Инструменты безопасности с открытым исходным кодом


Создание межсетевого экрана Iptables


Опыт - лучший учитель, поэтому давайте рассмотрим пару команд, чтобы увидеть, как они используются в практическом приложении. Далее на примере Iptables показано, как создать межсетевой экран. Можно вводить команды интерактивно, по одной, чтобы сразу видеть результаты. Можно также поместить их в командный файл и выполнять его при загрузке системы, поднимая тем самым межсетевой экран (см. врезку о написании командных файлов). Набирайте их точно так же, как показано, сохраняя, в частности, регистр букв.

В следующем примере предполагается, что диапазон IP-адресов 192.168.0.1 - 192.168.0.254 принадлежит вашей подсети ЛВС, к которой подключен интерфейс eth1, и что интерфейс eth0 является соединением с Интернетом или ГВС.

  1. Начните с удаления всех существующих правил с помощью команды Flush: iptables -F FORWARD

    Это стирает все правила цепочки FORWARD, являющейся основной "воронкой" для всех пакетов, пытающихся пройти через межсетевой экран.

  2. Очистите другие цепочки: iptables -F INPUT iptables -F OUTPUT

    Эти команды стирают все правила на пути пакетов, направленных в локальную машину, и в выходной цепочке.

  3. Поместите стандартную инструкцию "запретить все" в самое начало. iptables -P FORWARD DROP iptables -A INPUT -i eth0 -j DROP
  4. Решение о допуске фрагментированных пакетов в Iptables необходимо оформить явным образом: iptables -A FORWARD -f -j ACCEPT
  5. Существует два типа распространенных атак, которые необходимо сразу заблокировать. Одна из них называется подделкой (подделываются заголовки IP-пакетов, чтобы казалось, будто внешний пакет имеет внутренний адрес). Делая это, злоумышленник может попасть в вашу сеть, даже если вы используете собственные IP-адреса. Другой тип атаки реализуется отправкой потока пакетов на широковещательный адрес сети, чтобы перегрузить ее. Это называется штормовой атакой. Атаки перечисленных типов можно блокировать с помощью двух простых инструкций: iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -j DROP iptables -A FORWARD -p icmp -i eth0 -d 192.168.0.255 -j DENY




    Начало  Назад  Вперед