Материал из Linux.by Wiki Pages.
Перейти к: навигация, поиск
Жалпы, желі бойынша сіздің FAQ жалғасында firewall құру және Debian-ның мысалына негізделген linux маршутизаторы туралы жазылған. linux маршрутизацияны бұрмалауды жүргізуге мүмкіндік береді. Егер бір жерде «мүмкін емес» деген жазу болса, оның бар екені факт емес. Оны «қабылдамау; ұсынылмайды; қосымша айқынсыз күйге келтірулермен байланысты; жұмыс қабілеттілігіне кепілдік берілмейді» деп қарастырған жөн.
Маршрутизаторды баптау әдісі - бастапқы скрипт
Қазіргі дитрибутивтарда firewall баптауын сақтау бірыңғай тәсіл,еш дистрибутивтерде маршрутизация баптауы default gateway (шлюз по умолчанию) и static routes (статические маршруты) түрлерінде сақталмайды. Сондықтан сізге баптау кезінде самописный скрипт қолдануға және оны автозагрузкаға қосуды ұсынамыз. Сіз /etc/init.d/networing и скрипты if-up/if-down скрипт мүмкіндіктерін қолданбаңыз, Debian жүйесінде FAQ берілгендерді мол жасауға ұмтыламыз.
firewall/routing баптаудағы скрипті құру
1. Файлды құрыңыз – мысалы аты netfilterболсын;
2. Скрипті /etc/init.d/орнатамыз;
3. Атқарушы файл жасаймыз: chmod +x /etc/init.d/netfilter
4. shell-скриптіне арналған стандартты тақырыпты файлға тіркейміз: #!/bin/bash
5. Скрипті автозагрузкаға қосамыз: update-rc.d netfilter defaults
6. TODO: басқа дистрибуттивтерге процесті сипаттау,әсіресе SYSV Init пайдаланбайтындарға
Енді сізде жүйені перезагрузка кезінде әрқашан орындалатын скрипт бар. firewall-ды баптау кезінде "доброго админа" ережесін қолдану, яғни барлығына тыйым салу және қажет кезінде ғана доступқа рұқсат беру.
Ex.1
1. #!/bin/bash
2. iptables -F INPUT
3. iptables -F OUTPUT
4. iptables -F FORWARD
5. #iptables -A INPUT -p tcp --dport 22 -j ACCEPT
6. #iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
7. iptables -P INPUT DROP
8. iptables -P OUTPUT DROP
9. iptables -P FORWARD DROP
Бұл оңай firewall. Егер сіз ssh бойынша өшірілген машинада жұмыс істесеңіз, доступты жоғалпау үшін 5 және 6 жолды раскомментируйте. 2-3 жол – бұл iptables ережесінің тізбегін өшіру. 7-9 жол - DROP үндеумен (по умолчанию) барлық тізбекке арналған орнатулар (яғни жіберуші хабарламасыз пакеттер өту тыйымы). iptables ережесе мен құрылғысы туралы оқуға болады: http://gazette.lrn.ru/rus/articles/iptables-tutorial.html
Ядромен өңделетін барлық пакеттер бірнеше кесте мен тізбектен өтеді. Белгілі операциялар белгілі кестелер мен тізбекпен орындалады. Пакеттердің өту тізімі туралы ақпаратты қарастыруға болады: http://gazette.lrn.ru/rus/articles/iptables-tutorial.html#TRAVERSINGOFTABLES Бізді тек бір кесте қызықтырады,ол – filter. Бұл – үнделген (по умолчанию) кесте , сондықтан кестеге бекітілмеген ережелер filter кестесінде қолданады. Бұл кестеде трафикті фильтрациялау жұргізіледі.Тізбекті белгілеу:
INPUT– желіден келген пакеттер және берілген хостта белгіленген.
OUTPUT – берілген хостта құрылған пакеттер және желіге тапсырылған басқа хосттар.
FORWARD - желіден келген пакеттер және желіге басқа хосттарды тасымалдауға арналған.
Ex.2
1. #!/bin/bash