Linux и Windows: помощь админам и пользователям

Администрируем и настраиваем Windows, Linux.

iptables

Использование объектов DNS в Firewall Builder

Воскресенье, 21 февраля 2010 г.
Рубрика: Firewall
Метки: | |
Просмотров: 8202
Подписаться на комментарии по RSS

Данная статья продолжает серию статей о программе Firewall Builder. Я покажу как создать правило файервола, содержащее A запись DNS.

Объект "DNS Name"

Объект DNS Name представляет собой "A" или "AAAА" DNS запись. Объект резолвится в IP адрес либо на этапе компиляции, либо на этапе запуска. Объект резолвится либо в IPv4 либо в IPv6 адрес, в зависимости от того, в каком наборе правил он используется. В случае если объект используется в смешанном окружении (IPv4+IPv6), компилятор будет резолвить объект дважды используя различные запросы.

Окно объекта DNS Name выглядит следующим образом:

Далее...

Первая часть данной статьи тут.

Теперь давайте посмотрим поближе на одну группу правил. Оригинальная конфигурация iptables содержала следующие строки:

-A INPUT -i eth0 -j INBOUND 
   -A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT 
   -A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT 
   -A INBOUND -s 10.3.14.0/255.255.255.0 -j ACCEPT 
   -A INBOUND -s 10.3.14.0/255.255.255.0 -p tcp -m tcp --dport 22 -j ACCEPT 
   -A INBOUND -s 10.3.14.0/255.255.255.0 -p udp -m udp --dport 22 -j ACCEPT 
   -A INBOUND -j LSI

Ещё раз посмотрим на скриншот правил:

Первое правило в цепочке INPUT пересоздано как правило #11 в наборе политик (выделено зеленым цветом). Параметр "-i eth0" пересоздан в объект интерфейса "eth0" и направление указано "Inbound". Далее...

В этой статье мы продолжаем знакомство с программой Firewall Builder, графическим интерфейсом для управление и конфигурации различных файерволов. В данной серии из двух статей я продемонстрирую как импортировать существующую конфигурацию iptables или Cisco в Firewall Builder. Для выполнения этой задачи есть два различных пути, либо использовать меню "File/Import Policy", либо "Tools/Discovery Druid" и затем выбрать опцию "Import configuration of a firewall or a router".

Импорт конфигурации iptables

Сохранить конфигурацию iptables мы может с помощью скрипта iptables-save. Скрипт "iptables-save" поставляется как часть стандартной установки iptables и присутствует во всех дистрибутивах Linux. Обычно найти его можено в директории /sbin/ . Сохраним конфигурацию в файл:

iptables-save > iptables_config.conf

Теперь запустите fwbuilder, выберите функцию "Import Policy" и используйте кнопку "Browse" для поиска сохраненного на предыдущем этапе файла iptables_config.conf. Не забудьте выбрать "iptables"в выпадающем меню "Platform".Далее...

Iptables - ограничение количества подключений с IP

Вторник, 9 февраля 2010 г.
Рубрика: Firewall -> Shell
Метки: |
Просмотров: 24632
Подписаться на комментарии по RSS

В данной статье мы рассмотрим как можно ограничить количество подключений с одного IP адреса к нашему серверу. В этом нам поможет модуль connlimit, который позволяет ограничить количество параллельных TCP коннектов к серверу с IP адреса, либо блока адресов.

Синтаксис:

Синтаксис используемой поманды следующий:

/sbin/iptables -A INPUT -p tcp --syn --dport $port -m connlimit --connlimit-above N -j REJECT --reject-with tcp-reset  
# save the changes see iptables-save man page, the following is redhat and friends specific command  
service iptables save

Пример: Ограничение SSH подключений с IP/хоста

Разрешим только 3 ssh подключения:Далее...

Использование встроенного контроля изменений в Firewall Builder, часть2

Понедельник, 16 марта 2009 г.
Рубрика: BSD -> Firewall -> RHEL, CentOS
Метки: | |
Просмотров: 7295
Подписаться на комментарии по RSS

Часть 1 данной статьи...

Теперь сохраним изменения, сделанные в предыдущей статье, для этого используем меню File/Save и выйдем из программы. При этом программа, убедившись что данный файл участввует в системе контроля изменений, выдаст диалоговое окно, где вы сможете добавить комментарий к изменению. После ввода комментария нажмите кнопку Check file in.

сохраняем файл

Данная статья создана благодаря спонсорскому участию - Авто блог Automotoboom.ru

Далее...

Использование встроенного контроля изменений в Firewall Builder, часть1

Пятница, 13 марта 2009 г.
Рубрика: Firewall
Метки: | |
Просмотров: 8616
Подписаться на комментарии по RSS

Я уже представил кратко возможности Firewall Builder в серии статей на сайте. Там мы рассмотрели базовые функции fwbuilder и создали простую конфигурацию межсетевого экрана. В этой статье я продемонстирую одну из более продвинутых функций Firewall Builder - встроенный механизм контроля системы (Revision Control System - RCS).

Firewall Builder содержит встроенную систему контроля изменений, которая может использоваться для отслеживания изменений объектов и правил. Если файл данных добавлен в систему контроля, каждый раз когда он изменяется, система запрашивает пользователя ввести дополнительный комментарий по изменениям, который будет храниться с файлом. Система также назначает для файла данных номер ревизии, использую стандартный подход с обозначением важных и незначительных изменений, разделенных точкой. Когда вы в следующий раз будете открывать файл данных, система откроет диалоговое окно с списком ревизий, с их датой и комментарием. Вы можете открыть последную ревизию и продолжить работать с файлом с места последнего изменения, либо открыть одну из более ранних ревизий.Далее...

