Linux и Windows: помощь админам и пользователям

Администрируем и настраиваем Windows, Linux.



Работаем с Firewall Builder, часть 2

Рубрика: Suse -> BSD -> RHEL, CentOS -> Fedora -> Ubuntu
Метки: | |
Четверг, 5 марта 2009 г.
Просмотров: 14393
Подписаться на комментарии по RSS

В этой статье мы ближе познакомимся с Firewall Builder, пробежимся по объектам сети и сервисам, которые поставляются вместе с программой. Вы можете использовать эти объекты для построения политик и правил NAT в вашем файерволе.

Переключиться в стандартную библиотеку объектов можно с помощью выпадающего меню. Наш созданный межсетевой экран находиться в меню "User". Стандартная библиотека, содержащая коллекцию адресов, сетей, сервисов и временных интервалов находится в меню "Standard". Давайте перейдем в данную коллекцию. Обратите внимание что после перехода изменился цвет фона левой панели. Это сделано для того, чтобы зрительно можно было легко понять в какой библиотеке мы находимся.

переключение между библиотеками

Папка Objects/Hosts содержит несколько объектов-хостов, используемых в стандартных шаблонах. Папка Objects/Network содержит объекты-сети, которые представляют собой различные стандартные диапазоны адресов, к примеру мультикаст, подсеть 127/8, сети определенные в RFC1918 и так далее.

стандартные объекты

Firewall Builder также имеет большую коллекцию TCP, UDP и ICMP объектов, которые описывают большое количество различных протоколов. На скриншоте ниже показаны TCP объекты (все они на скрин не попали).

TCP объекты

Рассмотрим пример простейшего TCP сервиса. Он определяет диапазон портов источники и назначения (в нашем случае диапазон портов источника не определен и указан только порт назначения 80). Также можно указать любые TCP флаги и межсетевой экран будет проверять любой пакет на их наличие. В случае с рассматриваемым сервисом "http" никакие флаги не указаны.

рассматриваем HTTP

Давайте вернемся к нашему свежесозданному межсетевому экрану guardian и рассмотрим его объекты. Для этого переключаемся на библиотеку User.

возвращаемся к guardian

Сперва рассмотрим сам объект guardian.

Каждый объект в fwbuilder имеет базовые атрибуты, такие как имя и комментарий. Другие атрибуты зависят от типа объекта.

Атрибуты объекта межсетевой экран включают платформу (может быть iptables, pf, ipfilter, прочее.), версию (зависит от платформы) и Хост ОС (операционная система, где находиться межсетевой экран). Кнопки Host OS Settings и Firewall Settings откроют окна с большим количеством дополнительных атрибутов зависящих от платформы и операционной системы. Мы рассмотрим их позднее.

настройки файервола

Тут мы можем изменить платформу, версию, и хост ОС.

Интерфейсы, используемые файерволом, представлены в дереве объектов ниже. Они являются потомками объекта firewall. Рассмотрим подробнее доступные опции для интерфейсов.

интерфейс

  • Name: название интерфейса в Firewall Builder должно в точности совпадать с названием интерфейса на машине, где будет находиться межсетевой экран.
  • Label: метка интерфейса, в большинстве операционных систем не используется, и служит для описания интерфейса. Обычно эту метку используют для указания места интерфейса в сетевой топологии (’outside’, ’inside’) или назначения (’web frontend’ or ’backup subnet’). Метка обязательна для Cisco PIX.
  • "Management interface": В случае нескольких сетевых интерфейсов один из них может быть отмечен как ’manaagement interface’. Данный интерфейс используется для взаимодействия между Firewall Builder и хостом.
  • "External interface (insecure)": указывает на интерфейс, который смотрит в интернет.
  • "Regular Interface": используйте эту опцию если интерфейсу назначен статический IP.
  • "Address is assigned dynamically": используйте данную опцию если IP адрес интерфейсу назначается динамически.
  • "Unnumbered interface": Используйте данную опцию, если интерфейс не имеет адреса, например если это интерфейс, ипользующийся для PPPoE или ADSL подключений, или интерфейс сетевого моста.
  • "Bridge port": эта опция служит для указания порта моста.
  • "Security level": уровень безопасности интерфейса, используется только в Cisco PIX (ASA)
  • "Network zone": сетевая зона интерфейса, используется только в Сisco PIX (ASA).

опции интерфейса

Если раскрыть интерфейс и перейти на уровень ниже по дереву, мы попадем в опции настройки IP адреса и маски.

ip интерфейса

Продолжение следует...

Постовой

Фирма «Квест»: продажа бетона в Москве, доставка бетона, аренда автобетоносмесителей.

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru rutvit.ru myspace.com technorati.com digg.com friendfeed.com pikabu.ru blogger.com liveinternet.ru livejournal.ru memori.ru google.com bobrdobr.ru mister-wong.ru yahoo.com yandex.ru del.icio.us

Оставьте комментарий!

Используйте нормальные имена.

Имя и сайт используются только при регистрации

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email. При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д., а также подписку на новые комментарии.

(обязательно)