8.3. rc.DMZ.firewall.txt
8.3. rc.DMZ.firewall.txt
Сценарий rc.DMZ.firewall.txt был написан для тех, кто имеет доверительную локальную сеть, одну «Демилитаризированную Зону» и одно подключение к Internet. Для доступа к серверам Демилитаризированной Зоны, в данном случае, извне, используется NAT «один к одному», то есть, Вы должны заставить брандмауэр распознавать пакеты более чем для одного IP адреса.
Сценарий требует, чтобы следующие опции были скомпилированы либо статически, либо как модули. Без какой либо из них сценарий будет неработоспособен
CONFIG_NETFILTER
CONFIG_IP_NF_CONNTRACK
CONFIG_IP_NF_IPTABLES
CONFIG_IP_NF_MATCH_LIMIT
CONFIG_IP_NF_MATCH_STATE
CONFIG_IP_NF_FILTER
CONFIG_IP_NF_NAT
CONFIG_IP_NF_TARGET_LOG
Сценарий работает с двумя внутренними сетями, как это продемонстрировано на рисунке. Одна использует диапазон IP адресов 192.168.0.0/24 и является Доверительной Внутренней Сетью. Другая использует диапазон 192.168.1.0/24 и называется Демилитаризированной Зоной (DMZ), для которой мы будем выполнять преобразование адресов (NAT) «один к одному». Например, если кто-то из Интернет отправит пакет на наш DNS_IP, то мы выполним DNAT для передачи пакета на DNS в DMZ. Если бы DNAT не выполнялся, то DNS не смог бы получить запрос, поскольку он имеет адрес DMZ_DNS_IP, а не DNS_IP. Трансляция выполняется следующим правилом:
$IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $DNS_IP –dport 53 -j DNAT –to-destination $DMZ_DNS_IP
Для начала напомню, что DNAT может выполняться только в цепочке PREROUTING таблицы nat. Согласно этому правилу, пакет должен приходить по протоколу TCP на $INET_IFACE с адресатом IP, который соответствует нашему $DNS_IP, и направлен на порт 53. Если встречен такой пакет, то выполняется подмена адреса назначения, или DNAT. Действию DNAT передается адрес для подмены с помощью ключа –to-destination $DMZ_DNS_IP. Когда через брандмауэр возвращается пакет ответа, то сетевым кодом ядра адрес отправителя будет автоматически изменен с $DMZ_DNS_IP на $DNS_IP, другими словами обратная детрансляция адресов выполняется автоматически и не требует создания дополнительных правил.
Теперь вы уже должны понимать как работает DNAT, чтобы самостоятельно разобраться в тексте сценария без каких либо проблем. Если что-то для вас осталось не ясным и это не было рассмотрено в данном документе, то вы можете сообщить мне об этом – вероятно это моя ошибка.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
4.10.3. Firewall — не панацея
4.10.3. Firewall — не панацея Установив Firewall, вы не получаете максимальной защиты, потому что существует множество вариантов обхода не только конкретных реализаций, а любого сетевого экрана.Firewall — это всего лишь замок на двери парадного входа. Злоумышленник никогда не
4.10.4. Firewall как панацея
4.10.4. Firewall как панацея Может сложиться впечатление, что Firewall — это пустое развлечение и трата денег. Это не так. Если он хорошо настроен, постоянно контролируется, а в системе используются защищенные пароли, то сетевой экран может предотвратить большинство проблем.Хороший
4.10.5. Конфигурирование Firewall
4.10.5. Конфигурирование Firewall Самый простой способ настроить сетевой экран — использовать графическую утилиту. Для этого загрузитесь в графическую оболочку и выберите из главного меню KDE строку SystemFirewall Configuration. Перед вами откроется окно из двух вкладок: Rules и Options.Первым
Глава 29 Firewall
Глава 29 Firewall Эта глава посвящена одному из аспектов сетевой безопасности, а конкретно – защите сети от вторжения извне и изнутри. Для защиты локальной сети используется комплекс программного обеспечения, в литературе известный как firewall (брандмауэр), или межсетевой
7.1. Пример rc.firewall
7.1. Пример rc.firewall Итак, все готово для разбора файла примера rc.firewall.txt (сценарий включен в состав данного документа в приложении Примеры сценариев). Он достаточно велик, но только из-за большого количества комментариев. Сейчас я предлагаю вам просмотреть этот файл, чтобы
8.3. rc.DMZ.firewall.txt
8.3. rc.DMZ.firewall.txt Сценарий rc.DMZ.firewall.txt был написан для тех, кто имеет доверительную локальную сеть, одну «Демилитаризированную Зону» и одно подключение к Internet. Для доступа к серверам Демилитаризированной Зоны, в данном случае, извне, используется NAT «один к одному», то есть,
8.4. rc.DHCP.firewall.txt
8.4. rc.DHCP.firewall.txt Сценарий The rc.DHCP.firewall.txt очень похож на оригинал rc.firewall.txt. Однако, этот сценарий больше не использует переменную STATIC_IP, это и является основным отличием от оригинала rc.firewall.txt. Причина в том, что rc.firewall.txt не будет работать в случае динамического IP адреса.
Firewall.cpl
Firewall.cpl Апплет служит для настройки встроенного брандмауэра Windows (работает ли брандмауэр, за работой в сети каких программ он не следит). Окно этого апплета можно вызвать с помощью команды rundll32 firewall.cpl, ShowControlPanel.Кроме вызова окна настройки брандмауэра Windows, файл firewall.cpl
Outpost Firewall Pro
Outpost Firewall Pro Основные характеристики:• официальный сайт программы – http://www.agnitum.ru/;• размер дистрибутива – около 23 Мбайт;• условия использования – условно бесплатно, стоимость технической поддержки и обновлений на одном компьютере на один год – 699 российских рублей;•
McAfee Firewall
McAfee Firewall Основные характеристики:• официальный сайт программы – http://www.mcafee.сom/;• размер дистрибутива – около 15 Мбайт;• условия использования – условно бесплатно;• язык интерфейса – многоязычный, есть русский.Компания McAfee больше известна своим антивирусным пакетом, но
AGAVA Firewall
AGAVA Firewall Производитель: AGAVA Software (http://www.agfirewall.ru/).Статус: бесплатная.Страница для скачивания: http://www.agfirewall.ru/download.shtml.Размер: 5,2 Мбайт.AGAVA Firewall не только следит за трафиком, но и выполняет некоторые дополнительные функции. Для удобства слежения за сетевой активностью программа
Prisma Firewall
Prisma Firewall Производитель: ICode&Ideas (www.prismafirewall.com).Статус: бесплатная.Размер дистрибутива: 3 Мбайт.Этот брандмауэр появился совсем недавно, однако уже успел зарекомендовать себя как отличное средство для обеспечения безопасности компьютера. Для этого в программе
Outpost Firewall
Outpost Firewall Производитель: Agnitum (http://www.agnitum.ru/).Статус: коммерческая.Страница для скачивания: http://www.agnitum.ru/products/outpost/download.php.Размер дистрибутива: 15 Мбайт.Outpost Firewall является одним из лучших брандмауэров. Он достаточно надежно защищает компьютер от атак и проникновения