Firewall i Pełnomocnictwa {Pełnomocnika} Serwer Howto
Mark {zaznacz} {znak} Grennan , oceny {znaku} @ grennan . Com
V0 . 80 , Feb . 26 , 2000
Ten dokument jest zamierzany opisywać podstawy firewall systemów
I dawaj ciebie kilku {trochę} podawaj szczegóły na układzie oba filtrujący i pełnomocnictwo
{pełnomocnika}
Firewall na Linux opierał system . Html wersja tego dokumentu jest
Dostępny przy http : / / www . Grennan . Com / Firewall Howto . Html
Stół {tabela} Zawartości
1 . Wprowadzenie
1 . 1 Sprzężenie zwrotne
1 . 2 Zrzekanie się
1 . 3 Prawo autorskie
1 . 4 Moje Powody dla Pisania to
1 . 5 Dalsze Czytanie
2 . Rozumiejąc Firewalls
2 . 1 Firewall Polityka
2 . 1 . 1 Jak to tworzy bezpieczeństwa algorytm podziału
2 . 2 Czcionki Firewalls
2 . 2 . 1 Paczka Filtrująca Firewalls
2 . 2 . 2 Pełnomocnictwa {Pełnomocnik} Serwer
2 . 2 . 3 Aplikacji Pełnomocnictwo {Pełnomocnik}
2 . 2 . 4 Skarpeta Pełnomocnictwo {Pełnomocnik}
3 . Firewall Architektura
3 . 1 Wybierania numeru Architektura
3 . 2 Pojedynczy Urządzenia trasujące Architektura
3 . 3 Firewall z Pełnomocnictwa {Pełnomocnikiem} Serwer
3 . 4 Redundent Internet Konfiguracja
4 . Zaczynając się Linux Filtrujące Firewall
4 . 1 Hardware wymagania
5 . Oprogramowania wymagania
5 . 1 Wybieranie Jądro
5 . 2 Wybieranie pełnomocnictwa {pełnomocnik} serwer
6 . Przygotowywanie Linux system
6 . 1 Kompilowanie Jądro
6 . 2 Configuring dwie sieci karty
6 . 3 Configuring Sieć Adresuje
6 . 4 Próbujący twoja sieć
6 . 5 Zabezpieczanie Firewall
7 . Ip filtrujące strukturę ( Ipfwadm )
8 . Ip filtrujące strukturę ( Ipchains )
9 . Instalowanie Przez
roczyste Kałamamica pełnomocnictwo {pełnomocnik}
10 . Instalowanie Tis Pełnomocnictwa {Pełnomocnik} serwer
10 . 1 Dostawanie oprogramowanie
10 . 2 Kompilowanie Tis Fwtk
10 . 3 Instalowanie Tis Fwtk
10 . 4 Configuring Tis Fwtk
10 . 4 . 1 netperm stołu {tabela} akta {plik}
10 . 4 . 2 / itd / usługi akta {plik}
11 . Skarpeta Pełnomocnictwa {Pełnomocnik} Serwer
11 . 1 zaczynający się Pełnomocnictwa {Pełnomocnik} Serwer
11 . 2 Configuring Pełnomocnictwa {Pełnomocnik} Serwer
11 . 2 . 1 Dostępu Akta {Plik}
11 . 2 . 2 Wyznaczanie tras Akta {Plik}
11 . 3 praca Z Pełnomocnictwa {Pełnomocnikiem} Serwer
11 . 3 . 1 Unix
11 . 3 . 2 Ms Okna z Trąbki Winsock
11 . 3 . 3 Dostawanie Pełnomocnictwa {Pełnomocnik} Serwer pracować z Udp Paczkami
11 . 4 Wady z Pełnomocnictwa {Pełnomocnikiem} Serwer
12 . Posuwany naprzód Konfiguracje
12 . 1 wielka sieć z naciskiem na bezpieczeństwie
12 . 1 . 1 Sieci Struktura
12 . 1 . 2 Pełnomocnictwa {Pełnomocnik} Struktura
13 . Robiąc Kierownictwo łatwo
13 . 1 Firewall narzędzia
13 . 2 Ogólne narzędzia
14 . Pokonywanie Pełnomocnictwa {Pełnomocnik} Firewall Właśnie psuć się twój dzień , i
utrzymuje ciebie na twoich palcach u nogi o bezpieczeństwie , ja będę opisywać jak łatwo to
ma pokonywać pełnomocnictwa {pełnomocnika} firewall . Teraz gdy ty robiłeś wszystko w
tym dokumencie i bardzo masz bezpiecznego {pewnego} serwer i sieć . Ty masz Dmz i
nikogo możesz dostawać się do twojej sieci i ty wchodzisz w dziennik każdy związek robiony
do zewnętrzna strony świata . Ty robisz wszystkiemu twoi użytkownicy przechodzą
pełnomocnictwo {pełnomocnika} i nikogo mogą iść bezpośrednio do Internet . Wtedy jeden z
twoich użytkowników , z didacated związkiem jego własnego , dowiaduje się o
15 . Appendex - Przykładu Rękopisy
15 . 1 Rc Rękopis używający Gfcc
15 . 2 Gfcc rękopis
15 . 3 Rc Rękopis bez Gfcc to jest firewall reguły {panowania} zestaw budowała moją rękę .
