Интернет портал, базиран на OpenSUSE 10

На първо място, трябва да конфигурирате мрежови интерфейси, в най-простия случай са достатъчни два - външен и вътрешен. Да кажем, че ще бъдат съответно eth1 и eth0. Можете да използвате секцията Мрежови устройства / Мрежова карта на конфигуратора на YaST2 (/sbin/yast2) или да въведете следната последователност от команди в конзолата:

ifconfig eth0 down ifconfig eth0 10.10.1.1 netmask 255.255.255.0 up ifconfig eth1 down ifconfig eth1 195.14.50.94 netmask 255.255.255.248 up route add default gw 195.1 4.50.89

Нека разгледаме по-отблизо формата и целта на основните параметри /etc/sysconfig/SuSEfirewall2.

any

FW_MASQ_NETS="\

10.10.1.3/32.0/0,tcp,25\

10.10.1.3/32.0/0,tcp,110\

10.10.1.3/32.0/0,tcp,5899\

10.10.1.3/32.0/0,udp,53\

10.10.1.20/32,195.151.13.100/32,tcp,25\

10.10.1.20/32,195.151.13.100/32,tcp,110" Следните две опции позволяват защита срещу възможни атаки на вътрешния мрежов интерфейс, но позволяват достъп от локалната мрежа до портове 22 (ssh) и 3128 (прокси) на рутера:

FW_FORWARD_MASQ="\

83.237.0.0/16,10.10.1.3,tcp,25,25,195.14.50.94\

83.237.0.0/16,10.10.1.3,tcp,110,110,195.14.50.94\

85.140.0.0/16,10.10.1.3,tcp,25,25,195.14.50.94\

85.140.0.0/16,10.10.1.3,tcp,110,110,195.14.50.94\

85.141.0.0/16,10.10.1.3,tcp,25,25,195.14.50.94\

85.141.0.0/16,10.10.1.3,tcp,110,110,195.14.50.94"

80.17.230.11,10.10.1.3,tcp,4899,4899,195.14.50.94 \ Друга група от четири параметъра засяга броя на регистрираните събития. Суфиксът CRIT инструктира да се записва информация за изпуснати (DROP) или приети (ACCEPT) пакети в лог файла само ако те са били разпознати като "критични" - от съществено значение за сигурността. Те включват по-специално някои видове icmp пакети, заявки за rpc връзки, пренасочени пакети. Суфиксът ALL трябва да се използва с повишено внимание, поради вероятното раздуване на регистрационния файл и препълването на дяла на диска:

FW_LOG_DROP_CRIT="да"

FW_LOG_DROP_ALL="не"

FW_LOG_ACCEPT_CRIT="да"

FW_LOG_ACCEPT_ALL="no" Стойността на следния параметър може да бъде зададена на "no" за продължителността на отстраняването на грешки, желателно е да се върнете към първоначалното състояние след приключване на тестовете:

FW_KERNEL_SECURITY="yes" Препоръчителната стойност на "yes" позволява на рутера да отговори на icmp "ехо заявка" (т.нар. ping), което може да бъде полезно, когато се проверява дали връзката работи и сървърът е достъпен:

FW_ALLOW_PING_FW="yes" Стойността по подразбиране на "no" деактивира изходящия ping от локалната мрежа:

FW_ALLOW_PING_EXT="не" Излъчванията могат да бъдат разрешени ("да"), отказани ("не") или разрешени за порт ("137").

FW_ALLOW_FW_BROADCAST_EXT="не"

FW_ALLOW_FW_BROADCAST_INT="не" Името на следващата двойка параметри може да бъде подвеждащо. Всъщност стойността "да" се чете като "не записвайте информация за изпуснати излъчвани пакети":

FW_IGNORE_FW_BROADCAST_EXT="да"

FW_IGNORE_FW_BROADCAST_INT="no" Следната настройка позволява да се използва политика REJECT вместо DROP във вътрешния мрежов интерфейс, коетонамалява времето, което нападателят чака за отговор на забранени действия:

FW_REJECT_INT="да"

Конфигурацията влиза в сила след стартиране на/sbin/SuSEfirewall2, при условие че няма синтактични грешки.

Подробна документация с примери може да бъде намерена в директорията/usr/share/doc/packages/SuSEfirewall2/.

В допълнение към внимателното конфигуриране на вашата защитна стена, за да осигури адекватно ниво на мрежова сигурност, има редица правила, които трябва да следвате, включително:

дайте предпочитание на най-сигурните версии на софтуер и протоколи (ssh, vsftpd и др.)
наблюдава доклади за идентифицирани уязвимости и своевременно инсталира "актуализации" и "кръпки"
избягвайте да използвате софтуер, чийто произход е съмнителен
откажете (ако е възможно) да използвате маршрутизиране в полза на прокси сървър

Инсталирането наsquid-cacheпрокси сървъра ще бъде обсъдено в следващата, трета част.