14.1. Применение IPChains

14.1. Применение IPChains

Для начала небольшое вступление. Читатель, скорее всего, знает, что весь трафик в сети состоит из пакетов. Каждый пакет состоит из двух частей: заголовка и тела. В заголовке пакета находится информация об источнике, адресате, типе пакета, а также прочая информация, которая характерна для пакетов определенных типов. В теле пакета передается та информация, которую мы хотим передать. Более подробно об этом было сказано в гл. 1 данной книги.

Протокол TCP, в отличие от UDP, перед началом передачи данных требует установки соединения. Перед установкой соединения производится обмен специальными пакетами, а после этого передаются обычные пакеты, содержащие данные.

Бастион (firewall, брандмауэр) — это системный компонент (фильтр), обеспечивающий защиту сети от несанкционированного доступа. IPChains представляет собой пакетный фильтр. Пакетный фильтр просматривает заголовок каждого пакета, который проходит через него, а потом решает, что делать со всем пакетом. Фильтрация пакетов встроена в ядро ОС Linux.

Обычно IPChains используется на шлюзах, соединяющих две сети, например, локальную и Интернет. При этом вы имеете право разрешить передавать или принимать какие-либо пакеты. Это позволяет обеспечить должный уровень безопасности и экономии.

С помощью IPChains можно ограничить свою хорошо организованную сеть от хаоса Интернет. Применение IPChains может решить такие виды атак, как пинг смерти, атака на отказ, IP-спуфинг, фрагментация пакетов. В этой главе будут описаны способы защиты от перечисленных атак на ваш сервер, а также будут приведены рекомендации по выявлению источника атак.

Для поддержки IPChains вам необходимо перекомпилировать ядро. О том, как это сделать рассказано в гл. 18. При этом вам нужно включить опции ядра IP:firewalling и IP:firewall packet. Я также рекомендую включить опции IP: masquerading и IP: always defragment. Скорее всего, они также вам понадобятся. Также вам следует включить IP-Forwarding (если вы еще это не сделали) командой:

echo "1" > /proc/sys/net/ipv4/ip_forward

Если же вам нужна поддержка динамических IP-адресов (например, для DHCP — см. гл. 8), включите ее с помощью команды:

echo "1" > /proc/sys/net/ipv4/ip_dynaddr

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

Применение модификаторов

Из книги 3ds Max 2008 для дизайна интерьеров автора Семак Рита

Применение модификаторов Модификатор – это действие, которое применяется к объекту, чтобы деформировать его или изменить его свойства. При работе с объектами важным элементом является стек модификаторов (Modifier Stack), который находится на вкладке Modify (Редактирование)


14.2. Настройка IPChains

Из книги Linux-сервер своими руками автора Колисниченко Денис Николаевич

14.2. Настройка IPChains Настройку IPChains лучше всего рассматривать на практических примерах. Но прежде, чем это сделать попробуем разобраться, как ядро фильтрует пакеты.Ядро стартует с тремя списками правил: input, forward, output. Эти правила называются firewall-цепочками или просто


17.1.3. Конфигурирование IpChains

Из книги Основы объектно-ориентированного программирования автора Мейер Бертран

17.1.3. Конфигурирование IpChains Теперь приступим к настройке IPChains. Создайте цепочку, через которую пойдет весь трафик от провайдера: ipchains –N provipchains –A input –i eth0 –j prov Запретите ip-spoofing:ipchains –A prov –s 192.168.1.1/16 –1 –j DENY ipchains –A prov –s 127.0.0.1/8 –1 –j DENY Запретите Telnet снаружи: ipchains –A prov –p tcp


Применение

Из книги TCP/IP Архитектура, протоколы, реализация (включая IP версии 6 и IP Security) автора Фейт Сидни М

Применение Характерным примером является создание нескольких вариантов одной абстракции.Представим себе GENERAL_ACCOUNT - класс, содержащий все необходимые операции для работы с банковскими счетами: процедуры open, withdraw, deposit, code (для снятия денег через банкомат), change_code и т.д.,- но


