Материал из Linux.by Wiki Pages.

Перейти к: навигация, поиск

Жалпы, желі бойынша сіздің FAQ жалғасында firewall құру және Debian-ның мысалына негізделген linux маршутизаторы туралы жазылған. linux маршрутизацияны бұрмалауды жүргізуге мүмкіндік береді. Егер бір жерде «мүмкін емес» деген жазу болса, оның бар екені факт емес. Оны «қабылдамау; ұсынылмайды; қосымша айқынсыз күйге келтірулермен байланысты; жұмыс қабілеттілігіне кепілдік берілмейді» деп қарастырған жөн.

Маршрутизаторды баптау әдісі - бастапқы скрипт

Қазіргі дитрибутивтарда firewall баптауын сақтау бірыңғай тәсіл,еш дистрибутивтерде маршрутизация баптауы default gateway (шлюз по умолчанию) и static routes (статические маршруты) түрлерінде сақталмайды. Сондықтан сізге баптау кезінде самописный скрипт қолдануға және оны автозагрузкаға қосуды ұсынамыз. Сіз /etc/init.d/networing и скрипты if-up/if-down скрипт мүмкіндіктерін қолданбаңыз, Debian жүйесінде FAQ берілгендерді мол жасауға ұмтыламыз.

 

firewall/routing баптаудағы скрипті құру

1. Файлды құрыңыз – мысалы аты netfilterболсын;

2. Скрипті /etc/init.d/орнатамыз;

3. Атқарушы файл жасаймыз: chmod +x /etc/init.d/netfilter

4. shell-скриптіне арналған стандартты тақырыпты файлға тіркейміз: #!/bin/bash

5. Скрипті автозагрузкаға қосамыз: update-rc.d netfilter defaults

6. TODO: басқа дистрибуттивтерге процесті сипаттау,әсіресе SYSV Init пайдаланбайтындарға

Енді сізде жүйені перезагрузка кезінде әрқашан орындалатын скрипт бар. firewall-ды баптау кезінде "доброго админа" ережесін қолдану, яғни барлығына тыйым салу және қажет кезінде ғана доступқа рұқсат беру.

Ex.1

1. #!/bin/bash

2. iptables -F INPUT

3. iptables -F OUTPUT

4. iptables -F FORWARD

5. #iptables -A INPUT -p tcp --dport 22 -j ACCEPT

6. #iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

7. iptables -P INPUT DROP

8. iptables -P OUTPUT DROP

9. iptables -P FORWARD DROP

 

Бұл оңай firewall. Егер сіз ssh бойынша өшірілген машинада жұмыс істесеңіз, доступты жоғалпау үшін 5 және 6 жолды раскомментируйте. 2-3 жол – бұл iptables ережесінің тізбегін өшіру. 7-9 жол - DROP үндеумен (по умолчанию) барлық тізбекке арналған орнатулар (яғни жіберуші хабарламасыз пакеттер өту тыйымы). iptables ережесе мен құрылғысы туралы оқуға болады: http://gazette.lrn.ru/rus/articles/iptables-tutorial.html
Ядромен өңделетін барлық пакеттер бірнеше кесте мен тізбектен өтеді. Белгілі операциялар белгілі кестелер мен тізбекпен орындалады. Пакеттердің өту тізімі туралы ақпаратты қарастыруға болады: http://gazette.lrn.ru/rus/articles/iptables-tutorial.html#TRAVERSINGOFTABLES Бізді тек бір кесте қызықтырады,ол – filter. Бұл – үнделген (по умолчанию) кесте , сондықтан кестеге бекітілмеген ережелер filter кестесінде қолданады. Бұл кестеде трафикті фильтрациялау жұргізіледі.Тізбекті белгілеу:

 INPUT– желіден келген пакеттер және берілген хостта белгіленген.

 OUTPUT – берілген хостта құрылған пакеттер және желіге тапсырылған басқа хосттар.

 FORWARD - желіден келген пакеттер және желіге басқа хосттарды тасымалдауға арналған.

Ex.2

1. #!/bin/bash