Работаем с Firewall Builder, часть 5

Пятница, 13 марта 2009 г.
Рубрика: BSD -> Fedora -> RHEL, CentOS -> Suse -> Ubuntu
Метки: | |
Просмотров: 12543
Подписаться на комментарии по RSS

На данном этапе мы уже готовы к компиляции политик межсетевого экрана guardian и генерации скрипта iptables. Для этого выберите объект guardian в дереве объектов и нажмите правую кнопку мыши. Выберите "Compile". В открывшемся диалоговом окне появится список доступных для компиляции объектов. Убедитесь что guardian отмечен галочкой и нажмите "Next".Далее...

Разрешаем клиентам NFS доступ к NFS серверу используя Iptables

Среда, 11 марта 2009 г.
Рубрика: Fedora -> RHEL, CentOS
Метки: | | |
Просмотров: 24965
Подписаться на комментарии по RSS

Portmapper назначает каждому NFS сервису динамический порт во время каждой загрузки системы. Каким образом можно разрешить доступ к NFS серверу с помощью iptables в RHEL / Fedora / CentOS Linux ?

Вам необходимо открыть следующие порты:

a] TCP/UDP 111 - RPC 4.0 portmapper

b] TCP/UDP 2049 - NFSD (nfs сервер)

c] Статические порты Portmap  - различные TCP/UDP порты, определенные в файле /etc/sysconfig/nfs. Об этом подробнее будет рассказано ниже.Далее...

Работаем с Firewall Builder, часть 4

Вторник, 10 марта 2009 г.
Рубрика: BSD -> Fedora -> RHEL, CentOS -> Suse -> Ubuntu
Метки: | |
Просмотров: 12310
Подписаться на комментарии по RSS

Первые три части данной статьи: часть 1, часть 2, часть 3.

Давайте более подробно рассмотрим доступные опции объекта. Нажмите на "guardian", затем в левом нижнем меню нажмите кнопку "Firewall Settings". Откроется новое окно с подробными настройками. Обратите внимание на кнопку Help, при нажатии на которую откроется окно помощи, показанное на следующем скриншоте.

опции файервола

Далее...

Работаем с Firewall Builder, часть 3

Четверг, 5 марта 2009 г.
Рубрика: BSD -> Fedora -> RHEL, CentOS -> Suse -> Ubuntu
Метки: | |
Просмотров: 9563
Подписаться на комментарии по RSS

Продолжаем знакомиться с Firewall Builder.

Давайте взглянем на IP адрес внутреннего интерфейса межсетевого экрана. В шаблоне по умолчанию этот адрес указан как "192.168.1.1" с сетевой маской "255.255.255.0". Это довольно стандартный адрес для малых и домашних сетей. Многие устройства преднастроены на этот IP адрес.

обзор внутреннего интерфейса

Далее...

Работаем с Firewall Builder, часть 2

Четверг, 5 марта 2009 г.
Рубрика: BSD -> Fedora -> RHEL, CentOS -> Suse -> Ubuntu
Метки: | |
Просмотров: 14047
Подписаться на комментарии по RSS

В этой статье мы ближе познакомимся с Firewall Builder, пробежимся по объектам сети и сервисам, которые поставляются вместе с программой. Вы можете использовать эти объекты для построения политик и правил NAT в вашем файерволе.

Переключиться в стандартную библиотеку объектов можно с помощью выпадающего меню. Наш созданный межсетевой экран находиться в меню "User". Стандартная библиотека, содержащая коллекцию адресов, сетей, сервисов и временных интервалов находится в меню "Standard". Давайте перейдем в данную коллекцию. Обратите внимание что после перехода изменился цвет фона левой панели. Это сделано для того, чтобы зрительно можно было легко понять в какой библиотеке мы находимся.Далее...

Работаем с Firewall Builder, часть 1

Вторник, 3 марта 2009 г.
Рубрика: BSD -> Fedora -> RHEL, CentOS -> Suse -> Ubuntu
Метки: | |
Просмотров: 25393
Подписаться на комментарии по RSS

Данное руководство позволит вам ближе познакомится с Firewall Builder. Firewall Builder (так же известный как fwbuilder) это графический интерфейся для конфигурации и управления  iptables (netfilter), ipfilter, pf, ipfw, Cisco PIX (FWSM, ASA) и расширенного списка контроля доступа роутеров Cisco. Программа запускается под Linux, FreeBSD, OpenBSD, Windows, Mac OS X и может управлять локальной и удаленными файерволами.

Firewall Builder имеет пакеты под большинство Linux дистрибутивов. Если пакет не доступен в базовом дистрибутиве, обычно его можно найти в расширенных репозитариях. Вам необходимо установить библиотеку API libfwbuilder и пакет fwbuilder, который содержит Firewall Builder GUI и компилятор политик. Для установки вы можете использовать предпочитаемый вами менеждер пакетов: yum, apt-get или aptitude. В FreeBSD и OpenBSD Firewall Builder находится в портах, вы можете найти его в /usr/ports/security/fwbuilder.Далее...