2015-01-30
1050
Часто для защиты локальной сети от вторжения извне и для блокировки внешних нежелательных ресурсов используют файерволлы или межсетевые экраны. В узком смысле слова файерволл — это служба, осуществляющая фильтрацию пакетов. В Linux такая служба называется iptables. В широком смысле файерволл — это специализированное программное или аппаратное устройство, выполняющее, помимо фильтрации пакетов, множество других функций. В частности, уже рассмотренную маршрутизацию, а также трансляцию адресов — NAT (network address translation).
Трансляция адресов значит, что файерволл при прохождении пакетов из внутренней сети, называемой зеленой, во внешнюю, называемой красной, в заголовках пакетов заменяет IP-адреса хостов-отправителей IP-адресом красного интерфейса, а при получении ответных пакетов осуществляет обратную замену. Таким образом все хосты локальной сети представлены в глобальной сети одним адресом — адресом красного интерфейса файерволла.
Фильтрация в Linux:
рассмотрим Endianfirewall — специализированный дистрибутив Linux, предназначенный для создания программных файерволлов
Для доступа к его web-интерфейсу в адресной строке браузера следует набрать:
https://192.168.0.1:10443
Обратите внимание на настройку красного и зеленого интерфейсов и таблицу маршрутизации, которая содержит шлюз по умолчанию на красный интерфейс длятого чтобы компьютеры из зеленой зоны могли иметь доступ к Интернет. Но если взеленой зоне имеется роутер, который делит ее на подсети, то таблица маршрутизацииобязательно, помимо шлюза по умолчанию для исходящих пакетов, должна иметь статические маршруты для каждой из локальных подсетей для того, чтобы ответные пакеты попали по назначению.
Фильтрация исходящего трафика доступна из позиции меню нижнего уровня, расположенного слева, под названием Outgoing traffic. Список разрешенных протоколов можно расширять и редактировать.Изменения надо обязательно зафиксировать. Внешние FTP-сервера станут недоступны.
Можно выполнить и обратную настройку — открыть один из внутренних серверов для доступа снаружи. Данная операция называется переброс или перенаправлениепортов (port forwarding).Для этого надо выбрать нужный интерфейс, и протокол, соответствующий открываемому серверу (при этом можно стандартное значениепорта для большей безопасности заменить на нестандартное) и задать IP-адрес сервера внутренней сети и порт, прослушиваемый службой.
И применить внесенные изменения.
