Linux jako levný firewall
Petr Šnajdr snajdr@cpress.cz
Na další stranuNávrat na titulní stranuVyhledávání informacíNa další stranu

Použití firewall patří k jedněm ze základních prvků ochrany sítě před vetřelcem ze sítě jiné, nedůvěryhodné, klasicky například Internetu. K vytvoření takového jednoduchého firewallu můžete použít i Linux. Linux je volně šířitelný klon OS Unix dostupný pro počítače PC, DEC Alpha a Sun SPARC (samozřejmě, že i další, ale tyto verze mají největší podporu) a lze ho získat zdarma na Internetu, zakoupit téměř za cenu CD-ROM samostatně nebo spolu s knihou v cenových relacích od 180 Kč do 1000 Kč (v případě komerčních distribucí o něco více ). Pro účely firewallu plně vyhovuje 486-DX66 s 16 MB RAM, dvěma síťovými kartami a 500MB pevným diskem (pokud půjde o nepříliš zatížený počítač, který ještě k tomu bude připojen na jedné straně přes poměrně pomalu linku je dostatečné množství RAM i 8 MB a nebude-li používán k ničemu jinému, postačí pevný disk o pouhých 200 MB nebo i méně). Z konkrétních distribucí vyhoví kterákoliv nová nebo i starší, ale pak je třeba upgradovat jádro a některé další programy. Jste-li začátečníky lze doporučit distribuci RedHat jejíž instalační program v mnohém předčí instalaci některých komerčních OS o kterých se obecně soudí, že jejich instalace není obtížná.

Pokud jste již Linux nainstalovali nebo ho měli již nainstalován je třeba zajistit, aby jeho jádro vyhovovalo našim potřebám. Stačí ho pouze znovu přeložit ( musíte mít ovšem nainstalovány zdrojové kódy jádra ) s následujícími parametry:

Jak konfigurovat ?
Konfigurace může být stejně tak obtížná jako jednoduchá, pokud víte jak na to. Nejdříve je třeba si rozmyslet svou představu o tom jak by takový firewall měl vypadat. Jednou z možností je umožnit přístup lidem z vnitřní chráněné sítě přímo na firewall a zde jim vytvořit účty. To ovšem znamená jim důvěřovat a i jinak se nejedná o řešení, které by šlo doporučit. Právě naopak. Druhou možností je IP forwarding. Veškerý provoz z a do půjde přes firewall, který bude pracovat jako prostředník kontrolující dle zadaných pravidel zda data proudí tam kam je povoleno a naopak nemíří z nebo do míst (adres IP a portů), která jsou pravidly firewallu zakázána. K nastavení všech pravidel slouží nástroje, které lze získat na Internetu nebo jsou již samozřejmou součástí dnešních distribucí Linuxu. Nejdůležitější je ipfwadm, program, který umožňuje přímo nastavení tabulek obsahující pravidla v jádře.

Umožňuje vkládání nových pravidel, mazání vybraných starých nebo třeba všech nastavených pravidel. Jak tedy začít?
Zde je malý příklad:

ipfwadm -F -p deny
ipfwadm -F -f
ipfwadm -I -f
ipfwadm -O -f

Prvním příkazem jsme nastavili tzv. "default policy" a dalšími smazali všechna existující pravidla v jádře. V následujícím kroku si můžeme definovat vlastní pravidla a povolit některé služby:

# spojení na náš poštovní server z vnější sítě
ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D 192.1.2.10 25
# spojení z našeho poštovního serveru ven
ipfwadm -F -a accept -b -P tcp -S 196.1.2.10 25 -D 0.0.0.0/0 1024:65535
# spojení na náš Web Server
/sbin/ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D 196.1.2.11 80
# spojení na vnější Web Servery
/sbin/ipfwadm -F -a accept -b -P tcp -S 196.1.2.* 80 -D 0.0.0.0/0 1024:65535
# DNS provoz
/sbin/ipfwadm -F -a accept -b -P udp -S 0.0.0.0/0 53 -D 196.1.2.0/24

Pokud máte zájem o statistiku provozu takového firewallu, je třeba mít v jádře podporu pro IP accounting.

Stejně jako v předchozím případě je třeba vše nakonfigurovat a opět lze použít programu ipfwadm:

ipfwadm -A -f
/sbin/ipfwadm -A -f
/sbin/ipfwadm -A out -i -S 196.1.2.0/24 -D 0.0.0.0/0
/sbin/ipfwadm -A out -i -S 0.0.0.0/0 -D 196.1.2.0/24
/sbin/ipfwadm -A in -i -S 196.1.2.0/24 -D 0.0.0.0/0
/sbin/ipfwadm -A in -i -S 0.0.0.0/0 -D 196.1.2.0/24

Analogicky jako v obou příkladech si můžete definovat svá vlastní pravidla a vytvořit si takto jednoduchý firewall, který bude chránit vaši síť (nebo i jen jeden počítač) před vetřelci ze sítě jiné. Ostatní software, které ho bude doplňovat nebo rozšiřovat lze získat pro Linux na Internetu ve většině případů naprosto zdarma včetně dokumentace.

Vzhledem k tomu, že samotný Linux je zdarma může se jednat o kombinaci ne nelákavou.

Tabulka č. 1: Zdroje Internetu
http://www.linux.orgInformace o Linuxu, dokumentace, manuály
http://www.paru.cas.cz/~hubicka/skolicky/Texty a odkazy na české návody a manuály, které vám pomohou s konfigurací
http://www.redhat.comRedHat Linux
http://www.xos.nl/linux/ipfwadm/ipfwadm
http://www.tis.comTIS Firewall Toolkit

Konfigurace jádra Linuxu
Konfigurace jádra Linuxu

Na další stranuNávrat na titulní stranuVyhledávání informacíNa další stranu
Copyright Computer Press s.r.o. 1998
reprinted and translated with
the author's permission
Connect!
Říjen 1997 str.82