SuSEfirewall2

Зміст

Загальна інформація

SuSEfirewall2 — це, у своїй основі, скрипт, який генерує правила для iptables із конфігурації збереженої у файлі/etc/sysconfig/SuSEfirewall2. SuSEfirewall2 захищає вас від мережевих атак, відкидаючи або відкидаючи небажані пакети, які надходять на ваш мережний інтерфейс.

Конфігурація

Щоб налаштувати SuSEfirewall2:

  • відредагуйте файл /etc/sysconfig/SuSEfirewall2 вручну та виконайте команду

  • використовуйте модуль конфігурації YaST, описаний на сторінці YaST_Firewall

Можливості

Хоча SuSEfirewall2 має багато можливостей, очевидно, що YaST не може конфігурувати їх усі. Конфігураційний файл сам надає всю необхідну документацію щодо кожного окремого налаштування.

Якщо в будь-якій змінній може бути задано кілька значень, вони записуються через пропуск.

Зони брендмауера

SuSEfirewall2 має три різні зони за замовчуванням:

  • EXT – Зовнішня зона (так звана ненадійна, Інтернет)
  • INT - Внутрішня зона (цілком довіряється, без фільтрації, ЛОМ)
  • DMZ - Демілітаризована зона (для серверів, які мають бути доступні з інтернету)

Мережевий інтерфейс може бути віднесений до зон додаванням імені інтерфейсу в змінніFW_DEV_зона, в якихзона- одна з налаштованих зон.

Спеціальний рядокanyможе бути використаний, щоб у SuSEfirewall призначити всі інтерфейси, що залишилися, які не перераховані в інших зонах. За замовчуванням, всі непризначені інтерфейси автоматично призначаються на зовнішню зону.

ЗміннаFW_ZONESможе бути використана для визначення додаткових зон. Наприклад,якщо вам не потрібна обмежувальна фільтрація зовнішніх зон у вашій WLAN, але також ви не повною мірою довіряєте WLAN так, щоб можна було використовувати внутрішню зону, то можна визначити нові зони:

Дозвіл доступу до сервісів

Кожна зона брендмауера може дозволити чотири типи сервісів:

  • TCP -FW_SERVICES_EXT_TCP,FW_SERVICES_INT_TCP,FW_SERVICES_DMZ_TCP
  • UDP -FW_SERVICES_EXT_UDP,FW_SERVICES_INT_UDP,FW_SERVICES_DMZ_UDP
  • RPC -FW_SERVICES_EXT_RPC,FW_SERVICES_INT_RPC,FW_SERVICES_DMZ_RPC
  • IP -FW_SERVICES_EXT_IP,FW_SERVICES_INT_IP,FW_SERVICES_DMZ_IP

TCPіUDPможуть бути заданіномером порту(port number),ім'ям порту(port name)(відповідність між ім'ям та номером ви можете знайти у файлі /etc/services) абодіапазоном портів(port range)визначеним двома номерами портів розділених двокрапкою.

Крім того, пакети можуть надавати конфігураційний файл, який описує, які порти повинні бути відкриті для запуску конкретного сервісу, див. SuSEfirewall2/Service_Definitions_Added_via_Packages. Використання цього методу особливо зручне, якщо сервіс потребує кількох портів.

Більш обмежений доступ до сервісів

Вищезгаданий спосіб дозволити доступ до послуг не дуже обмежувальний. Він дозволяє чи не дозволяє. Існують параметри, які можуть бути встановлені, щоб дозволити більш обмежений доступ до сервісу. Однак, визначення дозволених сервісів наведені вище мають пріоритет над визначеннями, зазначеними нижче, коли використовується той же порт. Цими параметрами є:

  • FW_SERVICES_ACCEPT_EXT,FW_SERVICES_ACCEPT_INT,FW_SERVICES_ACCEPT_DMZ

Для кожної служби ці параметри займають 4 позиційні параметри та додатковий параметр ключових слів, також званих прапорами.

Таким чином, формат рядка це список розділених пробілами правил, що складаються з мережі, протоколу [, порту призначення [, порт джерела [, прапорів]]]

  • hitcount=NUMBER : ipt_recent --hitcount параметр
  • blockseconds=NUMBER : ipt_recent --seconds параметр
  • recentname=NAME : ipt_recent --name параметр

Маскарадінг

Також необхідно, щоб були вказані внутрішній інтерфейсFW_DEV_INT(абоFW_DEV_DMZ) і маскуючий інтерфейсFW_MASQ_DEV, який за умовчанням дорівнює зовнішньомуFW_DEV_EXT.

Ви можете визначити мережі, які маскуватимуться, дозволити доступ до певних сервісів.

Реалізується це шляхом редагування правилаFW_MASQ_NETS.

Реалізується шляхом редагування 14) правилаFW_FORWARD_MASQ.

[, Redirect port, [destination ip]]

Пояснення: Весь трафік, що йде з Інтернету на машину 81.196.137.156 (кіт. маскує машини внутрішньої мережі) на tcp порт 4662 та на udp порт 4672, перенаправляється на внутрішню машину 192.168.2.2. В результаті можливі звернення до цієї машини із зовнішньої мережі, що може знадобитися в деяких випадках.

Доступ до комп'ютерів у внутрішній мережі

Для отримання доступу до комп'ютера (внутрішньої мережі), з використанням певного порту (наприклад TCP), використовується зміннаFW_FORWARD_MASQ

Таке перенаправлення називають інодіпрокиданням порту у внутрішню мережу.

Прозорий перенапрямок

Перенаправлення може знадобитися, наприклад, для створення прозорого проксі-сервера.

Реалізується шляхом редагування правилаFW_REDIRECT.

Але для прозорого перенаправлення запитів користувачів на проксі сервер, як правило, цього недостатньо!

У конфіг проксі сервера (є введу, що використовуєтьсяsquid, а конфігураційний файл його називаєтьсяsquid.conf) потрібно додати наступні рядки:

Ведення журналу

HTB - налаштування максимальної швидкості завантаження

Конфігурація Інтернет протоколу версії 6 (IPv6) має такі пункти:

  • Підтримка IPv6 -FW_IPv6так/ні(yes/no)
  • Конфігурація вихідних пакетів IPv6 -FW_IPv6_REJECT_OUTGOINGтак/ні/відкинути([yes]/no/drop)

  • FW_IPv6за промовчанням підтримка IPv6 в ядрі, якщо параметр порожній.
  • FW_IPv6_REJECT_OUTGOINGзначення стандартної конфігурації - так(yes (відхиляти)).

Щоб дозволити пересилання пакетів з підмережі IPv6 за SuSEfirewall2 встановітьFW_FORWARD="[ваш префікс IPv6 ]/64,2000::/3"

Непрацюючі елементи

  • SuSEfirewall2 не підтримує всі особливості IPv6.
  • Список непрацюючих ключових слів:
  • FW_TRUSTED_NETS
  • FW_SERVICES_ACCEPT_EXT
  • . (Не соромтеся додавати)

Дивись також

Будь ласка, перегляньте вміст /usr/share/doc/packages/SuSEfirewall2/ з пакета SuSEfirewall2.