Настройка Firewall
Настройка Firewall с помощью инструментов Центра управления
Drakfirewall позволяет настроить межсетевой экран (файерволл). Межсетевой экран фильтрует попытки внешнего подключения, а также блокирует неавторизованные подключения. Вы можете настроить межсетевой экран, если хотите разрешить входящие подключения к вашему компьютеру, а также если на нём включены определённые службы такие, как совместный доступ к файлам, веб-сервер и т. п.
Мастер настройки включает в себя несколько этапов настройки.
Выбор служб, доступных извне
Если в списке выбрано "Ко всем (файервол отключен)", снимите с этого пункта отметку, отметье галочкой те службы, к которым нужно обеспечить доступ извне.
Если в списке нет службы, которую необходимо авторизовать, нажмите кнопку "Дополнительно". В открывшемся окне, в текстовом поле ввода, введите номера портов, которые нужно оставить открытыми. Над текстовым полем ввода находятся примеры записей портов. Порты можно задавать с помощью диапазона, например, 24300:24350/udp. В этом же окне можно включить функцию записи сообщений файервола в системный журнал.
Отсутствие в списке отмеченных служб не означает, что доступ к Интернету закрыт. Отсутствие отметки говорит о том, что доступ к этой службе из Интернета запрещён. Если на компьютере вообще не планируется использовать какие-либо из этих служб (распространённая практика для десктоп-машин), оставьте все службы неотмеченными.
С другой стороны, чтобы отключить файервол и открыть доступ извне ко всем службам, отметьте галочкой "Ко всем (файервол отключен)". Но помните, что это небезопасно. В результате система станет более уязвимой.
Включение интерактивных возможностей
Интерактивный файервол может предупреждать о попытках подключения к вашему компьютеру с помощью всплывающих сообщений апплета сети. Выберите "Использовать интерактивный файервол", чтобы включить эту возможность.
- Обнаружение сканирования портов
Включите эту возможность, чтобы система уведомляла вас о возможных злонамеренных попытках получения доступа к вашему компьютеру.
- Другие записи, соответствующие открытым портам
В этом списке также перечислены все открытые порты. Отметив их галочкой, вы будете получать всплывающие сообщения с уведомлениями о попытках подключения к этим портам.
Выбор сетевого интерфейса
На этом шаге необходимо выбрать сетевой интерфейс, подключённый к Интернету. Если вы не знаете, какой именно интерфейс используется для подключения к Интернету, вы можете проверить конфигурацию сети.
Наконец нажмите "OK".
Примечание: Возможно, мастер сообщит, что необходимо установить дополнительные пакеты.
Настройка Firewall из командной строки
Основные файлы конфигурации
Основные файлы Shorewall /etc/shorewall:
- interfaces - настройка интерфейса, к которому применяются правила
#ZONE INTERFACE BROADCAST OPTIONS net eth0 deteсt
Задаем сетевой интерфейс применения правил файрвола
- policy - правила
#SOURCE DEST POLICY LOG LIMIT: CONNLIMIT: # LEVEL BURST MASK fw net ACCEPT net all DROP info all all REJECT info
по умолчанию для сетевого интерфейса net пакеты сбрасываются (DROP), а для всех отклоняются
- rules.drakx - задание правил через граф. интерфейс
- zone - зона защиты...
#ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS net ipv4 fw firewall
Включение интерактивного файервола с правилами по умолчанию
Измените файлы /etc/shorewall/start и /etc/shorewall/stop следующим образом (от root):
- /etc/shorewall/start
INCLUDE /etc/ifw/start INCLUDE /etc/ifw/rules iptables -I INPUT 1 -j Ifw
- /etc/shorewall/stop
iptables -D INPUT -j Ifw INCLUDE /etc/ifw/stop #LAST LINE -- DO NOT REMOVE
Разрешение основных служб
Во всех случаях добавляется cтроки в файл /etc/shorewall/rules.drakx. Для открытия нескольких служб применяется набор правил
- Компьютер учителя как веб-сервер (доступ к http-сереверу)
ACCEPT net fw tcp 80,443 -
- Компьютер учителя как файловый FTP сервер (доступ к ftp-сереверу)
ACCEPT net fw tcp 20,21 -
- Компьютеры учителя и учеников для совместного доступа к файлам (протокол NFS)
ACCEPT net fw udp 111,2049,4002,4001,4003,4004 - ACCEPT net fw tcp 111,2049,4002,4001,4003,4004 -
- Компьютер учителя и учеников для доступа по SSH
ACCEPT net fw tcp 22 -
- На компьютере учителя установлен учебный сервер баз данных MySQL
ACCEPT net fw udp 3306 - ACCEPT net fw tcp 3306 -
- Включение доступа к службам автоконфигурирования (Zeroconf, slp)
ACCEPT net fw udp 5353,427 -
- Включение ping на компьютерах учителя и учащихся
ACCEPT net fw icmp 8 -
Разрешение произвольных портов ПО
- iTalc
Нужно открыть порты с 5800 по 5900 на протоколах UDP и TCP. Для этого записываем в /etc/shorewall/rules.drakx следующие строки:
ACCEPT net fw udp 5800:5900 - ACCEPT net fw tcp 5800:5900 -
Запись и применение правил
Чтобы записать правила можно воспользоваться любым текстовым редактором (от root) или просто дать команду записи строки в файл правил (на примере ping)
printf "ACCEPT net fw icmp 8 -" >> /etc/shorewall/rules.drakx
Для применения правил Shorewall нужно их перекомпилировать, перезапустив Shorewall. Для этого даем команду
service shorewall restart