Организация безопасности сети предприятия с использованием операционной системы Linux

     <M> ipfwadm (2.0-style) support 

     Утилита ipfwadm (IP Firewall Administration) нужна для управления правилами в ядрах к версии 2.2.0. Ее синтаксис очень сложен, но я приведу немного наиболее простых  примеров.

     Утилита ipfwadm есть во всех современных дистрибутивах Linux, алі, возможно, не относиться за умалчиванием. Может быть специальный сетевой пакет, которому нужно поставить отдельно. Найти исходный код можно на ftp.xos.nl в каталоге /pub/linux/ipfwadm.

     Утилита ipchains

     Аналогично ipfwadm, утилита ipchains может немного  озадачивать, пока к ней не привыкнешь. Она обеспечивает всю гибкость ipfwadm с упрощенным синтаксисом и дополнительно обеспечивает механизм наборов или цепочек (“chaining”), что позволяет Вам управлять многими правилами и связывать их друг с другом. Формирование цепочки правил в отдельном разделе немного позже.

     Команда ipchains появилась в дистрибутивах Linux на ядрах серии 2.2. Исходники можно  взять на http://www.rustcorp.com/linux/ipchains. В  этот пакет исходников входить скрипт ipfwadm-wrapper, что имитирует роботу ipfwadm, используя возможности ipchains. Это существенно упрощает к новой версии firewall.

     Утилита iptables

     Синтаксис iptables очень похож на синтаксис ipchains. Разница в поддержке модулей  расширения и ряду нововведений в  фильтрации пакетов. Понятно, я приведу  пример и для iptables, так что Вы сможете уравнять эти две утилиты.

     Утилита iptables входить в пакет netfilter, исходники  которого можно скатить из http://www.samba.org/netfilter. Она также входить в дистрибутивы Linux на ядре 2.4. Правда, поскольку это  ядро еще находится в стадии тестирования, я пока не встречал дистрибутивов на нем.

     Способы фильтрации

     Рассмотрим, как обрабатываются пакеты IP любой  машиной, которая может заниматься их маршрутизацией:

     (1) IP-пакет откуда-то пришел.

     Входной пакет будет исследован, чтобы определить ли назначен он для процесса на этой машине.

     (2) Если он для этой машины, то  обработанный в местном масштабе.

     (3) Если пакет не предназначен  для этой машины, будет выполнен  поиск по таблицы маршрутизации  для соответствующего маршрута, и пакет будет посланий к соответствующему интерфейсу или пропущенный, если маршрут не может быть найден.

     (4) Пакеты из локальных процессов  будут посланы программному обеспечению  маршрутизации для пересылки  к соответствующему интерфейсу.

     Исходный IP-пакет будет исследован, чтобы определить, есть или имеет силу маршрут для него, если нет, он будет пропущен.

     (5) IP-пакет куда-то отправится.

     В этой схеме потек 1-3-5 представляет нашу машину, направляющую данные между  компьютером в нашей сети Ethernet на другой доступный компьютер через какую-то связь. Потоки 1-2 и 4-5 представляют введение данных и исходные потоки сетевой программы, которая работает на нашем локальном компьютере. Потек 4-3-2 представляет передачу данных по кольцевом внутреннем интерфейсе (loopback connection).

     IP firewall ядра Linux способен к применению  фильтрации на разных стадиях  в этом процессе. То есть, Вы  можете фильтровать IP-пакеты, которые  приходят Вашей машине, те, которые  ходят внутри ее и те, которые  предназначены для отправления  во внешний мир.

     В ipfwadm и ipchains правило Input применяется  к потоку 1, правило Forwarding к потоку 3 и правило Output к потоку 5. В netfilter, точки перехвата изменились так, чтобы правило Input применилось в  потоке 2 и правило Output в потоке 4. Это имеет важное значение для того, как Вы структурируете свой набор правил.

     Использование ipfwadm

     Команда ipfwadm являет собой инструмент конфигурации для другого поколения Linux IP firewall. Возможно, самый простой способ описывать  использование команды ipfwadm, это примеры.

     Допустимо, что у нас есть сеть небольшой  организации, которая использует Linux-машину из firewall для связи из Internet. Мы позволяем  пользователям этой сети обращаться к web-серверам в Internet, но не позволяем  какой-либо другой трафик.

     Мы должны определить правила пересылка наружу пакетов с исходным адресом в нашей сети и портом назначения 80, а также пакетов с ответами.

     Допустимо, что наша сеть имеет 24-бітну сетевую  маску (класс C) и ее сетевая адреса 172.16.1.0. Правила будут такими:  

     # ipfwadm -F -f

     # ipfwadm -F -p deny

     # ipfwadm -F -я accept -P tcp -S 172.16.1.0/24 -D 0/0 80

     # ipfwadm -F -я accept -P tcp -S 0/0 80 -D 172.16.1.0/24 

     Параметр -F инструктирует ipfwadm, что мы определяем правило пересылки пакетов (forwarding). Первая команда предлагает ipfwadm очистить все правила. Гарантируют, что мы работаем с известным состоянием, и после добавления правил не окажется, что остались еще какие-то неизвестны нам правила.