To nie używa Gfcc .
16 . Appendex B - Vpn Rc Rękopis dla RedHat
1 . Wprowadzenie
David Ster pisał to oryginalne wersję tego Firewall Howto ,
Te dużo bezmyślnie chodzi tu i tam temu, i ja byłbym cichego {jeszcze} jak dziękować jego
dla pozwalania mnie
Aktualizować jego pracę .
Ja też chciałbym dziękować Ian Gough dla dobrego pomagania to dislexic
Pisarz .
Firewalls zyskiwał wielką popularność jak ostatecznych w Internet
Bezpieczeństwo . Jak najbardziej gorący przedmiot oni też często są z
le rozumiani .
To Howto będzie przechodzić podstawy czego firewall jest i jak do
Ustawiaj jeden .
Ja używam jądru 2 . 2 . 13 i RedHat 6 . 1 rozwijać to howto tak
Przykłady tutaj są opierane na tym dystrybucji . Jeżeli ty znajdujesz różnice
W twoim dystrybucji , proszę email mnie i ja będę aktualizować to howto .
1 . 1 . Sprzężenie zwrotne
Jakiekolwiek sprzężenie zwrotne bardzo jest mile widziany . Proszę Relacjonuj Jakiekolwiek
Nieścisłości W Tym
Papier ! Ja jestem ludzki , i skłonny do robień z
le zrozumie . Jeżeli ty znajdujesz kłopot
Dla czegoś proszę posyłaj to do mnie . Ja będę próbować odpowiadać wszystkiego e-mail ,
Ale ja jestem zajęty , tak nie dostaję obrażałem jeżeli ja nie robię .
Moje email adres jest oceny {znaku} @ grennan . Com < mailto : oceny {znaku} @ grennan .
Com >
1 . 2 . Zrzekanie się
Ja nie m Odpowiedzialny Dla Jakichkolwiek Odszkodowań Ponosiłem Należni
{Spowodowany} Do Działań Brani
Opierany Na Tym Dokumencie . Ten dokument jest znaczony {miany na myśli} jak
wprowadzenie do
Jak firewalls i pełnomocnictwa {pełnomocnik} serwer praca . Ja nie jestem , ani robię ja
udaję {pretenduję} do
Bądz
, bezpieczeństwo znawca . - ) ja właśnie jestem jakaś facet kto ma czyta również dużo
I lubi komputery więcej niż najwięcej ludzi . Proszę, ja piszę to
Pomagać ludzie dostają zaznajamiane z tym przedmiotem , i ja nie jestem gotowy do
Słup {stawka} moje trwałość na dokładności czego jest w tutaj .
1 . 3 . Prawo autorskie
Jeżeli nie inaczej wyrażany , Linux Howto dokumenty są zastrzegane sobie prawa autorskie
przez
Ich poszczególni autorzy . Linux Howto dokumenty mogą być reprodukowane i
Rozdzielany w całym albo w części , w jakimkolwiek środku fizyczny albo elektronowy ,
Tak długo jak to prawo autorskie zawiadomienie jest zachowywane na wszystkich kopiach .
