Настройка Firewall

Материал из Mageia Russian Community Wiki
Перейти к: навигация, поиск

Настройка Firewall с помощью инструментов Центра управления

Drakfirewall позволяет настроить межсетевой экран (файерволл). Межсетевой экран фильтрует попытки внешнего подключения, а также блокирует неавторизованные подключения. Вы можете настроить межсетевой экран, если хотите разрешить входящие подключения к вашему компьютеру, а также если на нём включены определённые службы такие, как совместный доступ к файлам, веб-сервер и т. п.

Мастер настройки включает в себя несколько этапов настройки.

Выбор служб, доступных извне

Tinyfirewall-main.png

Если в списке выбрано "Ко всем (файервол отключен)", снимите с этого пункта отметку, отметье галочкой те службы, к которым нужно обеспечить доступ извне.

Если в списке нет службы, которую необходимо авторизовать, нажмите кнопку "Дополнительно". В открывшемся окне, в текстовом поле ввода, введите номера портов, которые нужно оставить открытыми. Над текстовым полем ввода находятся примеры записей портов. Порты можно задавать с помощью диапазона, например, 24300:24350/udp. В этом же окне можно включить функцию записи сообщений файервола в системный журнал.

Отсутствие в списке отмеченных служб не означает, что доступ к Интернету закрыт. Отсутствие отметки говорит о том, что доступ к этой службе из Интернета запрещён. Если на компьютере вообще не планируется использовать какие-либо из этих служб (распространённая практика для десктоп-машин), оставьте все службы неотмеченными.

С другой стороны, чтобы отключить файервол и открыть доступ извне ко всем службам, отметьте галочкой "Ко всем (файервол отключен)". Но помните, что это небезопасно. В результате система станет более уязвимой.

Включение интерактивных возможностей

Tinyfirewall-interface.png

Интерактивный файервол может предупреждать о попытках подключения к вашему компьютеру с помощью всплывающих сообщений апплета сети. Выберите "Использовать интерактивный файервол", чтобы включить эту возможность.

  • Обнаружение сканирования портов

Включите эту возможность, чтобы система уведомляла вас о возможных злонамеренных попытках получения доступа к вашему компьютеру.

  • Другие записи, соответствующие открытым портам

В этом списке также перечислены все открытые порты. Отметив их галочкой, вы будете получать всплывающие сообщения с уведомлениями о попытках подключения к этим портам.

Выбор сетевого интерфейса

Tinyfirewall-interface2.png

На этом шаге необходимо выбрать сетевой интерфейс, подключённый к Интернету. Если вы не знаете, какой именно интерфейс используется для подключения к Интернету, вы можете проверить конфигурацию сети.

Наконец нажмите "OK".

Примечание: Возможно, мастер сообщит, что необходимо установить дополнительные пакеты.

Настройка Firewall из командной строки

Основные файлы конфигурации

Основные файлы Shorewall /etc/shorewall:

  • interfaces - настройка интерфейса, к которому применяются правила
#ZONE	INTERFACE	BROADCAST	OPTIONS
net	eth0	deteсt

Задаем сетевой интерфейс применения правил файрвола

  • policy - правила
#SOURCE	DEST	POLICY		LOG	LIMIT:		CONNLIMIT:
#				LEVEL	BURST		MASK
fw	net	ACCEPT
net	all	DROP	info
all	all	REJECT	info
по умолчанию для сетевого интерфейса net пакеты сбрасываются (DROP), а для всех отклоняются
  • rules.drakx - задание правил через граф. интерфейс
  • zone - зона защиты...
#ZONE	TYPE		OPTIONS		IN			OUT
#					OPTIONS			OPTIONS
net	ipv4
fw	firewall

Включение интерактивного файервола с правилами по умолчанию

Измените файлы /etc/shorewall/start и /etc/shorewall/stop следующим образом (от root):

  • /etc/shorewall/start
INCLUDE /etc/ifw/start
INCLUDE /etc/ifw/rules
iptables -I INPUT 1 -j Ifw
  • /etc/shorewall/stop
iptables -D INPUT -j Ifw
INCLUDE /etc/ifw/stop
#LAST LINE -- DO NOT REMOVE

Разрешение основных служб

Во всех случаях добавляется cтроки в файл /etc/shorewall/rules.drakx. Для открытия нескольких служб применяется набор правил

  • Компьютер учителя как веб-сервер (доступ к http-сереверу)
ACCEPT	net	fw	tcp	80,443	-
  • Компьютер учителя как файловый FTP сервер (доступ к ftp-сереверу)
ACCEPT	net	fw	tcp	20,21	-
  • Компьютеры учителя и учеников для совместного доступа к файлам (протокол NFS)
ACCEPT	net	fw	udp	111,2049,4002,4001,4003,4004	-
ACCEPT	net	fw	tcp	111,2049,4002,4001,4003,4004	-
  • Компьютер учителя и учеников для доступа по SSH
ACCEPT	net	fw	tcp	22	-
  • На компьютере учителя установлен учебный сервер баз данных MySQL
ACCEPT	net	fw	udp	3306	-
ACCEPT	net	fw	tcp	3306	-
  • Включение доступа к службам автоконфигурирования (Zeroconf, slp)
ACCEPT	net	fw	udp	5353,427	-
  • Включение ping на компьютерах учителя и учащихся
ACCEPT	net	fw	icmp	8	-

Разрешение произвольных портов ПО

  • iTalc

Нужно открыть порты с 5800 по 5900 на протоколах UDP и TCP. Для этого записываем в /etc/shorewall/rules.drakx следующие строки:

ACCEPT	net	fw	udp	5800:5900	-
ACCEPT	net	fw	tcp	5800:5900	-

Запись и применение правил

Чтобы записать правила можно воспользоваться любым текстовым редактором (от root) или просто дать команду записи строки в файл правил (на примере ping)

printf "ACCEPT	net	fw	icmp	8	-" >> /etc/shorewall/rules.drakx

Для применения правил Shorewall нужно их перекомпилировать, перезапустив Shorewall. Для этого даем команду

service shorewall restart