13.10 Применение telnet

Из книги XSLT автора Хольцнер Стивен

13.10 Применение telnet С точки зрения пользователей, желающих получить доступ к приложениям через эмуляцию терминалов ASCII или IBM, наиболее важным является способность telnet выполнять согласование и эмуляцию. Но разработчикам прикладного программного обеспечения основанный


18.2 Применение Gopher

Из книги Linux: Полное руководство автора Колисниченко Денис Николаевич

18.2 Применение Gopher Лучший способ знакомства с gopher — применение этой службы на практике. Если пользователь зарегистрировался на многопользовательском хосте и может применять текстовый пользовательский интерфейс, то для запуска локального клиента gopher достаточно ввести


Применение оси descendant-or-self

Из книги Язык Си - руководство для начинающих автора Прата Стивен

Применение оси descendant-or-self Ось descendant-or-self содержит всех потомков контекстного узла и сам контекстный узел. Заметьте, однако, что она не содержит атрибутов и узлов пространств имен.В следующем примере (листинг 7.7) демонстрируется работа с осью. В этом случае я создал


Применение оси following

Из книги Linux глазами хакера автора Флёнов Михаил Евгеньевич

Применение оси following Ось following (следующий) содержит все узлы, расположенные после контекстного узла в соответствии с установленным в документе порядком (другими словами, в порядке, в котором они появляются в документе, начиная с его начала), исключая всех потомков


Применение оси self

Из книги Linux и UNIX: программирование в shell. Руководство разработчика. автора Тейнсли Дэвид

Применение оси self Ось self содержит только контекстный узел. В соответствии с одним из сокращений XPath, как мы увидим дальше, вместо «self::node()» можно использовать «.».Эту ось полезно иметь в виду, поскольку, как вы помните из главы 4, если не задать ось, осью по умолчанию будет


19.6.1. Что изменилось в IPTables по сравнению с IPChains

Из книги Linux Mint и его Cinnamon. Очерки применителя автора Федорчук Алексей Викторович

19.6.1. Что изменилось в IPTables по сравнению с IPChains ? Имена стандартных цепочек INPUT, OUTPUT и FORWARD теперь пишутся в верхнем регистре. Имена пользовательских цепочек по соглашению пишутся строчными буквами и могут иметь длину до 31 символа.? Действие «отклонить пакет» теперь


ПРИМЕНЕНИЕ

Из книги автора

ПРИМЕНЕНИЕ Основная причина использования типа enum заключается в улучшении читаемости программ. Если вы имеете дело с некоторым видом цветовых кодов, то использование red и blue что обычно типы enum предназначены для использования внутри программы, а не для ввода-вывода.


4.11. ipchains

Из книги автора

4.11. ipchains Наиболее распространенной программой для создания правил сетевого экрана является ipchains. В команде вызова можно указывать следующие параметры:? -A цепочка правило — добавить правило в конец цепочки. В качестве аргумента указывается имя цепочки input, output или


4.11.2. Примеры добавления ipchains-правил

Из книги автора

4.11.2. Примеры добавления ipchains-правил Давайте теперь указывать права, чтобы разрешить какой-либо доступ к серверу. Только вы должны учитывать, что если добавлять правило в конец набора, то нет гарантии, что оно будет работать верно. В цепочке уже может быть запрет, поэтому


4.11.3. Примеры удаления ipchains-правил

Из книги автора

4.11.3. Примеры удаления ipchains-правил Попробуем отменить доступ к FTP на примере удаления записей из цепочки input. Я специально выбрал в качестве образца FTP-сервис, потому что он требует две строки описания, и при совершении операции нужно быть очень внимательным. На вскидку


18.3.22. Применение elif

Из книги автора

18.3.22. Применение elif Часть elif оператора if then else применяется для проверки при наличии более чем двух