14.1. Применение IPChains
14.1. Применение IPChains
Для начала небольшое вступление. Читатель, скорее всего, знает, что весь трафик в сети состоит из пакетов. Каждый пакет состоит из двух частей: заголовка и тела. В заголовке пакета находится информация об источнике, адресате, типе пакета, а также прочая информация, которая характерна для пакетов определенных типов. В теле пакета передается та информация, которую мы хотим передать. Более подробно об этом было сказано в гл. 1 данной книги.
Протокол TCP, в отличие от UDP, перед началом передачи данных требует установки соединения. Перед установкой соединения производится обмен специальными пакетами, а после этого передаются обычные пакеты, содержащие данные.
Бастион (firewall, брандмауэр) — это системный компонент (фильтр), обеспечивающий защиту сети от несанкционированного доступа. IPChains представляет собой пакетный фильтр. Пакетный фильтр просматривает заголовок каждого пакета, который проходит через него, а потом решает, что делать со всем пакетом. Фильтрация пакетов встроена в ядро ОС Linux.
Обычно IPChains используется на шлюзах, соединяющих две сети, например, локальную и Интернет. При этом вы имеете право разрешить передавать или принимать какие-либо пакеты. Это позволяет обеспечить должный уровень безопасности и экономии.
С помощью IPChains можно ограничить свою хорошо организованную сеть от хаоса Интернет. Применение IPChains может решить такие виды атак, как пинг смерти, атака на отказ, IP-спуфинг, фрагментация пакетов. В этой главе будут описаны способы защиты от перечисленных атак на ваш сервер, а также будут приведены рекомендации по выявлению источника атак.
Для поддержки IPChains вам необходимо перекомпилировать ядро. О том, как это сделать рассказано в гл. 18. При этом вам нужно включить опции ядра IP:firewalling и IP:firewall packet. Я также рекомендую включить опции IP: masquerading и IP: always defragment. Скорее всего, они также вам понадобятся. Также вам следует включить IP-Forwarding (если вы еще это не сделали) командой:
echo "1" > /proc/sys/net/ipv4/ip_forward
Если же вам нужна поддержка динамических IP-адресов (например, для DHCP — см. гл. 8), включите ее с помощью команды:
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
Применение оси descendant-or-self
Применение оси descendant-or-self Ось descendant-or-self содержит всех потомков контекстного узла и сам контекстный узел. Заметьте, однако, что она не содержит атрибутов и узлов пространств имен.В следующем примере (листинг 7.7) демонстрируется работа с осью. В этом случае я создал
Применение оси following
Применение оси following Ось following (следующий) содержит все узлы, расположенные после контекстного узла в соответствии с установленным в документе порядком (другими словами, в порядке, в котором они появляются в документе, начиная с его начала), исключая всех потомков
Применение оси self
Применение оси self Ось self содержит только контекстный узел. В соответствии с одним из сокращений XPath, как мы увидим дальше, вместо «self::node()» можно использовать «.».Эту ось полезно иметь в виду, поскольку, как вы помните из главы 4, если не задать ось, осью по умолчанию будет
4.11. ipchains
4.11. ipchains Наиболее распространенной программой для создания правил сетевого экрана является ipchains. В команде вызова можно указывать следующие параметры:? -A цепочка правило — добавить правило в конец цепочки. В качестве аргумента указывается имя цепочки input, output или
4.11.2. Примеры добавления ipchains-правил
4.11.2. Примеры добавления ipchains-правил Давайте теперь указывать права, чтобы разрешить какой-либо доступ к серверу. Только вы должны учитывать, что если добавлять правило в конец набора, то нет гарантии, что оно будет работать верно. В цепочке уже может быть запрет, поэтому
4.11.3. Примеры удаления ipchains-правил
4.11.3. Примеры удаления ipchains-правил Попробуем отменить доступ к FTP на примере удаления записей из цепочки input. Я специально выбрал в качестве образца FTP-сервис, потому что он требует две строки описания, и при совершении операции нужно быть очень внимательным. На вскидку
14.2. Настройка IPChains
14.2. Настройка IPChains Настройку IPChains лучше всего рассматривать на практических примерах. Но прежде, чем это сделать попробуем разобраться, как ядро фильтрует пакеты.Ядро стартует с тремя списками правил: input, forward, output. Эти правила называются firewall-цепочками или просто
17.1.3. Конфигурирование IpChains
17.1.3. Конфигурирование IpChains Теперь приступим к настройке IPChains. Создайте цепочку, через которую пойдет весь трафик от провайдера: ipchains –N provipchains –A input –i eth0 –j prov Запретите ip-spoofing:ipchains –A prov –s 192.168.1.1/16 –1 –j DENY ipchains –A prov –s 127.0.0.1/8 –1 –j DENY Запретите Telnet снаружи: ipchains –A prov –p tcp
13.10 Применение telnet
13.10 Применение telnet С точки зрения пользователей, желающих получить доступ к приложениям через эмуляцию терминалов ASCII или IBM, наиболее важным является способность telnet выполнять согласование и эмуляцию. Но разработчикам прикладного программного обеспечения основанный
18.2 Применение Gopher
18.2 Применение Gopher Лучший способ знакомства с gopher — применение этой службы на практике. Если пользователь зарегистрировался на многопользовательском хосте и может применять текстовый пользовательский интерфейс, то для запуска локального клиента gopher достаточно ввести
19.6.1. Что изменилось в IPTables по сравнению с IPChains
19.6.1. Что изменилось в IPTables по сравнению с IPChains ? Имена стандартных цепочек INPUT, OUTPUT и FORWARD теперь пишутся в верхнем регистре. Имена пользовательских цепочек по соглашению пишутся строчными буквами и могут иметь длину до 31 символа.? Действие «отклонить пакет» теперь
Применение модификаторов
Применение модификаторов Модификатор – это действие, которое применяется к объекту, чтобы деформировать его или изменить его свойства. При работе с объектами важным элементом является стек модификаторов (Modifier Stack), который находится на вкладке Modify (Редактирование)
ПРИМЕНЕНИЕ
ПРИМЕНЕНИЕ Основная причина использования типа enum заключается в улучшении читаемости программ. Если вы имеете дело с некоторым видом цветовых кодов, то использование red и blue что обычно типы enum предназначены для использования внутри программы, а не для ввода-вывода.
18.3.22. Применение elif
18.3.22. Применение elif Часть elif оператора if then else применяется для проверки при наличии более чем двух
Применение
Применение Характерным примером является создание нескольких вариантов одной абстракции.Представим себе GENERAL_ACCOUNT - класс, содержащий все необходимые операции для работы с банковскими счетами: процедуры open, withdraw, deposit, code (для снятия денег через банкомат), change_code и т.д.,- но