Опции сетевой фильтрации
Опции сетевой фильтрации
Опции сетевой фильтрации блокируют или преобразуют пакеты, поступающие на компьютер или покидающие его. Данные опции используются при создании брандмауэров и выполнении IP-маскировки (подробно эти вопросы будут обсуждаться в главе 25). Брандмауэры блокируют нежелательные обращения к компьютеру или сети, а IP-маскировка позволяет организовать работу в Internet пользователей всей локальной сети при наличии одного IP-адреса. Опции ядра системы, предназначенные для фильтрации, перечислены ниже.
• Socket Filtering. В обычных условиях ядро направляет все пакеты, полученные через некоторое гнездо, программе, которая создала это гнездо. Опция Socket Filtering позволяет указать ядру на то, что принятые пакеты должны быть сначала переданы небольшой программе (которая называется фильтром). Эта программа способна блокировать некоторые из пакетов. Как правило, программы могут работать без данной опции. Исключение составляют последние варианты серверов DHCP и клиентов DHCP. Если в вашей сети используются средства DHCP (Dynamic Host Configuration Protocol — протокол динамической конфигурации узла), данная опция должна быть установлена.
• Network Packet Filtering. Данная опция является наиболее важным средством фильтрации, так как именно она делает возможной работу брандмауэра и IP-маскировку. Обычно опция Network Packet Filtering устанавливается; при этом становится доступной опция Network Packet Filtering Debugging, которую можно использовать для решения возникающих проблем. Кроме того, становится также доступным подменю IP: Netfilter Configuration. В этом подменю отображаются описанные ниже опции.
• Connection Tracking. Эта опция обеспечивает более высокую степень контроля над сетевыми соединениями, чем это возможно в обычных условиях. Как правило, маршрутизаторы ограничиваются пересылкой информационных пакетов между сетевыми интерфейсами. Если опция Connection Tracking активна, система запоминает IP-адрес источника, IP-адрес назначения и порты для дальнейшего использования. Эта возможность необходима для реализации IP-маскировки. В других случаях опцию Connection Tracking можно отключить. Если данная опция установлена, доступны опции поддержки FTP, что позволяет обеспечить работу данного протокола при наличии IP-маскировки.
• IP Tables Support. Данная опция включает поддержку ядром утилиты iptables, используемой для реализации брандмауэров и осуществления IP-маскировки (эти вопросы будут подробно обсуждаться в главе 25). При установленной опции IP Tables Support становятся доступны подопции, позволяющие настроить средства поддержки iptables для выполнения конкретных задач. Многие из этих подопции задают соответствие ядра определенному типу, и их имена имеют вид Тип Match Support. Из них очень важна опция Connection State Match Support, которая позволяет осуществлять проверку пакетов с учетом состояния (stateful packet inspection). Эта операция применяется в брандмауэрах и подробно рассматривается в главе 25. Также важны опции Packet Filtering, Full NAT и LOG Target Support и их подопции. Установив данные опции, вы можете использовать ваш компьютер как брандмауэр или осуществлять IP-маскировку. Для независимой рабочей станции или сервера опцию Full NAT можно не указывать.
• ipchains (2.2-Style) Support. В некоторых случаях бывает необходимо обеспечить работу сценариев брандмауэра, ориентированных на использование утилиты ipchains (эта утилита применялась при работе с версиями ядра 2.2.x). Поддержку ipchains можно включить в том случае, если средства IP Tables Support не были скомпилированы непосредственно в ядро системы. (Средства iptables и ipchains выполняют приблизительно одинаковые действия, но они не совместимы друг с другом.) Если вы создаете брандмауэр с нуля, можете смело отключить поддержку ipchains.
• ipfwadm (2.0-Style) Support. При работе с версиями 2.0.x ядра для создания брандмауэров использовалось инструментальное средство ipfwadm. Чтобы использовать сценарии брандмауэра, ориентированные на ipfwadm, надо установить данную опцию. Следует помнить, что средства поддержки ipfwadm не совместимы ни с iptables, ни с ipchains. Если вы не используете ipfwadm-сценарии, либо твердо решили преобразовать их для работы с iptables, можете отказаться от установки данной опции.
По мере перехода от версий 2.0.x к версиям 2.4.x ядра Linux средства поддержки фильтрации пакетов становились все сложнее. В ядре 2.4.x предусмотрены многие дополнительные возможности; создавая брандмауэр, важно активизировать те опции, которые необходимы для решения конкретной задачи. Если вы сомневаетесь, нужна ли та или иная опция из меню IP: Netfilter Configuration, рекомендую вам установить ее. В этом случае объем ядра несколько возрастет, но вы получите возможность использовать различные правила брандмауэра.