     Второе  правило устанавливает нашу заданную за умалчиванием стратегию пересылки. Мы сообщаем, что ядро должно отбрасывать пересылку всех IP-пакетов, кроме тихнув, какие мы позже развязный. Это очень важен момент, потому что здесь определяется частица всех пакетов, которые не подходят какому-либо правилу.

     Третья  команда позволяет нашим пакетам выходить из системы, а четвертое правило позволяет приходить ответам.

     Параметры:

     -F - определяет правило пересылки (Forwarding).

     -а  accept - добавляет правило со стратегией "accept", что позволяет принимать все пакеты, которые отвечают этому правилу.

     -P tcp - правило применимое к TCP-пакетам  (не трогает пакеты UDP или ICMP).

     -S 172.16.1.0/24 - исходный адрес должен  иметь маску подсети в 24 битая  и адрес сети 172.16.1.0.

     -D 0/0 80 - адрес назначения должен иметь нулевые биты (0.0.0.0). Это отвечает любому адресу. Число 80 определяет порт назначения, в этом случае WWW. Вы можете также использовать любую запись из файла /etc/services для определения порта н апример, -D 0/0 www. 

 

      Таблица 5.1

 

     Обзор параметров ipfwadm

     Команда ipfwadm имеет много параметров. В общем виде синтаксис таков:

     ipfwadm category command parameters [options]

     Категории (Categories)

     Категории задают тип правил, которые настраивают, потому категория в команде допустима  только одна:

     -I - Правило введение (Input)

     -O - Правило выводу (Output)

     -F - Правила пересылка (Forwarding)

     Команды

     Применяются только к правилам в заданной категории. Команда сообщает Firewall, какое действие стоит выполнить.

     -а  [policy]

     Прибавить правило

     Вставить  правило

     -d [policy]

     Удалить правило

     -p policy

     Установить заданную за умалчиванием стратегию

     -l Показать все существующие правила

     -f Стереть все существующие правила

     Стратегии являют собой следующее:

     accept

     Пропускать  все пакеты для приема, передачи или транзитные (forward)

     deny

     Блокировать все пакеты для приема, передачи или транзитные (forward)

     reject

     Блокировать все пакеты для приема, передачи или транзитные (forward) и послать  компьютеру, что послав пакет ICMP-сообщения  об ошибке

     Использование ipchains

     Есть  два способа использования ipchains

     использовать скрипт ipfwadm-wrapper, что является заменой ipfwadm. Имеет такой же синтаксис, как и ipfwadm.

     использовать ipchains и использовать новый синтаксис.

     Синтаксис команды ipchains

     Синтаксис команды ipchains простой. В общем виде он выглядит так:

     ipchains command rule-specification options

     Команды

     С помощью команд можно управлять  правилами и наборами правил для ipchains. Рассмотрим их обстоятельно:

     -A chain

     Добавляет одно или большее количество правил до конца назначенной цепочки. Если имя машины задано для источника или адресата, и оно отвечает нескольким IP-адресам, правило будет прибавлено для каждого адреса.

     -I chain rulenum

     Добавляет одно или большее количество правил в кочан назначенной цепочки. Если имя машины задано для источника  или адресата, и оно отвечает нескольким IP-адресам, правило будет прибавлено для каждого адреса.

     -D chain

     Удаляет одно или несколько правил из определенной цепочки, которая отвечает заданной спецификации правил.

     -D chain rulenum

     Удаляет правило, которое находится в  позиции rulenum определенной цепочки. Первое правило в цепочке занимает первую позицию (не нулевую!).

     -R chain rulenum

     Замещает  правило, которое находится в  позиции rulenum определенной цепочки.

     -C chain

     Проверяет пакет спецификацией правила  по заданной цепочке. Эта команда повернет сообщение, которое описывает, как пакет обработан цепочкой. Это очень удобно для тестирования Вашей конфигурации firewall, и ми рассмотрим это обстоятельно немного позже.

     -L [chain]

     Перечисляет правила определенной цепочки или  всех цепочек, если никакая конкретная цепочка не заданий.

     -F [chain]

     Удаляет правила определенной цепочки или  всех цепочек, если никакая конкретная цепочка не заданий.

     -Z [chain]

     Обнуляет  пакеты и счетчики для определенной цепочки или всех цепочек, если никакая  конкретная цепочка не заданий.

     -N chain

     Создает новую цепочку с заданным именем. Таким способом создаются задают пользователем цепочки.

     -X [chain]

     Удаляет определенную користувальницький цепочку  или все цепочки, если никакая  конкретная цепочка не заданий. На удаляет цепочку, что, не повинное быть ссылок из других цепочек, иначе она не будет изъята.

     -P chain policy

     Задает  стратегию за умалчиванием для отмеченной цепочки. Допустимые стратегии: ACCEPT, DENY, REJECT, REDIR или RETURN. ACCEPT, DENY и REJECT имеют те же значения, как для традиционной реализации IP firewall. REDIR определяет, что пакет виноват быть переназначенный к порту на машине из firewall. RETURN вынуждает IP firewall вернуться к цепочке, правило которой вызывало эту ситуацию, и предлагает продлить ее обработку из следующего правила.