Раздел: Документация

0 ... 87 88 89 90 91 92 93 ... 125

функционировать только с версиями ядра, имеющими номера от 1.3.66 до 2.0.36. Если ваше ядро имеет более позднюю версию, вместо этой утилиты вы можете применить программу ipchains.

Доступные для вас возможности программы также будут зависеть от версии ядра. Чтобы больше узнать о том, какие функции поддерживаются в вашей версии ядра, обратитесь к поставляемому с программой файлу readme.

Установка ipfwadm

Загрузив исходный код, распакуйте его: gzip -с -d ipfwadm 2.3.0.tar.gz tar xvf Затем скомпилируйте и установите программу с помощью make. Перейдите в каталог, в который вы поместили распакованные файлы исходного текста, и наберите:

make ipfwadm make install

В результате выполнения последней команды make будут созданы следующие каталоги:

О /sbin/ipfwadm;

О /usr/man/man8/ipfwadm.8;

О /usr/man/man4/ipfw.4.

После установки необходимо составить правила на основе политики безопасности вашей компании. Для формирования и изменения правил служит команда ipfwadm.

Команда ipfwadm

Существует четыре категории правил ipfwadm:

О IP input firewall - для IP-пакетов, принимаемых по сетевому интерфейсу;

О IP output firewall - для IP-пакетов, направляемых по сетевому интерфейсу;

О IP forwarding firewall - для IP-пакетов, передаваемых из одного интерфейса в другой (маршрутизируемых);

О IP packet accounting - для отбора пакетов, которые будут увеличивать счетчик байтов, что необходимо для статистики.

С помощью этих правил фильтруются пакеты протоколов TCP, UDP и ICMP.

Что такое протоколы TCP, UDP и ICMP? Их описание вы найдете в главе 2 «Введение в набор протоколов TCP/IP».

Синтаксис команды ipfwadm: ipfwadm -категория команда параметры [ключи]

---

Категория определяет набор правил, к которым будет относиться команда. В качестве категории задается один из пяти параметров:

О -А направление - необязательный параметр направление, со значением in, out или both, при этом будут соответственно учитываться пакеты входящие, выходящие или обоих типов. Если направление не задано, по умолчанию проверяются пакеты обоих типов;

О -I - правила для входящих пакетов;

О -О - правила для исходящих пакетов;

О -F - правила для пакетов, передаваемых из интерфейса в интерфейс;

О -М - управление маскированием (masquerading). Этот параметр может использоваться с командами -i (для вывода списка правил) или -s (для задания значений таймаута).

После категории необходимо записать команду, определяющую действие, которое будет выполняться для данной категории. Допустимы следующие команды:

О -а действие - добавляет правило (или правила) в конец списка. Для последовательностей правил фильтра параметр действие может иметь одно из следующих значений: accept, deny или re j ect (принять, отбросить или отказать соответственно). Для последовательностей правил сбора данных параметр действие не задается;

О -i действие - вставляет правило (или правила) в список. Параметр действие имеет те же значения, что и с командой -а;

О -d действие - удаляет одно или несколько правил из списка. Соблюдает тот же синтаксис, что и команды -а или -i. Убирается первое правило, соответствующее заданному синтаксису;

О -1 - выводит весь список правил;

О - z - сбрасывает счетчики байтов для всех правил в списке. Допускается одновременно включить в строку команды -1 и -z. В этом случае после вывода на экран значения байтов обнуляются;

О -f - обновляет список правил;

О -р действие - может изменять действие, заданное по умолчанию. Параметр действие имеет одно из следующих значений: accept, deny или reject и должен применяться только с правилами фильтрации, а не с категориями сбора данных. Действие по умолчанию выполняется, если для пакета не найдено соответствующее правило;

О -s таймаут Ьср TaMMayT tcpf in таймаут Мр - изменяет значения тайм-аутов, действующие при маскировании. Следует задать значения всех трех параметров (в секундах). Первое из них (таймаут Ьср) является значением таймаута для сеанса TCP, второе (TaHMayT tcpf in) - для сеансов TCP, получивших пакет FIN, а третье - для пакетов UDP. Данная команда может употребляться лишь с категорией -М и управляет маскированием. Если вам надо изменить значение таймаута только для одной или двух категорий, задайте нули для тех категорий, значения которых должны остаться без изменений;

---

О -с - проверяет, будет ли IP-пакет отброшен или пропущен в соответствии

с правилами. Относится к категориям -I, -О и -F; О -п - выводит справку.

Параметр действие (со значениями accept, deny или rej ect) применим только к категориям фильтрации. В категории сбора данных он не нужен, поскольку команды в этой категории не меняют и не создают правила, а просто выполняют различные функции по сбору статистики. Обратите внимание, что команда -р действие позволяет задавать для определенной категории действие по умолчанию, которое выполняется в том случае, если ни одно из других правил категории не соответствует проверяемому IP-пакету. Таким образом, можно создавать специфические для известных ситуаций правила и действие по умолчанию, чтобы отбрасывать (или пропускать) все остальные пакеты.

Различия между reject и deny

Программа ipfwadm способна реагировать на блокируемые пакеты одним из двух способов: она либо отказывается (rej ect) от их передачи, либо отбрасывает (deny) их. В первом случае клиенту отправляется сообщение ICMP host unreachable, во втором - клиент не извещается о том, что пакет отброшен.

Параметры

При работе с правилами их можно создавать, добавлять и удалять. Для этого необходимо указать создаваемое или удаляемое правило. Вспомним синтаксис команды ipfwadm: ipfwadm -категория команда параметры [ключи] До сих пор речь шла о категории, выбирающей список правил, с которым ведется работа, и выполняемую команду из заданного списка. Для команд вставки, добавления и удаления существуют следующие параметры:

О -Р протокол - в качестве протокола, к которому будет применяться правило, можно задать tcp, udp, icmp или all. По умолчанию параметр имеет значение all. Например, правило с параметром -Р tcp распространяется только на пакеты TCP, а с параметром -Р udp - лишь на пакеты UDP; О -S адрес [/маска] [порт ...]-указывает отправителя. Параметр адрес может быть именем узла, сети или IP-адресом, параметр маска задает маску сети. В качестве параметра порт укажите один или несколько номеров портов либо тип ICMP для протокола ICMP; О -D адрес [/маска] [порт ...]-определяет получателя. Его синтаксис совпадает с записью параметра -S, но в качестве адреса получателя нельзя задавать типы ICMP;

О -V адрес - необязательный параметр, указывающий интерфейс, по которому пакет был принят или передается. Параметр адрес может быть именем узла или IP-адресом;

0 ... 87 88 89 90 91 92 93 ... 125