Рейтинг@Mail.ru
[Войти] [Зарегистрироваться]

Наши друзья и партнеры

UnixForum
Беспроводные выключатели nooLite

Lines Club

Ищем достойных соперников.

Китайское искусство тайцзи цигун в школе Уцзимэнь.


Книги по Linux (с отзывами читателей)

Библиотека сайта или "Мой Linux Documentation Project"

Linux Network Administrators Guide
Назад Глава 9. TCP/IP Firewall Вперед

Что такое IP Filtering?

IP filtering простой механизм, который решает какие IP-пакеты будут обработаны, а какие будут отброшены. "Отброшены" означает, что пакет удаляется и полностью игнорируется, как будто его никогда не было. Вы можете применять много различных критериев, чтобы определить, какие пакеты Вы желаете фильтровать. Некоторые примеры:

  • Типы протоколов: TCP, UDP, ICMP и т.д.
  • Номера портов (для TCP/UPD)
  • Типы пакетов: SYN/ACK, data, ICMP Echo Request и т.д.
  • Откуда пришел пакет
  • Куда идет пакет

Важно понять, что IP-фильтрация является средством сетевого уровня. Это означает, что она не понимает ничего относительно прикладной программы, использующей сетевые подключения, а понимает только что-то непосредственно относительно подключений. Например, Вы можете отвергать доступ пользователей к Вашей внутренней сети через telnet-порт, но если Вы полагаетесь ТОЛЬКО на IP-фильтрацию, Вы не сможете запретить использование программы telnet с портом, с которого Вы позволяете передавать пакеты через Ваш firewall. Вы можете предотвращать эти проблемы, используя прокси-сервер для каждого сервиса, проходящего через firewall. Прокси-серверы понимают прикладную программу, под которую они были разработаны, и предотвращают злоупотребления типа использования программы telnet, чтобы обойти firewall через порт для World Wide Web. Если Ваш firewall поддерживает прокси для World Wide Web, telnet будет всегда соединяться только с ним, и проходить будут только HTTP-запросы. Есть много прокси-серверов, как коммерческих, так и свободных. Они хорошо рассмотрены в Firewall-HOWTO.

Набор правил IP-фильтрации задает много правил. Например, допустим, что Вы позволяете пользователям World Wide Web в сети Virtual Brewery network обращаться только к другим web-серверам в Internet. Настройте Ваш firewall на пропуск пакетов:

  • С исходными адресами сети Virtual Brewery network, любым сайтом назначения и портом назначения 80 (WWW)
  • С адресом назначения в сети Virtual Brewery network и портом назначения 80 (WWW) с любого исходного адреса.

Здесь использованы два правила фильтрации. Мы должны позволить нашим данным выходить, но также должны позволить возвращаться ответам на запросы. На деле Linux упрощает это и позволяет нам определять эти правила в одной команде.


Эта статья еще не оценивалась
Вы сможете оценить статью и оставить комментарий, если войдете или зарегистрируетесь.
Только зарегистрированные пользователи могут оценивать и комментировать статьи.

Комментарии отсутствуют