Handlowy
Redystrybucja jest dozwolona i zachęcana ; jednak, autor byłby
Jak być zawiadamiany jakichkolwiek takich dystrybucji .
Wszystkie tłumaczenia , pochodne zakładów , lub zbierają zakładów wcielające
Jakiekolwiek Linux Howto dokumenty muszą być pokrywane pod tym chronionym prawem
autorskim zawiadomieniem .
To jest, ty nie możesz produkować pochodnej pracy od Howto i narzucasz
Dodatkowe ograniczenia na jego dystrybucji . Wyjątki do tych reguł {panowań}
Może być przyznawany pod pewnymi warunków ; proszę połączenie Linux
Howto koordynator .
Krótko mówiąc , my pragnąć popierać rozsiekanie tej informacji przez
Tak dużo wyżłabia jak możliwy . Jednak, my pragnąć zachowywać prawo autorskie
Na Howto dokumentach , i chciałby być zawiadamiane jakichkolwiek plany do
Redystrybuuj HOWTOs .
Jeżeli ty masz jakiekolwiek pytania , proszę email mnie . ( Widz
Powyżej )
1 . 4 . Moje Powody dla Pisania to
Kilku lata temu, podczas gdy pracując dla Stanu Oklahoma jak ich
" internet Administratora " ja byłem proszę {pytam} do " kładę Stan na Internet " ,
Z żadnym zbiorem {budżetem} . ( Nuta {Notatka} : tam był żaden taki tytuł wtedy . Ja byłem
Właśnie facet robiący wszystko pracę . ) najlepszy droga {sposób} robić temu zdarza się była
Używać jak dużo wolne oprogramowanie i rupiecia hardware jak ja mógłbym . Linux i
Wiązka dawniej 486s były wszystko ja musiałem pracować z .
Handlowe firewalls Bardzo są ponad określanymi cenę i dokumentacja na jak
Oni pracują jest rozważany niemal ściśle tajny . Ja znajdowałem tworzeniu firewall
Mojego własnego niemal był niemożliwy .
Przy mojej następny pracy , ja byłem pytany wkładać {kłaść w } firewall . Linux właśnie
będzie mieć
Dodawany firewall kod . Tak ponownie z żadnym zbiorem {budżetem} ja zaczynałem
budowę
Firewall z Linux . Sześć miesiące póz
niej moje firewall był na miejscu i
Ten dokument był aktualizowany .
1 . 5 . Dalej Czytania
Och Linux Tworzenia sieci Przeglądu Howto
< http : / / sunsite . Unc . Edu / mdw / Howto / Tworzenia sieci Przeglądu Howto . Html >
Och Ethernet Howto < http : / / sunsite . Unc . Edu / mdw / Howto / Ethernet
Howto . Html >
Och IPchains Firewalling robił łatwo! < http : / / ipchains . Nerdherd . Org / >
Och Linux Sieć Adresuje Tłumaczenie
< http : / / www . Linas . Org / linux / ładunek . Html >
Och Czyste 3 Howto < http : / / sunsite . Unc . Edu / mdw / Howto / Czyste 3 Howto . Html >
Och Czyste Ppp Howto < http : / / sunsite . Unc . Edu / mdw / Howto / Ppp Howto . Html >
Och najbardziej łatwy droga {sposób} tworzyć Wirtualny Tunele ponad Tcp / Ip sieciami
< http : / / vtun . Netpedia . Czyste / >
[ Więcej Urls idzie tutaj ]
2 . Rozumiejąc Firewalls
Firewall jest budowa zamierzaną powstrzymywać się od ogień rozciągający .
Budowa każe robić firewalls cegła zamurowuje zupełnie dzieląc się
Sekcje budowy . W samochodzie firewall jest metal ściana
Rozdzielanie maszyna {silnik} i pasażera przedziały .
Internet firewalls są zamierzane utrzymywać płomienie Internet piekło
Z twojego prywatnego Lan . Albo, utrzymywać członkowie twojego Lan czystego i
Cnotliwy przez zaprzeczanie je dostęp wszystko złe Internet pokusy .
