Linux глазами хакера
вернуться

Флёнов Михаил Евгеньевич
Шрифт:

Рис. 4.5. Окно добавления нового правила

Пока что не надо ничего изменять. Если вы загрузили сейчас утилиту Firewall Configuration, то советую только посмотреть на ее внешний вид и предоставляемые возможности. Настройками можно будет заняться тогда, когда вы познакомитесь с программой ipchains, которая из командной строки позволяет изменять параметры сетевого экрана. Для этого мы рассмотрим множество интересных и полезных на практике примеров, которые помогут вам разобраться и с конфигурированием Firewall.

4.11. ipchains

Наиболее распространенной программой для создания правил сетевого экрана является ipchains. В команде вызова можно указывать следующие параметры:

□ 

– A цепочка правило
— добавить правило в конец цепочки. В качестве аргумента указывается имя цепочки
input
,
output
или
forward
;

□ 

– D цепочка номер
— удалить правило с указанным номером из заданной цепочки;

□ 

– R цепочка номер правило
— заменить правило с указанным номером в заданной цепочке;

□ 

– I цепочка номер правило
— вставить правило в указанную первым аргументом цепочку под номером, заданным во втором параметре. Если номер равен 1, то правило станет первым в цепочке;

□ 

– L цепочка
— просмотреть содержимое указанной цепочки;

□ 

– F цепочка
— удалить все правила из указанной цепочки;

□ 

– N имя
— создать новую цепочку с заданным именем;

□ 

– X имя
— удалить цепочку с указанным именем;

□ 

– P цепочка правило
— позволяет изменить политику по умолчанию;

□ 

– р протокол
— определяет протокол, к которому относится правило. Значений аргумента протокол может быть четыре:
tcp
,
udp
,
icmp
или
all
(указывается, если правило действует для всех протоколов);

□ 

– i интерфейс
— сетевой интерфейс, к которому будет привязано правило. Если этот аргумент не указан, то правило будет относиться ко всем интерфейсам;

□ 

– j действие
— операция, которая должна быть выполнена над пакетом. В качестве аргумента можно указать
ACCEPT
,
REJECT
или
DENY
;

□ 

– s адрес порт
— характеристики отправителя пакета. Первый аргумент задает IP-адрес источника, а второй (не обязательный) — порт. Будьте внимательны, у протокола ICMP нет портов;

□ 

– d адрес порт
— атрибуты получателя пакета. Первый аргумент задает IP-адрес назначения, а второй (не обязательный) — порт.

4.11.1. Фильтр по умолчанию

Исходя из принципа всеобщего запрета, в качестве правила по умолчанию мы должны запретить любые действия. Изначально в Linux все разрешено, а это безопасно только для отдельно стоящего сервера, который даже не подключен к сети. Проверьте ваши настройки по умолчанию, выполнив команду:

ipchains -L

В результате вы должны увидеть на экране примерно следующее:

Chain input (policy ACCEPT):

Chain forward (policy ACCEPT):

Chain output (policy ACCEPT):

Chain icmp (0 references) :

В зависимости от дистрибутива настройки по умолчанию могут отсутствовать, тогда вместо правил вы увидите следующее сообщение об ошибке:

ipchains: Incompatible with this kernel (невозможно для этого ядра).

Такая фраза может появиться, если ipchains отсутствует или запущена неверно. Я уже не раз встречал это сообщение, потому что производители дистрибутивов неверно конфигурируют систему по умолчанию. А ведь лечится эта ошибка достаточно просто, и ядро тут ни при чем.

Просмотрите файл /etc/rc.d/init.d/ipchains с помощью текстового редактора программы МС или команды

cat
. Первое будет удобнее. Нужно найти в файле следующую строку:

IPCHAINS_CONFIG=/etс/sysconfig/ipchains

Путь к файлу в директиве

IPCHAINS_CONFIG
может быть другим. В современных дистрибутивах в директории /etc/sysconfig/ хранятся файлы конфигурации служб. Для сервиса ipchains это файл ipchains. Проверьте его существование следующей командой: