Firewall w Slackware


Artykuł ten jest kontynuacja tematów związanych z bezpieczeństwem sieciowym i dotyczy firewalla dla pojedyńczej stacji (bez podsieci). Firewall oparty jest na programie iptables i dystrybucji Slackware. Po zaznajomieniu się z dokumentacją i różnymi opisami w czasopismach i w internecie stworzyłem zbiór reguł filtrujących ruch pakietów w sieci. Przy standardowej instalacji Slackware w pliku /etc/rc.d/rc.inet2 jest wpis o uruchomieniu naszego firewalla o treści:
oraz wpis o uruchomieniu w jądrze filtrowania pakietów:
Po utworzeniu w katalogu /etc/rc.d pliku o nazwie rc.firewall i nadaniu mu praw wykonywalności wstawiłem do niego reguły filtrujące ten ruch pakietów. W moim przypadku są to reguły, które opiszę po kolei:

Zmienne TCP_OUT_ALLOW oraz UDP_OUT_ALLOW przyjmują wartości portów tych usług. Wykaz portów i usług jest zamieszczony w plikach /etc/services i /etc/protocols. Dla usługi ftp są to porty o mumerach: 20/tcp, 20/udp, 21/tcp i 21/udp. O tym jakie numery portów należy wpisać decydujemy przez wpisywanie pojedyńczego numeru usługi i próbowanie, czy ona zadziała. W ten sposób zapewnimy minimalną (ale konieczną) ilość otwartych portów. Porty o numerach podanych w listingu firewalla zapewniają obsługę poczta - klient, grupy dyskusyjne - klient, www - klient i serwer, ftp - klient i serwer, ssh - klient i serwer oraz gtk-gnutelli i kadu. Firewall oparty na tym skrypcie pracuje poprawnie i nie mam powodów do narzekań. Ze względu na fakt, że internet mam przez łącze sieci telewizji kablowej, firewall został sprawdzony na stałym numerze IP zewnętrznym i wewnętrznym oraz na zmiennym wewnętrznym z DHCP. We wszystkich przypadkach pracował dobrze. I jeszcze jedna uwaga na koniec. Zwiększa się ilość ładowanych modułów i rośnie zajętość pamięci, co widać poniżej. Aby móc korzystać z irc należy dopisać na początku skryptu polecenie załadowania modułu: /sbin/modprobe ip_conntrack_irc. Dodatkowo należy dodać numer portu irc- a (194) do zmiennej TCP_OUT_ALLOW i jeżeli jest to konieczne do UDP_OUT_ALLOW. Ilość wpisów do każdej z tych zmiennych nie może przekraczać piętnastu. Przy większej ilości wpisów należy dopisywać osobne łańcuchy.


Stąd można pobrać przykładowy plik firewalla dla pojedyńczego komputera pracującego w sieci telewizji kablowej.
Przy instalowaniu firewalla na laptopie i sieci przez wifi zmienił się u mnie numer urządzenia sieciowego z eth0 na eth2, co wymusza korekty w pliku z programem.

do góry 2004/2007.10.07