7.5. Брандмауэр в Fedora. Общий доступ к Интернету

7.5. Брандмауэр в Fedora. Общий доступ к Интернету

7.5.1. Что такое брандмауэр

Основная задача брандмауэра (другие названия - межсетевой экран, бастион, firewall) - фильтрация пакетов. Брандмауэр просматривает заголовки всех пакетов, которые передаются по сетевым интерфейсам вашего компьютера, и выполняет действия над этими пакетами к соответствии c установленными для него правилами.

Брандмауэр может использоваться как для защиты едкого компьютера, например, домашнего компьютера, подключаемого к Интернету, так и для защиты всей сети, В случае с сетью брандмауэр устанавливается на шлюзе - компьютере, через который остальным компьютерам в сети предоставляется доступ к Интернету,

Настройка брандмауэра для зашиты одного компьютера очень проста. По умолчанию брандмауэр запрещает доступ к вашему компьютеру всем пользователям Интернета. Для настройки брандмауэра вам нужно лишь указать, каким службам можно будет обращаться к вашему компьютеру. Например, если вы хотите получить удаленный доступ к консоли своего компьютера, необходимо разрешить службу SSH (Secure Shell), После этого вы сможете подключиться к консоли своего компьютера с другого компьютера (из любой точки земного шара) с помощью следующей команды: ssh имя_вашего_компьютера

Понятно, что в момент удаленного подключения наш компьютер должен быть включен, загружен и подключен к Интернету.

Настройка брандмауэра на шлюзе чуть сложнее. Предположим, у нас есть небольшая сеть (пусть это будет домашняя сеть) из нескольких компьютеров. Лишь один компьютер в этой сети непосредственно подключен к Интернету (далее мы будем называть его шлюзом), но мы хотим, чтобы все компьютеры в сети тоже могли работать в Интернете.

На компьютере-шлюзе должно быть как минимум два сетевых интерфейса. Один интерфейс (внешний) будет использоваться для выхода в Интернет, а второй (внутренний) - для связи с компьютерами локальной сети.

Сетевые интерфейсы могут быть разными, например, сетевая плата (для связи с сетью) и модем (для связи с Интернетом). Если у вас ADSL-модем, тогда вам придется купить еще одну сетевую плату. К одной сетевой плате (интерфейс eth0) вы подключите ADSL-модем, а вторая (интерфейс eth1) будет использоваться для подключения к локальной сети.

В локальной сети используются так называемые локальные адреса вроде 10.*.*.* или 192. 168.*.*. Такие адреса не пропустит ни один шлюз Интернета, поэтому наш шлюз должен выполнять преобразование адресов. Сейчас поясню, что это такое. Предположим, что компьютер внутренней сети с IP-адресом 192.168.1.2 пытается получить доступ к узлу www.mail.ru. Он посылает запрос (который получит наш шлюз) вида: "Отправитель: 192.1б8.1.2, получатель: 194.67.57.226 (это IР-адрес сайта www.mail.ru)".

Шлюз получает этот запрос и перезаписывает его так: "Отправитель: 193.254.219.230, получатель: 194.67.57.226". Как вы уже догадались, 193.254.219.230 - это (IР-адрес самого шлюза в Интернете. Данный адрес является реальным (не локальным), поэтому запрос от такого адреса пройдет по глобальной сети нормально.

Шлюз, получив ответ от узла 194.67.57.236 вида "Отправитель: 134.67.57.226, получатель 193.254.219.230", перезаписывает его так: "Отправитель: 194.67.57.226, получатель 192.168.1.2". Сайт 194.67.57.226 ничего не заподозрит - он будет считать, что "общается" с узлом 193.254.219.330, а узел 192.168.1.2 будет полагать, что получил ответ непосредственно от www.mail.ru.

