В БОЙ ИДУТ ОДНИ СТАРИКИ

Vint(vint@townnet.ru)

Спецвыпуск Xakep, номер #033, стр. 033-042-5

Чтобы включить и настроить защиту, юзь софтину по имени ipfwadm. При настройке учитывай следующие вещи: если у тебя в сети нет особенных наворотов, то чаще всего достаточно закрыть TCP-порты с 1 по 1024, чтобы отрубить доступ к основным TCP-серверам и порты с 5000 по 65535 для запрета доступа к X-серверам. Порты 1025-4999 можно оставить открытыми. Но если у тебя в сети крутится веб, фтп или другой подобный сервак, то следует к указанным выше добавить используемые ими порты (например, для web - 80-й). Более подробно смотри в /etc/service. Все команды настройки защиты следует записать в отдельный командный файл (например, /etc/rc.d/rc.firewall) и вызывать его при выходе системы в мультирежим из файла /etc/rc.d.rc.inet1. Вот маленький отрывок такого файла с необходимыми ремарками:

#./bin/sh

NET=195.161.26.87 #Инет

LOCALNET=198.168.0.0 #локальная сеть и ее IP

/sbin/ipfwadm -B -f #сброс блокировок

#Пропускать всех внутрь локалки (вход - рубль, выход - пять ;))

/sbin/ipfwadm -B -a accept -S ${LOCALNET}/24 -D ${LOCALNET}/24

#Тормозим пакетики на TCP-серверы локалки

/sbin/ipfwadm -B -P tcp -a deny -S 255.255.255.255/0 -D ${LOCALNET}/24 0:1024 #номера портов

#Еще не пустим пакеты, направленные на Х-сервера

/sbin/ipfwadm -B -P tcp -a deny -S 255.255.255.255/0 -D ${LOCALNET}/24 5000:64575 #номера портов

#Больше блокировать порты не будем - остались открытыми порты с 1025 по 4999. Это необходимо для работы юзеров: инет, ася, ирка.

#Дальше пошла настройка гейта в Инет:

GateWayIP=195.161.26.87/32 #Реальный IP сервака

/sbin/ipfwadm -B -P tcp -a deny -S 255.255.255.255/0 -D ${GateWayIP} 24:79

# и 80 - веб

/sbin/ipfwadm -B -P tcp -a deny -S 255.255.255.255/0 -D ${GateWayIP} 0:20

# оставить открытыми порты 21-23 - ftp

# не дадим Инета плохим людям, у которых IP попадает в промежуток от 25 до 30. Последняя цифра показывает кол-во обломанных юзеров.

/sbin/ipfwadm -B -a deny -S 255.255.255.255/0 -D ${NET}.25/5

КАК ЭТО БЫВАЕТ ПО ЖИЗНИ

А сейчас я расскажу, как было в реальной жизни. Была маленькая сеточка из 25 компов (подъезд + маленькая фирма) и была эта сеть изолирована от Инета, и не было ни у кого проблем с безопасностью, но решили на общем собрании юзеры инет заиметь. Решили и сделали. Еще был один умный чувак, сказавший, что нам надо поставить гейта между всем Инетом и маленьким мирком локалки. Воздвигли мы объединенными усилиями мозгов и пива гейт на базе четверки, и стала сеточка наша защищена от внешнего вторжения фаерволлом, кэширующий прокси существенно экономил входящий траф: за месяц экономия составила около 50-150 мегов, то есть на пиво с бубликом админам хватало. И еще один бонус: так как мы юзаем только один IP из сети провайдера, то договорились на абонентскую плату в 500 рублей + пиво, а должны были 25*100=2500 рублей. А что до тормозов, то машина справлялась, даже когда все 25 юзеров выходили в Инет разом, правда, канал не резиновый, и пришлось мне чуток схитрить: поставить на свой IP приоритет повыше, чтобы в Инете без тормозов сидеть, но это другая история. Вот так. Надеюсь, ты понял, что во всех отношениях установка компа на границе сетей - очень хороший ход.

Вот так все просто и круто. Убедился, что сила не в гигагерцах, а в прямых руках и Линухе? Так можно сделать очень много. Удачи тебе в нелегком труде начинающего сисадмина.