Брандмауер в Linux Mint

В операційній системі Linux як фільтр пакетів використовується Netfilter

(Http://wwwnetfilterorg/), який входить до складу ядра і розробляється групою

Netfilter Core Team Для управління його налаштуваннями використовується утиліта командного рядка iptables, що розробляється паралельно цим же проектом Процес

настройки вимагає деякого розуміння протоколів, використовуваних при обміні інформації в Інтернеті, і назвати його простим не можна Хоча тема настройки

netfilter / iptables вже не є новою, у глобальній мережі можна знайти не один

десяток документів, що описують як його пристрій, так і самі команди Крім цього написано кілька хороших графічних утиліт (КМуFirewall, Firewall Builder, Firestarter та ін), що допомагають самостійно створювати правила непідготовленому користувачеві

В Ubuntu, починаючи з версії 804, для управління правилами netfilter використовується UFW (Uncomplicated firewall), тому процес налаштування тут виглядає дещо інакше, ніж в інших дистрибутивах Пізніше UFW перекочував в інші дистрибутиви, в тому числі і в Linux Mint Важливо зрозуміти, що UFW не замінює iptables, а є лише зручною високорівневою надбудовою над цією утилітою Процес створення нових правил планується зробити максимально зрозумілим для звичайного користувача Крім цього спрощена інтеграція додатків з міжмережевим екраном Розробник може створювати готові правила, які будуть автоматично активуватися при установці сервісу, дозволяючи потрібні мережеві зєднання

Файли налаштувань UF W знаходяться в каталозі / etc / ufw, синтаксис команд всередині дещо простіше і зрозуміліше, ніж iptables (рис 66)

Рис 66 Правила UFW

За замовчуванням UFW завжди відключений, і перед запуском демона його необхідно актувати, замінивши у файлі / etc / ufw / ufwconf рядок

ENABLED=no

ENABLED=yes

Інакше при спробі його запуску командою

$ sudo /etc/initd/ufw start

отримаємо відмову

*   Skippin g  firewall :   uf w    (no t   enabled)

Крім безпосереднього редагування конфігураційних файлів настройки можна проводити за допомогою консольної утиліти ufw Наприклад, щоб активувати uwf і дозволити її завантаження, при старті системи можна поступити наступним чином:

$   sud o   uf w   enabl e

Firewal l starte d an d enable d on syste m startu p Відключити також просто:

$   sud o   uf w   disabl e

Firewal l   stoppe d   an d   disable d   o n   syste m   startu p

Існує дві глобальні політики: все дозволено і все заборонено Перша активується за допомогою команди

$   sud o   uf w   defaul t   allo w

Політика за замовчуванням incomin g змінений а на `allow

(Не забудьте е відповідним образо м оновить ь ваші правила) Щоб заборонити всі підключення, використовуємо

$   sud o   uf w   defaul t   den y

За допомогою ufw дуже просто дозволити або заборонити вхідні зєднання для сервісу, описаного в / etc / services, або конкретного порту / протоколу

У загальному випадку команда виглядає так: uf w allow | den y [service]

Іншими словами, щоб дозволити підключення до веб-серверу, який працює на 80-му порту, чинимо наступним чином:

$   sud o   uf w   allo w   80/tc p

Щоб переглянути правила iptables без їх активації, додаємо в команду параметр-dry-run Параметр statu s дозволить дізнатися поточні настройки UFW без заглядання всередину iptables:

$   sud o   uf w   statu s

Видалити дозвіл на підключення до вибраного порту можна так само просто:

$ sudo ufw delete allow 80/tcp

Забороняє правило створюється аналогічно дозволяючим, тільки замість allow

використовуємо deny:

$ sudo ufw deny 53

Тепер ми блокували доступ до 53-му порту При цьому якщо раніше було створено, наприклад, дозволяє правило, яке тепер потрібно замінити на блокуючу, то це краще робити в два етапи Спочатку відключаємо перше правило, а потім встановлюємо друге

Замість номера порту можна назвати сервіс по імені Дивимося, як називається потрібний сервіс:

$ cat /etc/services | less

і включаємо його в правило:

$ sudo ufw allow ssh

У правилах UF W можна задавати IP-адреси (джерела і призначення) Наприклад, щоб дозволити зєднання з внутрішньої мережі 19216810/24, використовуємо:

$ sudo ufw allow 19216810/24

або забороняє правило:

$ sudo ufw deny from 10203040

Опціонально можна вказати порт і протокол Дозволимо підключення по SSH тільки з однієї IP-адреси:

$ sudo ufw allow from 192168020 to any port 22

Для включення / відключення реєстрації використовується команда logging Включаємо:

$ sudo ufw logging on

Файл / etc / ufw / sysctlconf задає деякі системні змінні (аналог загальносистемного / etc / sysctlconf) Наприклад, щоб дозволити перенаправлення пакетів, знімаємо коментар з рядка

net/ipv4/ip_forward=1

До складу Linux Mint включений і графічний інтерфейс UFW – GUFW (http:// gufwtuxfamilyorg /, рис 67)

Рис 67 Програма настройки UFW – GUFW

Можливостей у нього небагато, але їх цілком достатньо З його допомогою можна переглянути встановлені правила, створити нові, одним рухом мишки заборонити або дозволити вхідний трафік

Джерело: Яремчук С А Linux Mint на 100% – СПб: Питер, 2011 – 240 е: ил – (Серія «На 100%»)

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*