Как видите, все достаточно просто. Данная процедура называется NAT (Network Address Translation) - преобразование сетевых адресов. Теперь, когда теория изучена, можно приступать к практике.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг:

6.2.4. Общий доступ

Из книги автора

6.2.4. Общий доступ Чаще всего, на сервере необходима директория, через которую любой пользователь сможет обмениваться файлами с другими участниками сети. Для настройки такой папки используется секция [tmp]:;[tmp]; comment = Temporary file space; path = /tmp; read only = no; public = yesПо умолчанию секция


Как предоставить любую программу на общий доступ

Из книги автора

Как предоставить любую программу на общий доступ С помощью Windows Messenger можно предоставить любую программу в общий доступ. Зачем это нужно, когда мы можем предоставить сразу весь компьютер в общее управление, не совсем понятно, однако такая возможность все же есть.Делается


7.5.3. Программа Firestarter: общий доступ к Интернету

Из книги автора

7.5.3. Программа Firestarter: общий доступ к Интернету С немощью Firestarter вы можете настроить общий доступ к Интернету всего за пару щелчков мыши. Данная программа намного удобнее стандартного конфигуратора system-config-firewall.Сначала установим саму утилиту firestarter.# yum install firestarterПосле


Брандмауэр Windows/Общий доступ к Интернету (ICS)

Из книги автора

Брандмауэр Windows/Общий доступ к Интернету (ICS) Служба управляет стандартным брандмауэром Windows, а также возможностью общего доступа к Интернету (ICS). Стандартный брандмауэр Windows предоставляет минимальные функции обеспечения безопасности подключения к Интернету (он следит


3.3.4. I2P и брандмауэр

Из книги автора

3.3.4. I2P и брандмауэр Когда вы запускаете I2P на локальном компьютере, проблем с настройкой брандмауэра, как правило, не возникает, – это если брандмауэр способен обучаться – обучающий режим имеется во многих программных продуктах (Comodo Internet Security, Outpost Firewall Pro и др.). Совсем


§ 166. Воздух общий

Из книги автора

§ 166. Воздух общий 30 сентября 2010В школе любили помахать руками прямо перед лицом одноклассника со словами «Воздух общий!». Любой воспринимал подобное обращение как унизительное, хотя формально к нему никто не прикасался и не оскорблял.Раздражение и неприязнь вызывает


Общий вид программы

Из книги автора

Общий вид программы Раздел Interface (Интерфейс) (рис. 7.2) позволяет определить общий вид программы InDesign. Рис. 7.2. Настройки раздела Interface (Интерфейс)Раскрывающийся список Floating Tools Palette (Плавающая панель инструментов) позволяет выбрать один из трех режимов отображения панели:


1.2. Процессы, потоки и общий доступ к информации

Из книги автора

1.2. Процессы, потоки и общий доступ к информации В традиционной модели программирования Unix в системе могут одновременно выполняться несколько процессов, каждому из которых выделяется собственное адресное пространство. Это иллюстрирует рис. 1.1.  Рис. 1.1. Совместное


Общий вид интерфейса

Из книги автора

Общий вид интерфейса Первого же взгляда на программу Adobe Photoshop (рис. 6.1) достаточно, чтобы увидеть знакомые элементы управления: кнопки управления окном, строку меню, полосы прокрутки у отдельных окон. В то же время есть и полностью незнакомые элементы. Мы рассмотрим их


Брандмауэр

Из книги автора

Брандмауэр Брандмауэр (Firewall, файрволл) — программа, назначение которой состоит в том, чтобы защищать ваш компьютер от вредоносных программ. Это некий экран, располагающийся между вашим компьютером и сетью Интернет. Его задача — предотвращать проникновение на ваш


Общий доступ к файлам в Windows 7 и ХР

Из книги автора

Общий доступ к файлам в Windows 7 и ХР Общий доступ к папкам между двумя компьютерами под управлением Windows 7 с новой функцией Home Group — простейший процесс, но HomeGroup несовместима с Vista и XP. При написании этой инструкции мы использовали Windows 7 x64 RC1 и XP Professional SP3, соединенные через


Брандмауэр

Из книги автора

Брандмауэр Брандмауэр служит для защиты компьютера от несанкционированного доступа через локальную сеть или Интернет. По умолчанию брандмауэр включен; если его отключить, система безопасности Windows Vista выдаст предупреждение (см. рис. 8.7). Если компьютер подключен к


Общий репозиторий

Из книги автора

Общий репозиторий Общий репозиторий обеспечивает прием сертификатов и списков САС от доменов нескольких PKI. Хранение и управление данными в нем осуществляется таким образом, чтобы домены других PKI могли использовать эту информацию. Общий репозиторий может быть