Brannmurkonfigurasjon med systemkonfigurert brannmur

Siden 2.4-kjernen har Linux brukt iptables for å konfigurere brannmurregler i kjernen. Det er et antall verktøy som lar en konfigurere brannmuren: iptables på kommandolinjen, Shorewall, og en rekke andre GUI-verktøy. På et Fedora-system kalles standard brannmurkonfigurasjonsverktøy ganske enkelt Brannmurkonfigurasjon, som du finner på kommandolinjen ved å utføre "system-config-brannmur" eller System | Administrasjon | Brannmur i GNOME-menyene.

Denne brukergrensesnittet lar deg angi hvilke tjenester som skal få tilgang til via Internett ved hjelp av et veldig enkelt grensesnitt. Den definerer et antall klarerte tjenester forhåndskonfigurert; For å gi tilgang, trenger du ganske enkelt å merke av i ruten ved siden av oppføringen. Hver oppføring viser tjenestenavnet, porten og protokollen og eventuelle ekstra iptables-moduler (conntrack-hjelpere) den bruker. Så hvis du ville tillate SSH-tilgang til systemet, ville du krysset av for ved siden av SSH-tjenesten som i figur A.

Du kan imidlertid gå utover enkel filtrering på tjenestenivå. Med delen Trusted Interfaces kan du definere, på et system med flere grensesnitt, hvilke grensesnitt som er klarert. Et pålitelig grensesnitt er et som ikke har noen brannmurregler brukt; for eksempel hvis eth0 møtte Internett og eth1 møtte det lokale nettverket, kan du velge at eth1-grensesnittet er klarert. Dette vil tillate alle tilkoblinger som kommer inn på eth1-grensesnittet, mens du bruker brannmurreglene på alle de andre grensesnittene.

I avsnittet Andre porter kan du legge til nye porter til filter som ikke er i listen over pålitelige tjenester. Den trekker opp et rullbart grensesnitt som viser portene og protokollene som definert i / etc / services, slik at alle kjente porter og protokolltyper vil bli listet opp her. Hvis det er en tilpasset tjeneste du ikke vil være oppført, velger du Brukerdefinert og gir porten og protokollen manuelt.

Med Firewall Configuration GUI kan du også definere masquerading, som lar deg bruke systemet som en ruter; noe som betyr at du kan bruke den som en inngangsport for å videresende tilkoblinger fra andre lokale maskiner gjennom den til Internett. Du kan også definere port forwarding; for eksempel vil alle innkommende tilkoblinger på port 22 bli videresendt til en annen definert vert, flott for å gi spesifikk tilgang til systemer bak brannmuren. Du kan definere det innkommende grensesnittet, protokollen og porten du vil videresende på, og deretter hvilken IP-adresse du vil videresende til og en valgfri annen port (dvs. videresende tilkoblinger til port 522 på eth0-grensesnittet til port 22 på 192.168.1.2).

Til slutt kan du også endre hvordan brannmuren skal håndtere ICMP-pakker (Internet Control Message Protocol). Som standard er alle ICMP-typer tillatt, men her kan du bestemme om systemet skal svare på ping og andre ICMP-pakker.

Når du gjør endringer i brannmuren, bruker du Bruk-knappen for å lagre dem og Last inn på nytt-knappen for å oppdatere og aktivere brannmurreglene. Hvis du vil se på de faktiske iptables-kommandoene, lagrer verktøyet dem til / etc / sysconfig / iptables som brukes av iptables-Restore-kommandoen for å laste brannmurreglene. Hvis du er kjent nok med iptables-kommandoer, kan du redigere denne filen direkte i stedet for å bruke GUI.

Bruk "service iptables restart" på kommandolinjen for å laste inn brannmuren på nytt, og "service iptables stop" for å deaktivere brannmuren helt.

Iptables har mange forskjellige kommandoer og kan brukes til å lage noen veldig sofistikerte brannmurregler slik verktøy som Shorewall viser. Shorewall kan imidlertid være komplisert å konfigurere riktig, så selv om det er et godt verktøy, er det egentlig bare nyttig for dedikerte brannmurer eller servere. Firewall Configuration GUI er derimot enkel nok til at hvem som helst kan bruke den til å lage tilpassede brannmurer for ethvert Linux-system, og kraftig nok til at du egentlig ikke trenger noe annet.

Få PDF-versjonen av dette tipset her.

© Copyright 2021 | pepebotifarra.com