Операционные системы - статьи


Как его настроить


Ядро

Первым делом надо настроить ядро. Проверьте, есть ли у вас файл /proc/net/ip_fwchains. Если да, то ядро уже готово к работе с ipchains.

Если нет, то установите опции ядра CONFIG_FIREWALL=y CONFIG_IP_FIREWALL=y

Возможно, вам понадобятся и другие опции: CONFIG_IP_FIREWALL_NETLINK=y

- позволяет направлять копии пакетов программам мониторинга для протоколирования, извещения администратора о попытках атак и т.п. CONFIG_IP_ALWAYS_DEFRAG=y

- всегда дефрагментировать транзитные пакеты. Эта опция требуется для маскарадинга. CONFIG_IP_TRANSPARENT_PROXY=y

- позволяет включить прозрачное проксирование CONFIG_IP_MASQUERADE=y

- позволяет включить маскарадинг CONFIG_IP_MASQUERADE_ICMP=y

- позволяет маскарадить ICMP-пакеты (т.е. у вас будут работать, например, ping и traceroute с машин с fake-адресами).

Затем перекомпилируйте ядро и запустите его. Если вы не знаете, как это делать, почитайте Kernel-HOWTO.

Если вы поменяли ядро с 2.0.x на 2.1.x или более новое и не хотите изучать ipchains, существует скрипт ipfwadm-wrapper, который позволяет использовать с ipchains параметры от ipfwadm. Он входит в набор ipchains-scripts: ftp://ftp.rustcorp.com/ipchains/ipchains-scripts-1.1.2.tar.gz или более свежий. Кроме того, в этот набор входят скрипты, позволяющие записать текущие настройки фильтра пакетов в файл, и наоборот, загрузить их из файла (ipchains-save и ipchains-restore).

Включение фильтрации пакетов

Чтобы фильтр пакетов начал работать, надо записать '1' в файл /proc/sys/net/ipv4/ip_forward: echo 1 > /proc/sys/net/ipv4/ip_forward

Соответственно, если туда записать 0, то он работать перестанет. Эту строку рекомендуется вписать в какой-нибудь скрипт, автоматически запускаемый при загрузке системы.

Как работает фильтрация пакетов

Ядро запускается с тремя встроенными (built-in) цепочками (chains) правил (rules) фильтрации, которые называются входная (input), выходная (output) и пересылочная (forward). В дополнение к встроенным можно создавать новые цепочки правил.




Начало  Назад  Вперед



Книжный магазин