Внимание
Вам может показаться, что использовать правила брандмауэра на машине под управлением Linux не обязательно, особенно если она находится в сети, которая защищена выделенным брандмауэром. К сожалению, в системе защиты многих сетей есть недостатки, поэтому дополнительные меры предосторожности не помешают. Возможно, вам потребуется установить на своем компьютере дополнительный простой брандмауэр.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
Сетевой этикет
Сетевой этикет Чтобы чувствовать себя комфортно в любом обществе, не вызывать удивления и негодования старожилов и понимать слова и поступки других людей, необходимо знать как минимум две вещи: язык, на котором здесь общаются, и принятые правила поведения (это применимо
Сетевой маркетинг
Сетевой маркетинг В Интернете предложения заработать деньги с помощью механизмов сетевого маркетинга (Multi-Level Marketing, MLM) встречаются на каждом углу.Теоретически все выглядит просто шикарно, однако на практике работает с чудовищным скрипом, стуком и пробуксовкой. Причем
4.10. Сетевой экран
4.10. Сетевой экран Мы достаточно подробно рассмотрели управление доступом к файлам, но на этом распределение прав не закапчивается. Сейчас уже невозможно работать без соединения с локальной сетью или Интернетом, поэтому, прежде чем наш сервер начнет функционировать, нам
4.10.2. Параметры фильтрации
4.10.2. Параметры фильтрации Основными параметрами пакета, по которым производится фильтрация, являются номер порта источника или приемника, адрес отправителя или назначения и протокол. Как мы уже знаем, сетевым экраном поддерживаются три базовых протокола (TCP, UDP и ICMP), на
Сетевой адаптер
Сетевой адаптер Чтобы пользователь мог подключить свой компьютер к локальной сети, в его компьютере должно быть установлено специальное устройство – сетевой контроллер.Сетевой адаптер выполняет множество заданий, самые главные из которых – кодирование/ декодирование
Сетевой этикет
Сетевой этикет Интернет обладает гигантскими возможностями для переписки и других видов удаленного общения. Однако необходимо иметь в виду, что общение посредством текстовых сообщений, в отличие от живого, имеет одну неприятную особенность. При обычном разговоре
Сетевой этикет
Сетевой этикет Чтобы чувствовать себя комфортно в любом обществе, не вызывать удивления и негодования старожилов и понимать слова и поступки других людей, необходимо знать как минимум две вещи: язык, на котором здесь общаются, и принятые правила поведения (это применимо
3.2.3 Сетевой уровень
3.2.3 Сетевой уровень Функции сетевого уровня (network layer) выполняет протокол IP, который осуществляет, маршрутизацию данных между системами. Данные могут следовать по одному пути или использовать несколько различных путей при перемещении в интернете. Данные пересылаются в
13.4.1 Сетевой виртуальный терминал
13.4.1 Сетевой виртуальный терминал Для работы во время сеанса обе стороны предварительно обмениваются информацией по очень простому протоколу сетевого виртуального терминала (Network Virtual Terminal — NVT).Протокол NVT моделирует работу уже устаревшей полудуплексной клавиатуры и
19.6.5. Правила фильтрации
19.6.5. Правила фильтрации Задание правил фильтрации IPTables похоже на задание правил в IPChains. Для создания правила используется опция --append (или -А). После этой опции указывается имя цепочки и критерий выбора пакетов в этой цепочке. Затем указывается опция --jump (или -j), значением
Принципы фильтрации
Принципы фильтрации Борьба со спамом – хуже самого спама. Поговорка системных администраторов Спам стал все более досаждать пользователям и администраторам, которые отвечают за лишний трафик, и программные решения и применяемые технологии, предназначенные для борьбы
9.4. Программы контентной фильтрации
9.4. Программы контентной фильтрации Рассмотрим некоторые программы, позволяющие создать безопасную интернет-среду и защитить ребенка от информации, к которой он не
Сетевой протокол
Сетевой протокол Предполагается, что вы будете использовать рекомендованный протокол TCP/IP для вашей сети клиент-сервер, чтобы получить все преимущества независимой от платформы сети.! ! !СОВЕТ. Чтобы получить информацию об использовании протокола NetBEUI (Named Pipes, Именованные
Метод фильтрации Where
Метод фильтрации Where Описание методовМетоды приведены для последовательности sequence of T. function Where(predicate: T->boolean): sequence of T; Выполняет фильтрацию последовательности значений на основе заданного предиката. Возвращает подпоследовательность значений исходной
Сетевой адаптер
Сетевой адаптер Адаптер для подключения к локальной сети присутствует в любом ноутбуке. В большинстве случаев это Ethernet 10/100, но сегодня появляются портативные компьютеры, оснащенные Ethernet-картами, поддерживающими скорость соединения 1 Гбит/с. Значимых для пользователя
Сетевой роман
Сетевой роман mindw0rkОпубликовано: dl, 07.11.06 00:12Вы наверняка читали заметки журналистов о том, что любовь по сети – искусственна по своей природе, что настоящие чувства можно испытать только когда смотришь предмету своего обожания в глаза. Может, господа журналисты в чем-то и