Zmiany pomiędzy wersją 6 and wersją 7 dla AdminGuide/Firewall

Pokaż
Ignoruj:
Data i czas:
12/02/09 11:19:47 (15 years temu)
Autor:
jbedlicka (IP: 213.227.67.33)
Komentarz:

--

Legend:

Bez zmian
Dodane
Usunięte
Zmienione

  • AdminGuide/Firewall

    v6 v7  
    11= Konfiguracja firewall'a = 
    22 
    3 === 1. Firewall ===  
    4 Firewall - (z ang. ściana ogniowa) - rodzaj oprogramowania lub dedykowany sprzęt do zabezpieczenia komputer/sieci przed niepowołanym dostępem  
     3== 1. Firewall ==  
     4Firewall - (z ang. ściana ogniowa) - rodzaj oprogramowania lub dedykowany sprzęt do zabezpieczenia komputera/sieci przed niepowołanym dostępem  
    55 
    6 === 2. Podstawowa konfiguracja ===   
    7 Najpopularniejszym filtrem sieciowym dla systmu Linux jest iptables. W dalszej części pokażemy podstawową konfigurację dla systemu operacyjnego Linux z zainstalownym systemem eDokumenty: 
     6== 2. Podstawowa konfiguracja ==   
     7Najpopularniejszym filtrem sieciowym dla systemu Linux jest iptables. W dalszej części pokażemy podstawową konfigurację dla systemu operacyjnego Linux z zainstalowanym systemem eDokumenty: 
    88 
    99{{{ 
     
    2424Przeanalizujmy wpisy.  
    2525 
    26 Pierwsze dwie wpisy czyszczą łańcuchy z reguł. Łańcuch INPUT filtruje ruch kierowany do tego komputera. Domyślnie mamy jeszcze wbudowane 2 łańcuchy OUTPUT - ruch wychodzący, FORWARD - ruch przekazywany. 
     26Pierwsze dwa wpisy czyszczą łańcuchy z reguł. Łańcuch INPUT, filtruje ruch kierowany do tego komputera. Domyślnie mamy jeszcze wbudowane 2 łańcuchy OUTPUT - ruch wychodzący, FORWARD - ruch przekazywany. 
    2727 
    2828{{{ 
     
    3434Domyślna polityka to zachowanie firewalla dla przypadku, w którym pakiet nie został zakwalifikowany do żadnej reguły danego łańcucha. 
    3535 
    36  
    3736{{{ 
    3837iptables -A INPUT -i lo -j ACCEPT 
    3938}}} 
    4039 
    41 Reguła zezwalająca na ruch w  obrębie  interfejsu loopback. Loopback to adres komputera lokalnego, interfejs z adresem 127.0.0.1 nie zbędny do komunikacji wewnątrz jedengo hosta. 
     40Reguła zezwalająca na ruch w  obrębie  interfejsu loopback. Loopback to adres komputera lokalnego, interfejs z adresem 127.0.0.1, niezbędny do komunikacji wewnątrz jednego hosta. 
    4241 
    4342{{{ 
     
    4544}}} 
    4645 
    47 Reguła przedstawiona powyżej wykorzystuje rozszerzenie ''state'' do filtrowania ruch przychodzącego na podstawie stanu połączenia. Zgodnie z tą regułą akceptowane będą tylko pakiety z nawiązanym juz połączeniem (ESTABLISHED) i należace  do danego połączenia oraz pakiety z nawiąznym juz połączeniem ale nie wiążące się już z istniejącym połączeniem (RELATED). 
     46Reguła przedstawiona powyżej wykorzystuje rozszerzenie ''state'' do filtrowania ruch przychodzącego na podstawie stanu połączenia. Zgodnie z tą regułą akceptowane będą tylko pakiety z nawiązanym już połączeniem (ESTABLISHED) i należące  do danego połączenia oraz pakiety z nawiązanym już połączeniem ale nie wiążące się już z istniejącym połączeniem (RELATED). 
    4847 
    4948{{{ 
     
    5150}}} 
    5251 
    53 Powyższa reguła akceptuje pakiety icmp (popularny ping wysyła właśnie tego typu pakiety). Akceptowane są tylko pakiety icmp typu czyli Echo Request (żądanie echa). Jest to prośba o odpowiedź czy host jest w sieci. W odpoiedzi komputer wysyła icmp typu 0 czyli Echo Reply (zwrot echa). Brak odpowiedzi nie oznacza że hosta nie ma w sieci. Popularny komercyjny system ooperacyjny domyślnie blokuje żądanie echa. 
    54  
     52Powyższa reguła akceptuje pakiety icmp (popularny ping wysyła właśnie tego typu pakiety). Akceptowane są tylko pakiety icmp typu czyli Echo Request (żądanie echa). Jest to prośba o odpowiedź czy host jest w sieci. W odpowiedzi komputer wysyła icmp typu 0 czyli Echo Reply (zwrot echa). Brak odpowiedzi nie oznacza że hosta nie ma w sieci. Popularny komercyjny system operacyjny domyślnie blokuje żądanie echa. 
    5553 
    5654{{{ 
     
    6159}}} 
    6260 
    63 Powyższy kawałek kody to pętla wpisująca do firewall'a kolejno dla poszczególnych usług reguły zezawalającę na dostęp do nich. Te usługi to: 
     61Powyższy kawałek kodu to pętla wpisująca do firewall'a kolejno dla poszczególnych usług reguły zezwalające na dostęp do nich. Te usługi to: 
    6462 
    6563port 22 - SSH (ang. secure shell) - zdalny dostęp do systemu w trybie tekstowym   
     
    7371port 6000 - X Window System - zdalny dostęp do systemu w trybie graficznym. 
    7472 
    75  
    76