Що таке брандмауер
У цій книзі описані принципи дії та область застосування багатьох серверів, що виконуються в системі Linux. Тут розглядаються DHCP-сервер, сервери Samba і NFS, сервери друку, NTP-сервер, засоби віддаленої реєстрації та система X Window. He забуті і засоби, які традиційно використовуються для забезпечення роботи Internet-служб: сервери DNS, SMTP, HTTP і FTP. Велику увагу приділено питанням безпеки мережі. У даній книзі знайшли відображення також засоби віддаленого адміністрування - інструменти Linuxconf, Webmin і SWAT.
Дана книга безсумнівно буде корисною як початківцям, так і досвідченим системним адміністраторам.
Мережеві засоби Linux
З'явилася прекрасна книга по Linux, залишилося скористатися нею. Не пропустіть свій шанс.
Олександр Стенцін, Help Net Security,
Якщо ви прагнете повною мірою використовувати мережеві можливості Linux - ця книга для вас. Я настійно рекомендую прочитати її.
Роджер Бертон, West, DiverseBooks.com
Книга: Мережеві засоби Linux
Що таке брандмауер
Що таке брандмауер
В даному розділі розглядаються брандмауери, що виконують фільтрацію пакетів. Вони діють на нижньому рівні стека протоколів TCP / IP, контролюють дані, що містяться в заголовках окремих пакетів, і навіть перевіряють, чи коректно здійснюються транзакції. Часто брандмауери реалізуються на комп'ютерах, що виконують роль маршрутизаторів, але вони також можуть бути встановлені на робочих станціях і серверах. Якщо брандмауер розташований на окремому комп'ютері, він захищає лише ресурси цієї машини і не впливає на роботу інших вузлів мережі.
Багато хто розглядає брандмауери як інструменти, призначені для захисту локальних мереж від небажаного впливу з Internet. Дійсно, брандмауери дуже часто використовуються в подібних цілях. (Приклад такого брандмауера показаний на рис. 25.2.) Однак брандмауери часто виконують і інші функції. Наприклад, ви можете створити брандмауер, який буде захищати вузли Internet від атаки, яка здійснюється з вузлів локальної мережі. Брандмауер може блокувати всі протоколи, за винятком деяких, необхідних вам, і навіть заборонити обмін з певними комп'ютерами за допомогою ряду протоколів. Наприклад, ви маєте можливість дозволити звернення до порту 25 віддалених комп'ютерів тільки поштового сервера. (Подібну конфігурацію брандмауера використовують деякі провайдери для боротьби зі спамом.) Контроль звернень до зовнішніх вузлів не дозволить недобросовісним користувачам локальної мережі завдати шкоди віддаленого комп'ютера, а також дасть можливість виявити віруси і програми типу "троянський кінь", які тим чи іншим способом потрапили на комп'ютери локальної мережі. Незважаючи на те що подібні заходи в основному спрямовані на захист зовнішніх вузлів, вони можуть виявитися корисними і для вас, так як допоможуть запобігти конфлікти з адміністраторами зовнішніх мереж.
Мал. 25.2. Брандмауери, що виконують фільтрацію пакетів, дозволяють блокувати деякі типи звернень до локальної мережі
Як видно на рис. 25.1, для того, щоб забезпечити фільтрацію пакетів в системі Linux, треба налаштувати ланцюжка INPUT. FORWARD і OUTPUT. Призначення кожної з цих ланцюжків коротко описано нижче.
• Ланцюжок INPUT захищає локальні процеси. Цей ланцюжок використовують як брандмауери, суміщені з маршрутизаторами, так і брандмауери, встановлені на робочих станціях і серверах.
• Ланцюжок FORWARD бере безпосередню участь в маршрутизації пакетів. Якщо ви хочете перетворити маршрутизатор в брандмауер, який здійснює фільтрацію пакетів, вам треба конфігурувати цей ланцюжок.
• Ланцюжок OUTPUT блокує передачу небажаних вихідних даних. Цей ланцюжок використовують як брандмауери, розташовані на окремих комп'ютерах, так і брандмауери, суміщені з маршрутизаторами. З її допомогою можна обмежити можливості локальних клієнтів по використанню протоколів або заборонити їм взаємодія з деякими вузлами.
Брандмауери, суміщені з маршрутизаторами, найчастіше застосовують правила, що містяться в ланцюжках INPUT і FORWARD. а брандмауери на робочих станціях і серверах в основному працюють з правилами в ланцюжках INPUT і OUTPUT. У деяких випадках результати використання правил в різних ланцюжках збігаються, особливо це справедливо для ланцюжків FORWARD і OUTPUT. Різниця лише в тому, що ланцюжок OUTPUT впливає як на перенаправляє трафік, так і на трафік, згенерований локальним комп'ютером, в той час як ланцюжок FORWARD контролює тільки перенаправляє трафік.