; - )
Pierwszy komputer firewall był nie wyznaczanie tras Unix gospodarz z
Związki od dwu różnych {inny} sieci . Jedna sieć karta łączona do
Internet i inny do prywatnego Lan . Osiągać Internet
Od prywatnej sieci , ty miałeś do zarejestrowanie się do firewall ( Unix )
Serwer . Ty wtedy używałeś zasoby systemu do dostępu
Internet . Na przykład , ty mógłbyś używać X okna prowadzić {biec} Netscape
Okno przeglądania na firewall systemie i ma wyświetlacz na twojej pracy
Stacja . Z oknem przeglądania w biegu firewall to ma dostęp do
Oba sieci .
Ten rodzaj podwójnego homed systemu ( systemu z dwu sieci związkami )
Jest wielki jeżeli ty możesz Zaufać Wszystko z twoich użytkowników . Ty możesz prostą
strukturę
Linux system i daje rachunek wylicza się na tym do każdej potrzeby
Internet dostęp . Z tą strukturą , tylko komputer na twoim prostym żołnierzu
Sieć który {że} zna coś o zewnętrzna stronie świat jest firewall .
Nikt może ładowanie dolne do ich osobistego workstations . Oni muszą pierwszych
ładowanie dolne akta {plik} do firewall i wtedy ładowanie dolne akta {plik} od
Firewall do ich workstation .
Duża Nuta {Notatka} : 99 % wszystkiego łamie partie rządząca zaczynają się z zyskiwaniem
uważają poziomy dostęp
Na systemie atakowany . Z powodu tego ja nie polecam tego
Pisz firewall . To też bardzo ogranicza .
2 . 1 . Firewall Polityka
Ty nie powinieneś wierzyć firewall maszyna jest wszystko ty potrzebujesz . Umieszczaj
Algorytmy podziału pierwsze .
Firewalls są używane dla dwu celów .
1 . Utrzymywać ludzi ( łączników / petardy ) poza.
2 . Utrzymywać ludzi ( pracownik / dzieci ) w .
Kiedy ja zaczynałem pracy firewalls ja byłem zaskakiwany uczyć się
Spółka ja pracowałem dla bardziej byłem zainteresowany w " dostrzegające " na ich
Pracownik wtedy utrzymując petardy z ich sieci .
Co najmniej w moim stanie ( Oklahoma ) pracodawca ma prawo do monitora
Telefon woła {telefonuje} i Internet działalność tak długo jak oni zawiadamiają pracownik
Oni robią to .
Duży Brat nie jest rząd . Duże Brata = Duża Interes .
Nie dostawaj mnie niewłaściwie. Ludzie powinni pracować , nie bawią się {grają} czynne . I
ja czuję
Praca etyczna wygryzała . Jednak, ja też przestrzegałem {obserwowałem} że
Kierownictwo czcionki są największe abusers reguł {panowań} oni umieszczają . Ja mam
Widziany cogodzinny pracownik udzielane nagany dla używania Internet do szukania
Szyna routesto dostaje się pracować podczas gdy ten sam dyrektor używa godzin pracy
Czas szukający świetne restauracje i nocne lokale brać spodziewane
Klienci .
Mój kłopot dla tego czcionki nadużywania ma publikować firewall kloce na Tkaninie
Strona dla każdej widzieć .
Bezpieczeństwo interes może być niesamowite . Jeżeli ty jesteś firewall dyrektor ,
Obserwuj twój plecy .
2 . 1 . 1 . Jak to tworzy bezpieczeństwa algorytm podziału
Ja widziałem jakieś realy wysoką folutin dokumentację na jak tworzyć
Bezpieczeństwa algorytm podziału . Po dużo latach experence ja znam teraz mówię , nie robię
Wierz słowo ich . Twórz bezpieczeństwo algorytm podziału jest proste .
1 . Opisuj co ty potrzebujesz doglądać
2 . Opisuj grupa ludzi was potrzebuje doglądać
3 . Opisuj która usługa każda grupa potrzebuje dostęp do
4 . Dla każdej usługi grupa opisuje jak usługa powinna być utrzymuje się
Bezpieczny {pewny}
5 . Pisz statment robiące wszystko inny formy dostępu vialation
Twój algorytm podziału będzie stawać się bardziej skomplikowaną z czasem ale nie próbuje
do
Pokrywaj do dużo gruntu teraz. Rób to prosty i jasny .
