iptables
Использование объектов DNS в Firewall Builder
Воскресенье, 21 февраля 2010 г.Рубрика: Firewall
Метки: firewall | iptables | pf
Просмотров: 8202
Подписаться на комментарии по RSS
Данная статья продолжает серию статей о программе Firewall Builder. Я покажу как создать правило файервола, содержащее A запись DNS.
Объект "DNS Name"
Объект DNS Name представляет собой "A" или "AAAА" DNS запись. Объект резолвится в IP адрес либо на этапе компиляции, либо на этапе запуска. Объект резолвится либо в IPv4 либо в IPv6 адрес, в зависимости от того, в каком наборе правил он используется. В случае если объект используется в смешанном окружении (IPv4+IPv6), компилятор будет резолвить объект дважды используя различные запросы.
Окно объекта DNS Name выглядит следующим образом:
Использование встроенного инструмента импортирования политик в Firewall Builder, часть 2
Четверг, 11 февраля 2010 г.Рубрика: Firewall
Метки: cisco | firewall | iptables | Linux
Просмотров: 9054
Подписаться на комментарии по RSS
Первая часть данной статьи тут.
Теперь давайте посмотрим поближе на одну группу правил. Оригинальная конфигурация iptables содержала следующие строки:
-A INPUT -i eth0 -j INBOUND -A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT -A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT -A INBOUND -s 10.3.14.0/255.255.255.0 -j ACCEPT -A INBOUND -s 10.3.14.0/255.255.255.0 -p tcp -m tcp --dport 22 -j ACCEPT -A INBOUND -s 10.3.14.0/255.255.255.0 -p udp -m udp --dport 22 -j ACCEPT -A INBOUND -j LSI
Ещё раз посмотрим на скриншот правил:
Первое правило в цепочке INPUT пересоздано как правило #11 в наборе политик (выделено зеленым цветом). Параметр "-i eth0" пересоздан в объект интерфейса "eth0" и направление указано "Inbound". Далее...
Использование встроенного инструмента импортирования политик в Firewall Builder, часть 1
Четверг, 11 февраля 2010 г.Рубрика: Firewall
Метки: firewall | iptables | Linux
Просмотров: 8324
Подписаться на комментарии по RSS
В этой статье мы продолжаем знакомство с программой Firewall Builder, графическим интерфейсом для управление и конфигурации различных файерволов. В данной серии из двух статей я продемонстрирую как импортировать существующую конфигурацию iptables или Cisco в Firewall Builder. Для выполнения этой задачи есть два различных пути, либо использовать меню "File/Import Policy", либо "Tools/Discovery Druid" и затем выбрать опцию "Import configuration of a firewall or a router".
Импорт конфигурации iptables
Сохранить конфигурацию iptables мы может с помощью скрипта iptables-save. Скрипт "iptables-save" поставляется как часть стандартной установки iptables и присутствует во всех дистрибутивах Linux. Обычно найти его можено в директории /sbin/ . Сохраним конфигурацию в файл:
iptables-save > iptables_config.conf
Теперь запустите fwbuilder, выберите функцию "Import Policy" и используйте кнопку "Browse" для поиска сохраненного на предыдущем этапе файла iptables_config.conf. Не забудьте выбрать "iptables"в выпадающем меню "Platform".Далее...
Iptables - ограничение количества подключений с IP
Вторник, 9 февраля 2010 г.Рубрика: Firewall -> Shell
Метки: iptables | Linux
Просмотров: 24632
Подписаться на комментарии по RSS
В данной статье мы рассмотрим как можно ограничить количество подключений с одного IP адреса к нашему серверу. В этом нам поможет модуль connlimit, который позволяет ограничить количество параллельных TCP коннектов к серверу с IP адреса, либо блока адресов.
Синтаксис:
Синтаксис используемой поманды следующий:
/sbin/iptables -A INPUT -p tcp --syn --dport $port -m connlimit --connlimit-above N -j REJECT --reject-with tcp-reset # save the changes see iptables-save man page, the following is redhat and friends specific command service iptables save
Пример: Ограничение SSH подключений с IP/хоста
Разрешим только 3 ssh подключения:Далее...
Использование встроенного контроля изменений в Firewall Builder, часть2
Понедельник, 16 марта 2009 г.Рубрика: BSD -> Firewall -> RHEL, CentOS
Метки: firewall | iptables | Linux
Просмотров: 7295
Подписаться на комментарии по RSS
Теперь сохраним изменения, сделанные в предыдущей статье, для этого используем меню File/Save и выйдем из программы. При этом программа, убедившись что данный файл участввует в системе контроля изменений, выдаст диалоговое окно, где вы сможете добавить комментарий к изменению. После ввода комментария нажмите кнопку Check file in.
Данная статья создана благодаря спонсорскому участию - Авто блог Automotoboom.ru
Использование встроенного контроля изменений в Firewall Builder, часть1
Пятница, 13 марта 2009 г.Рубрика: Firewall
Метки: firewall | iptables | Linux
Просмотров: 8616
Подписаться на комментарии по RSS
Я уже представил кратко возможности Firewall Builder в серии статей на сайте. Там мы рассмотрели базовые функции fwbuilder и создали простую конфигурацию межсетевого экрана. В этой статье я продемонстирую одну из более продвинутых функций Firewall Builder - встроенный механизм контроля системы (Revision Control System - RCS).
Firewall Builder содержит встроенную систему контроля изменений, которая может использоваться для отслеживания изменений объектов и правил. Если файл данных добавлен в систему контроля, каждый раз когда он изменяется, система запрашивает пользователя ввести дополнительный комментарий по изменениям, который будет храниться с файлом. Система также назначает для файла данных номер ревизии, использую стандартный подход с обозначением важных и незначительных изменений, разделенных точкой. Когда вы в следующий раз будете открывать файл данных, система откроет диалоговое окно с списком ревизий, с их датой и комментарием. Вы можете открыть последную ревизию и продолжить работать с файлом с места последнего изменения, либо открыть одну из более ранних ревизий.Далее...
Работаем с Firewall Builder, часть 5
Пятница, 13 марта 2009 г.Рубрика: BSD -> Fedora -> RHEL, CentOS -> Suse -> Ubuntu
Метки: firewall | iptables | Linux
Просмотров: 12543
Подписаться на комментарии по RSS
На данном этапе мы уже готовы к компиляции политик межсетевого экрана guardian и генерации скрипта iptables. Для этого выберите объект guardian в дереве объектов и нажмите правую кнопку мыши. Выберите "Compile". В открывшемся диалоговом окне появится список доступных для компиляции объектов. Убедитесь что guardian отмечен галочкой и нажмите "Next".Далее...
Разрешаем клиентам NFS доступ к NFS серверу используя Iptables
Среда, 11 марта 2009 г.Рубрика: Fedora -> RHEL, CentOS
Метки: firewall | iptables | Linux | nfs
Просмотров: 24965
Подписаться на комментарии по RSS
Portmapper назначает каждому NFS сервису динамический порт во время каждой загрузки системы. Каким образом можно разрешить доступ к NFS серверу с помощью iptables в RHEL / Fedora / CentOS Linux ?
Вам необходимо открыть следующие порты:
a] TCP/UDP 111 - RPC 4.0 portmapper
b] TCP/UDP 2049 - NFSD (nfs сервер)
c] Статические порты Portmap - различные TCP/UDP порты, определенные в файле /etc/sysconfig/nfs. Об этом подробнее будет рассказано ниже.Далее...
Работаем с Firewall Builder, часть 4
Вторник, 10 марта 2009 г.Рубрика: BSD -> Fedora -> RHEL, CentOS -> Suse -> Ubuntu
Метки: firewall | iptables | Linux
Просмотров: 12310
Подписаться на комментарии по RSS
Первые три части данной статьи: часть 1, часть 2, часть 3.
Давайте более подробно рассмотрим доступные опции объекта. Нажмите на "guardian", затем в левом нижнем меню нажмите кнопку "Firewall Settings". Откроется новое окно с подробными настройками. Обратите внимание на кнопку Help, при нажатии на которую откроется окно помощи, показанное на следующем скриншоте.
Работаем с Firewall Builder, часть 3
Четверг, 5 марта 2009 г.Рубрика: BSD -> Fedora -> RHEL, CentOS -> Suse -> Ubuntu
Метки: firewall | iptables | Linux
Просмотров: 9563
Подписаться на комментарии по RSS
Продолжаем знакомиться с Firewall Builder.
Давайте взглянем на IP адрес внутреннего интерфейса межсетевого экрана. В шаблоне по умолчанию этот адрес указан как "192.168.1.1" с сетевой маской "255.255.255.0". Это довольно стандартный адрес для малых и домашних сетей. Многие устройства преднастроены на этот IP адрес.
Работаем с Firewall Builder, часть 2
Четверг, 5 марта 2009 г.Рубрика: BSD -> Fedora -> RHEL, CentOS -> Suse -> Ubuntu
Метки: firewall | iptables | Linux
Просмотров: 14047
Подписаться на комментарии по RSS
В этой статье мы ближе познакомимся с Firewall Builder, пробежимся по объектам сети и сервисам, которые поставляются вместе с программой. Вы можете использовать эти объекты для построения политик и правил NAT в вашем файерволе.
Переключиться в стандартную библиотеку объектов можно с помощью выпадающего меню. Наш созданный межсетевой экран находиться в меню "User". Стандартная библиотека, содержащая коллекцию адресов, сетей, сервисов и временных интервалов находится в меню "Standard". Давайте перейдем в данную коллекцию. Обратите внимание что после перехода изменился цвет фона левой панели. Это сделано для того, чтобы зрительно можно было легко понять в какой библиотеке мы находимся.Далее...
Работаем с Firewall Builder, часть 1
Вторник, 3 марта 2009 г.Рубрика: BSD -> Fedora -> RHEL, CentOS -> Suse -> Ubuntu
Метки: firewall | iptables | Linux
Просмотров: 25393
Подписаться на комментарии по RSS
Данное руководство позволит вам ближе познакомится с Firewall Builder. Firewall Builder (так же известный как fwbuilder) это графический интерфейся для конфигурации и управления iptables (netfilter), ipfilter, pf, ipfw, Cisco PIX (FWSM, ASA) и расширенного списка контроля доступа роутеров Cisco. Программа запускается под Linux, FreeBSD, OpenBSD, Windows, Mac OS X и может управлять локальной и удаленными файерволами.
Firewall Builder имеет пакеты под большинство Linux дистрибутивов. Если пакет не доступен в базовом дистрибутиве, обычно его можно найти в расширенных репозитариях. Вам необходимо установить библиотеку API libfwbuilder и пакет fwbuilder, который содержит Firewall Builder GUI и компилятор политик. Для установки вы можете использовать предпочитаемый вами менеждер пакетов: yum, apt-get или aptitude. В FreeBSD и OpenBSD Firewall Builder находится в портах, вы можете найти его в /usr/ports/security/fwbuilder.Далее...