SuSEfirewall2

Съдържание

Главна информация

SuSEfirewall2 е основно скрипт, който генерира правила за iptables от конфигурацията, съхранена в/etc/sysconfig/SuSEfirewall2. SuSEfirewall2 ви предпазва от мрежови атаки, като отхвърля или изпуска нежелани пакети, които пристигат на вашия мрежов интерфейс.

Конфигурация

За да конфигурирате SuSEfirewall2:

  • редактирайте ръчно файла /etc/sysconfig/SuSEfirewall2 и изпълнете командата

  • използвайте конфигурационния модул YaST, описан на страницата YaST_Firewall

Възможности

Въпреки че SuSEfirewall2 има много функции, очевидно е, че YaST не може да ги конфигурира всички. Самият конфигурационен файл предоставя цялата необходима документация за всяка отделна настройка.

Ако във всяка променлива могат да бъдат зададени няколко стойности, те се записват разделени с интервал.

Зони на защитната стена

SuSEfirewall2 има три различни зони по подразбиране:

  • EXT - Външна зона (т.нар. ненадеждна, Интернет)
  • INT - Вътрешна зона (напълно надеждна, нефилтрирана, LAN)
  • DMZ - Демилитаризирана зона (за сървъри, които трябва да са достъпни от интернет)

Мрежовият интерфейс може да бъде класифициран като зона чрез добавяне на името на интерфейса към променливитеFW_DEV_zone, къдетоzoneе една от конфигурираните зони.

Специалният низanyможе да се използва за присвояване на всички останали интерфейси в SuSEfirewall, които не са изброени в други зони. По подразбиране всички неприсвоени интерфейси се присвояват автоматично към външната зона.

ПроменливатаFW_ZONESможе да се използва за дефиниране на допълнителни зони. Например,ако не се нуждаете от ограничително филтриране на външните зони във вашата WLAN, но също така не се доверявате напълно на WLAN да може да използва вътрешната зона, тогава можете да дефинирате нови зони:

Разрешете достъп до услуги

Всяка зона на защитна стена може да разреши четири вида услуги:

  • TCP -FW_SERVICES_EXT_TCP,FW_SERVICES_INT_TCP,FW_SERVICES_DMZ_TCP
  • UDP -FW_SERVICES_EXT_UDP,FW_SERVICES_INT_UDP,FW_SERVICES_DMZ_UDP
  • RPC -FW_SERVICES_EXT_RPC,FW_SERVICES_INT_RPC,FW_SERVICES_DMZ_RPC
  • IP -FW_SERVICES_EXT_IP,FW_SERVICES_INT_IP,FW_SERVICES_DMZ_IP

TCPиUDPмогат да бъдат посочени чрезномер на порт(номер на порт),име на порт(име на порт)(можете да намерите съответствието между име и номер във файла /etc/services) илиобхват на порт(обхват на порт), дефиниран от два номера на портове, разделени с двоеточие.

Освен това пакетите могат да предоставят конфигурационен файл, който описва кои портове трябва да бъдат отворени, за да се изпълнява определена услуга, вижте SuSEfirewall2/Service_Definitions_Added_via_Packages. Използването на този метод е особено полезно, ако услугата се нуждае от множество портове.

По-ограничен достъп до услуги

Горният начин за разрешаване на достъп до услуги не е много ограничителен. Той позволява или не позволява. Има опции, които могат да бъдат зададени, за да позволят по-ограничен достъп до услугата. Въпреки това дефинициите на разрешените услуги по-горе имат предимство пред дефинициите по-долу, когато се използва един и същ порт. Тези опции са:

  • FW_SERVICES_ACCEPT_EXT,FW_SERVICES_ACCEPT_INT,FW_SERVICES_ACCEPT_DMZ

За всяка услуга тези параметри приемат 4 позиционни параметъра и допълнителен параметър на ключовата дума, наричан още флагове.

По този начин форматът на низа е разделен с интервал списък от правила, състоящ се от мрежа, протокол [, порт на местоназначение [, порт на източник [, флагове]]]

  • hitcount=БРОЙ : ipt_recent --hitcount опция
  • blockseconds=NUMBER : ipt_recent --seconds параметър
  • recentname=NAME : ipt_recent --name параметър

Маскиране

Изисква се също вътрешният интерфейсFW_DEV_INT(илиFW_DEV_DMZ) и интерфейсът за маскиранеFW_MASQ_DEV, който по подразбиране е външенFW_DEV_EXT, да бъдат посочени.

Можете да дефинирате мрежи, които ще бъдат маскирани, да разрешите достъп до определени услуги.

Това се реализира чрез редактиране на правилотоFW_MASQ_NETS.

Внедрено чрез редактиране на 14) правилотоFW_FORWARD_MASQ.

[,порт за пренасочване,[ip местоназначение]]

Обяснение: Целият трафик от интернет към машина 81.196.137.156 (която маскира машините във вътрешната мрежа) към tcp порт 4662 и udp порт 4672 се пренасочва към вътрешната машина 192.168.2.2. В резултат на това е възможен достъп до тази машина от външна мрежа, което може да се наложи в някои случаи.

Достъп до компютри във вътрешната мрежа

За достъп до определен компютър (вътрешна мрежа), използвайки конкретен порт (например TCP), използвайте променливатаFW_FORWARD_MASQ

Това пренасочване понякога се наричапренасочване на порт към вътрешната мрежа.

Прозрачно пренасочване

Може да е необходимо пренасочване, например, за създаване на прозрачен прокси сървър.

Внедрено чрез редактиране на правилотоFW_REDIRECT.

Но за прозрачно пренасочване на потребителски заявки към прокси сървър, като правило, това не е достатъчно!

Добавете следните редове към конфигурацията на прокси сървъра (ще кажа, че се използваsquidи неговият конфигурационен файл се наричаsquid.conf):

Сеч

HTB - настройка на максималната скорост на изтегляне

Конфигурацията на интернет протокол версия 6 (IPv6) има следните елементи:

  • Поддръжка на IPv6 -FW_IPv6да/не (да/не)
  • Конфигурация на IPv6 изходящи пакети -FW_IPv6_REJECT_OUTGOINGда/не/изпускане([да]/не/изпускане)

  • FW_IPv6по подразбиране поддържа IPv6 в ядрото, ако параметърът е празен.
  • FW_IPv6_REJECT_OUTGOINGстойността на конфигурацията по подразбиране е да(да (отхвърляне)).

За да разрешите препращане на пакети от IPv6 подмрежата зад SuSEfirewall2, задайтеFW_FORWARD="[вашият IPv6 префикс]/64,2000::/3"

Неработещи елементи

  • SuSEfirewall2 не поддържа всички функции на IPv6.
  • Списък с повредени ключови думи:
  • FW_TRUSTED_NETS
  • FW_SERVICES_ACCEPT_EXT
  • . (чувствайте се свободни да добавите)

Вижте също

Моля, вижте съдържанието на /usr/share/doc/packages/SuSEfirewall2/ от пакета SuSEfirewall2.