите команду # /etc/init.d/iptables save_active После перезагрузки машины конфигурация iptables будет автоматически восстановлена.

источник: Локхарт Э. Антихакинг в сети. Трюки.

Категория: Безопасность | Просмотров: 1012 | Добавил: george27 | Рейтинг: 5.0/1

Похожие темы:

Последнее в Блоге

Как выбрать ноутбук? На что обратить внимание при выборе ноутбука?Как выбрать ноутбук? На что обратить внимание при выборе ноутбука?
Компактный ноутбук от Lenovo бюджетной серии IdeaPad 100-14Компактный ноутбук от Lenovo бюджетной серии IdeaPad 100-14
Обзор игрового ноутбука Acer Predator 17XОбзор игрового ноутбука Acer Predator 17X
Аркадный симулятор Smashy Road: теперь и Windows может похвастаться игрой WantedАркадный симулятор Smashy Road: теперь и Windows может похвастаться игрой Wanted