18 Янв. 2008 - Установка и настройка межсетевого экрана Firestarter в Ubuntu 7.10

 Создано от victor53p 18 Января 2008, 22:00:00 20783 Просмотры Рейтинг: (4 оценка) Печать

Установка и настройка межсетевого экрана Firestarter.

Что бы управлять сетевым экраном надо установить пакет firestarter.
Я покажу как это сделать из терминала, но можно с таким же успехом это сделать и из Synaptic.
Из терминала надо набрать команду:

Код: 
apt-get install firestarter

 

запустить его можно из меню системы: Система->Администрирование->Firestarter Видим Wizard, т. е. волшебника. который поможет вам настроить брандмауэр пошагово.

Первое окно при запуске- нажимаем Вперед.

Следующее окно Internet connection sharing setup, позволяет

Если вы хотите включить forward (обмен) и NAT (мскарадинг) между двумя вашими сетевыми картами включите (Enable.....)

 

 

Ниже показан внешний вид главного окна Status.
Внизу открыто окно в котором в реальном времени показаны IP адреса хостов, которые работают с вашим сервером,
и с которыми работаете вы. здесь Здесь же можно заблокировать брандмауэр- Lock и остановить Stop и запустить потом.

Следующее Окно Ewents, т.е. Окно Событий. Окно показывает историю подключений заблокированных брандмауэром.
Таким образом брандмауэр записывает такие события.
Есть однако многие действия, Вы можете обратиться к позиции отказа соединения, а затем эти затрагивают, как брандмауэр будет рассматривать аналогичные движения в будущем.

Firestarter подсвечивает события тремя цветами. Ниже описаны значения цветов:

* Черный
В связи очередной попыткой доступа со случайного порта, который был заблокирован брандмауэром.
Как правило, вам не надо беспокоиться о таких событиях.
* Красный
Одна из возможных попыток доступа, не государственная служба. Firestarter предлагает обратить вам особое внимание на эти записи.
Хотя надо заметить, что это не обязательно означает, кто-то пытается организовать вторжение. Решать об этом Вам.
* Серый
События классифицируются как безобидные. Этот класс состоит в основном из широковещательного трафика.



Следующее окно Входящих политик. В окне можно настраивать контроль на входящий трафик из Интернета к локальной сети до брандмауэра.
По умолчанию Все запрещено. каждое разрешающее правило добавляет одну дырку. (грубо говоря).
Три части окна - сверху вниз:- разрешения для хоста, ниже для портов или служб и последнее проброс (forward) портов или служб.
В окне на картинке внизу установлены открытыми порты 80, 21-22 т.е. HTTP и FTP.



Следующее 2 окна показывают, как в предыдущем окне добавляются правила:
Добавляем правило которое открывает доступ из Интернет к 80 порту, т.е. к серверу Apache.


Добавляем правило которое открывает доступ из Интернет к 21-22 портам, т.е. к серверу FTP:.

 

Следующее окно- Окно Исходящих политик. Это окно для управления контролем исходящего трафика в Интернет и машины на которой установлен межсетевым экран, а так же для любого LAN клиента. По умолчанию внешняя политика является разрешительной. Это значит, что и вы, и любой клиент, подключенных к локальной сети имеют возможность быть в сети Интернет, читать электронную почту и т.д. без ограничений. В окне как раз можно вводить различные ограничения. По умолчанию включена возможность создать т. н. черный список:

Здесь окно имеет подразделение на три части. Если коротко в первой верхней части можно запретить конкретный адрес или хост в интернете, например порносайт или несколько. Во второй части которая по центру запретить конкретный хост или ip адрес в локальной сети или несколько. И в нижней части запретить службу или порт. См. окно ниже:

 

Нажав радиокнопку "Restrictive by default, whitelist traffic" включаем вторичное окна режима для контроля исходящего трафика. Т. е. запрещаем для себя и локальной сети весь внешний трафик и создаем т.н. белый список. В верхнем окне можем разрешить один адрес или хост в интернете.
В среднем окне разрешить выход для отдельной машины в локальной сети. И в нижнем окне разрешить работы отдельных портов или служб.

ниже помещена картинка с описанным окном:

Настройки самого брандмауэра -(Preferences). Опция видна в главном окне.

Обычно я включаю две птички на первом окне - настройка интерфейса:

Это включить иконку в tray в панели задач. И минимизировать firestarter в панель задач при закрытии его окна.

 

 

Так же в настройка брандмауэра-> Редактирование политик, можно включить полезную опцию:- применять изменения правил сразу.

В этом окне можно подправить все настройки связанные с сетью.Включить NAT. Включить DHCP сервер.

 

Остальные настройки можно посмотреть в помощи для этого пакета. Обычно я их оставляю по умолчанию!!

Вот таким образом этот пакет под названием Firestarter или брандмауэр или межсетевой экран настраивать правила для iptables.

Посмотреть созданные правила, применив в терминале (или консоле) следующую команду:

Код: 
iptables -L

Да еще! Не бойтесь, если вы вышли из Х-сов (графической оболочки, Гнома) IPTABLES продолжает работать!!!

Пока все! если что вспомню, буду добавлять.

Успехов! Victor53p.