Archiwum kategorii: Firewall

Iptables – komentowanie reguł firewall-a

Tworząc reguły firewall-a często przydałoby się skomentować skąd one wzieły się. Możemy to oczywiście zrobić w własnym skrypcie ale większość dystrybucji (wszystkie?) mają skrypty startowe, gotowe rozwiązania, narzędzia wspomagające itp. Poza tym przyjemnie byłby listując reguły firewall-a widzieć ich przeznaczenie. Na szczęście niektórzy pomyśleli o tym przede mną i mamy moduł „comment”. Efekt jego urzycia jest następujący:

[root@centos ~]# iptables -L -n | grep -i httpd
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp multiport dports 80,443 /* httpd - apache2 */ 

A regułę tworzymy następująco:

iptables -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp -m multiport --dports 80,443 -m comment --comment "httpd - apache2" -j ACCEPT 

Jak widać idealnie nadaje się do łączenia z innym modułem: multiport.

Firewall dla stacji roboczej

W przypadku stacji roboczej najważniejsze jest to aby komputer nie był widoczny z zewnątrz (blokował wszystkie połączenia inicjowane z zewnątrz) a jednocześnie pozwalał na połączenia wychodzące i je obsługiwał. Efekt ten uzyskamy korzystając z modułu kontroli stanu połączenia i pozwolimy połączeniom wychodzącym inicjować połączenia a połączenia wchodzące wpuścimy tylko te zainicjowane już i ustawione.

Czytaj dalej Firewall dla stacji roboczej

Firewall – lekcja dla zaawansowanych (iptables)

Logowanie pakietów

Logowanie z użyciem celu LOG

Bardzo często zależy nam na logowaniu pakietów, które spełniają albo nie spełniają określonych reguł. Możemy tutaj wykorzystać rozszerzenie LOG pozwalające przesłać do sysloga informację nas interesującą. Syslog sklasyfikuje je jako informacje pochodzące z jądra (KERNEL). Poziom ważności możemy sami ustalić korzystając z paramatru –log-level poziom_komunikatu (gdzie poziom komunikatu to jeden z: debug, info, notice, warning, err, crit, alert, emerg). Zapis z reguły może być także poprzedzony komunikatem ustawionym dzięki komendzie –log-prefix "komunikat".

Czytaj dalej Firewall – lekcja dla zaawansowanych (iptables)