БЛОКАДА ХАКЕРАМ!

Vint(vint@townnet.ru)

Спецвыпуск Xakep, номер #032, стр. 032-014-3

Стандартный фаерволл Линукса может гораздо больше любого виндозовского защитника: куча настроек для отдельных машин, айпишников, сетей, ресурсов, настройка оптимального маршрута, кэширование и еще гарантированная защита от Пинга Смерти (DeathPing), от Teardrop и Bonk (они характерней для NT, но кто знает...), фильтрация фрагментированных бомб, возможность настроить защиту от IP спуфинга. И самое главное - не забудь, что реализация защиты происходит на уровне системы, а значит так просто блокировать защиту не получится.

Да, настроить никсовый фаерволл не так просто, как виндовый, - придется писать цепочки правил ручками (и это по-нашему!), но правильная ось становится все более дружественной к юзеру, и юзают ее не только бородатые дядьки (и тетьки :)), но и обычные смертные, которые хотят делать все мышкой. Вот для таких существ и были придуманы графические настройщики фаерволлов. Конечно, настроек минимум, но самое необходимое есть! Так, ты можешь запретить все порты, кроме мыла, ftp, www и аськи. А захочешь более тонкого ковыряния - http://linux.ru/docs/russian/IPchains и www.linuxcenter.ru ждут тебя! Но сперва как следует изучи доки, а то такого можешь в настройках намутить, что останешься без Инета, и при этом тебя будет достать проще, чем в 98-х окнах! Да, и не забудь поставить ядрышко поновее, например, 2.4.х (2.6.0 пока еще не объявлено :)).

СХЕМА ОГНЯ

На схемке показан принцип работы фаервольного механизма в Линухе. Описываю каждою цепочку:

Контрольная сумма (Checksum) проверяет, чтоб пакет был целым. Если контрольная сумма не совпадает, то пакет отбрасывается (DENY).

Здравомыслие (Sanity) - здесь проверяется формат пакета. Если попался пакет с неправильным форматом, событие запишется в лог как ненормальная ситуация.

Цепочка input - это первая firewall цепочка, проверяющая пакет. Если цепочка не приняла решение об уничтожении (DENY) или отклонении(REJECT) пакета, пакет идет дальше.

Демаскарадинг (Demasquerade) - если пакет является ответом на замаскараденный пакет, он демаскарадируется и перебрасывается прямо на цепочку output.

Решение о маршрутизации. Поле адреса назначения исследуется кодом маршрутизации, чтобы решить, направлен ли этот пакет локальному процессу или послан удаленной машине.

Локальный процесс - процесс, выполняющийся на машине. Может получать пакеты после шага "Решение о маршрутизации" и может отправлять пакеты (которые проходят шаг "Решения о маршрутизации" и затем пересекают цепочку output).

Интерфейс lo: если пакеты из локального процесса предназначены локальному процессу, они пройдут цепочку output с интерфейсом, установленным в "lo", и возвратятся через входную цепочку с интерфейсом тоже "lo". Интерфейс lo обычно называется петлевым интерфейсом (loopback).