Конфигурирование межсетевого экранаЦель работы:
• получить представление о работе классического межсетевого экрана.
• Закрепить понимание адресации на сетевом и транспортном уровне стека TCP/IP.
Необходимо:
• Установленная на компьютере среда виртуализации ORACLE Virtual Box;
• Образы виртуальных жёстких дисков операционных систем Windows 2003 и Linux;
• Доступ к сети Интернет;
• Учетные записи пользователей с администраторскими правами.
Краткие теоретические сведения:
Под межсетевым экраном или брандмауэром понимают фильтр IP пакетов предназначенный для формального ограничения соединений клиентов и серверов работающих «поверх» стека TCP\IP.
В основу работы классического firewall положен контроль формальных признаков. В общем случае фильтрация осуществляется по:
• IP адресам отправителя и получателя в заголовке IP пакета;
• номерам портов приложения-получателя и приложенияотправителя инкапсулированным в IP протокол транспортного (TCP, UDP) и сетевого уровней (ICMP).
|
|
Правила фильтрации формируются в виде списка. Все проходящие пакеты проверяются по списку последовательно, до первого срабатывания. Последующие правила к пакету не применяются.
Для конфигурирования firewall в Linux необходимо сформировать набор правил iptables. В iptables реализовано несколько цепочек правил INPUT для входящего трафика, OUTPUT для исходящего и FORWARD для пересылаемого. Управление цепочками производится с помощью консольной команды iptables.
Примеры:
• iptables -A INPUT -s ws.mytrust.ru -j ACCEPT включает прием всех пакетов с хоста ws.mytrust.ru
• iptables -A OUTPUT -d mail.ifmo.ru --dport 25 -j DROP запрещает отправку всех пакетов на хост mail.ifmo.ru на порт
• iptables -A INPUT -j DROP запрещает прием всех сообщений.
В протоколах TCP и UDP (семейства TCP/IP) порт — идентифицируемый номером системный ресурс, выделяемый приложению, выполняемому на некотором сетевом хосте, для связи с приложениями, выполняемыми на других сетевых хостах (в том числе c другими приложениями на этом же хосте).
Порядок выполнения работы: