Раздел: Документация
0 ... 88 89 90 91 92 93 94 ... 125 О -W имя - необязательный параметр, задающий имя интерфейса, по которому пакет был принят или передается. Ключи командной строки И наконец, существует несколько ключей командной строки, дополнительно конкретизирующие правила: О -Ь - двунаправленный режим, означающий, что правило распространяется на пакеты, следующие в любом направлении; О -е - применяется только с командой вывода списка правил и приводит к выводу расширенной информации; О -к - правило будет относится к пакетам с установленным битом АСК. Работает лишь для правил протокола TCP; О -m - вызывает маскирование маршрутизируемых пакетов; при этом вместо адреса отправителя подставляется адрес маршрутизатора; О -п - выходная информация по возможности выводится в численной форме, а не в виде текста. Например, вместо имен будут выводиться IP-адреса; О -о - включает в ядре регистрацию пакетов, для которых сработали правила; О -г - переадресует пакеты на локальный сокет; О -t MacKa AND MacKa XOR - задает маску, изменяющую поле TOS в заголовке IP-пакета; О -v - результаты работы команды выводятся более подробно; О -х -этот ключ служит для вывода точных значений счетчиков. По умолчанию они округляются до тысяч или миллионов; О -у - правило срабатывает для пакетов, в которых сброшены биты SYN и АСК. Благодаря длинному списку команд и множеству ключей командной строки синтаксис команды ipfwadm может показаться чрезмерно сложным. Но после того как вы немного поэкспериментируете с ним, он станет более понятным. Рассмотрим следующий пример: ipfwadm -Fie В результате работы данной команды будет выведен список (1) всех правил маршрутизации (F) в расширенном формате (е). Следующие две команды приведут к выводу списка правил в расширенном формате для входящих (I) и исходящих (О) пакетов соответственно. Кроме того, адреса и номера портов будут представлены в виде чисел (п): ipfwadm -Inle ipfwadm -Onle Лучше всего начать создание правил с задания правил по умолчанию для каждой из категорий. Например, чтобы указать такое правило для маршрутизации IP-пакетов, нужно выполнить команду: ipfwadm -F -р deny В данном случае ключ -р deny определяет действие по умолчанию deny при маршрутизации IP-пакетов (F). Если система Linux установлена на компьютере с двумя адаптерами, то, как правило, пакеты, не адресованные локальному компьютеру, передаются из одного адаптера в другой. Задавать отбрасывание пакетов по умолчанию рекомендуется при условии, что вы собираетесь включить узел в состав межсетевого экрана. Помните о том, что хотя действия deny и rej ect аналогичны, в случае reject отправителю пакета посылается сообщение ICMP. Для усиления защиты лучше не сообщать наружу никаких данных. Стоит указать deny в качестве действия по умолчанию для всех категорий, преж де чем создавать какие-либо другие правила. Поскольку команда -р действие лишь определяет действие по умолчанию, наличие данной команды в начале файла не приводит к отбрасыванию всех пакетов. Отброшен будет только такой пакет, для которого в оставшейся части файла не найдется соответствующего ему правила. Чтобы указать действие по умолчанию для категорий входящих и исходящих пакетов, просто подставьте в предыдущий пример -I или -о вместо -F. После этого начинайте создавать правила, устанавливающие, каким узлам разрешено передавать пакеты по каждому из сетевых интерфейсов. Эти правила будут привязаны к реальным IP-адресам компьютеров вашей сети и Internet-соединения. Прекрасный документ IPFWADM FAQ содержит множество примеров. Вы можете найти его по адресу http://www.dreamwvr.com/ipfwadm/ipfwadm-faq.html. Поместите правила ipfwadm в файл начальной загрузки Составив список правил, поместите их в один из файлов начальной загрузки системы, чтобы они вступали в действие при ее старте. Например, запишите правила в конец файла г. local. Установка и настройка ipchains В настоящей главе уже отмечалось, что ipfwadm работает только с ядрами Linux, версия которых меньше 2.0.36. Для более новых ядер (начиная с версии 2.1.102) необходима новая утилита ipchains, которая унаследовала код фильтрации и IP-пакетов ядра Linux, и утилиты ipfwadm. В результате получилась более гибкая утилита для управления фильтрацией пакетов в системах Linux. Чтобы проверить, поддерживает ли ядро вашей версии Linux новую утилиту ipchains, попробуйте найти файл /proc/net/ip fwchains. Если данный файл существует, значит ядро готово к работе с ipchains. Если нет, то обратитесь к официальному Web-сайту ipchains и попытайтесь найти там исправления для своего ядра. В случае неудачи вам придется обновить ядро Linux. , Получение ipchains Программу ipchains можно загрузить с Web-сайта www.rustcortp.com/linux/ ipchains. Здесь вы найдете исходный код утилиты и исполняемые файлы для нескольких версий UNIX. На данном сайте есть также некоторые ссылки на документы Отличия ipchains от ipfwadm Так же, как ipfwadm была развитием предыдущей утилиты ipfw, ipchains развивает утилиту ipfwadm. Эти две утилиты аналогичны одна другой и обе предназначены для управления списками правил, применяемых к IP-пакетам. Но между ними есть несколько отличий: О синтаксис утилиты доработан. В ipchains прописными буквами обозначаются команды, а строчными - ключи командной строки; О кроме встроенных списков (или последовательностей) правил, ipchains позволяет создавать именованные списки. Присвоение спискам имен облегчает тестирование настроек. Сделав ошибку, вы сумеете просто удалить (или изменить) составленный список. Постоянно меняя правила во встроенных списках правил, можно запутаться и забыть, как все работало изначально! О добавлен оператор отрицания (!); О обработка фрагментов пакетов улучшена; О список правил для сбора данных больше не существует; О обеспечивается поддержка новых протоколов (в дополнение к TCP, UDP и ICMP); О счетчики стали 64-битными, а не 32-битными; О кроме типов, поддерживаются и коды ICMP. Существуют и другие отличия, которые станут очевидными при переходе от ipfwadm к ipchains. В нескольких следующих разделах мы рассмотрим синтаксис ipchains. Создание и удаление последовательностей правил Утилита ipchains работает аналогично ipfwadm, но содержит новые функции и поддерживает дополнительные протоколы. В ipchains существуют встроенные списки правил, называемые последовательностями правил (chains), которые определяют действия с входящими или исходящими IP-пакетами: О входная последовательность (input chain) - для пакетов, приходящих по сетевому адаптеру; О выходная последовательность (output chain) - для пакетов, пересылаемых по сетевому адаптеру; О последовательность маршрутизации (forward chain) - правила маршрутизации пакетов, передаваемых из одного адаптера в другой. На рис. 17.1 вы видите список правил, образующих входную последовательность. Поступающий по сетевому адаптеру IP-пакет проверяется на соответствие каждому из правил в данном списке. HOWTO и инструкции по подписке на ряд списков рассылки, в которых обсуждается ipchains. 0 ... 88 89 90 91 92 93 94 ... 125
|