2 . 2 . Czcionki Firewalls
Tam są dwie czcionki firewalls .
1 . Filtrowanie Firewalls - że blok wybierał sieci paczki .
2 . Pełnomocnictwa {pełnomocnik} Serwer ( czasami nazywały firewalls ) - że robią sieć
Związki dla was .
2 . 2 . 1 . Paczka Filtrująca Firewalls
Paczka Filtruje jest czcionka firewall budowaną do Linux jądra .
Filtrujący firewall zakłady przy sieci poziomie . Dane tylko jest dozwolony
Zostawiać {opuszczać} system jeżeli firewall reguły {panowania} pozwalają to . Jak paczki
przybywają
Oni są filtrowani przez ich czcionkę , z
ródło adresuje , przeznaczenie adresuje ,
I port informacja zawierany w każdej paczce .
Dużo sieć urządzenia trasujące mają zdolność wykonywać jakieś firewall
Usługi . Filtrowanie firewalls może być myślany jak czcionki urządzenia trasujące .
Z powodu tego ty potrzebujesz głębię rozumiejąc Ip paczki budowy
Pracować z jednym .
Ponieważ bardzo mali dane jest analizowany i wchodzony w dziennik , filtrując firewalls
Bierz mniej Cpu i tworzy mniej utajenie w twojej sieci .
Filtrowanie firewalls nie utrzymuje hasła kontrole . Użytkownik nie może
Identyfikuj siebie . Tylko identyczność użytkownik ma jest Ip liczba {numer}
Przypisywany do ich workstation . To może być problem jeżeli ty idziesz
Używać Dhcp ( Dynamiczne Ip przypisanie ). To są ponieważ reguły {panowania} są
opierani
Na Ip liczbach {numerach} ty będziesz musieć dostosowywać reguły {panowania} jak nowe
Ip liczby {numery} są
Przypisywany . Ja nie wiem jak automatyzować ten proces .
Filtrowanie firewalls bardziej są przez
roczyste do użytkownika . Użytkownik robi
Nie miej do struktury reguł {panowań} w ich aplikacjach używać Internet .
Z najwięcej pełnomocnictwa {pełnomocnikiem} serwer to jest nie prawdziwe .
2 . 2 . 2 . Pełnomocnictwa {pełnomocnik} Serwer
Pełnomocnictwa {pełnomocnicy} przeważnie są używane kontrolować , lub monitor ,
płynący z portu handel {ruch} . Kilku {trochę}
Aplikacji pełnomocnictwa {pełnomocnicy} pamięć podręczna proszeni dane . Ta niższa
szerokość pasma
Wymagania i zmniejsza dostęp tych sam dane dla następny użytkownika .
To też daje nie ulegająca wątpliwości dowód czego było przenoszone .
Tam są dwie czcionki pełnomocnictwa {pełnomocnika} serwer .
1 . Aplikacji Pełnomocnictwa {Pełnomocnicy} - że robią pracę dla ciebie .
2 . Skarpeta Pełnomocnictwa {Pełnomocnicy} - że poprzeczne drutu porty .
2 . 2 . 3 . Aplikacji Pełnomocnictwo {Pełnomocnik}
Najlepszy przykład jest osoby telneting do inny komputera i wtedy
Telneting stamtąd do zewnętrzna strony świata . Z aplikacji pełnomocnictwem
{pełnomocnikiem}
Serwer proces jest automatyzowany . Jak ty telnet do zewnętrzna strony świata
Klient posyła ciebie do pełnomocnictwa {pełnomocnika} pierwszy . Pełnomocnictwo
{pełnomocnik} wtedy łączy się do
Serwer ty prosiłeś ( zewnętrzna strony świata ) i zwraca dane do was .
Ponieważ pełnomocnictwo {pełnomocnik} serwer posługują się wszystko łączności , oni
mogą
Kloc wszystko oni ( ty ) robisz . Dla Http ( tkanina ) pełnomocnictwa {pełnomocnicy} to
włącza
Bardzo Url oni ty widzisz . Dla Ftp pełnomocnictw {pełnomocników} to włącza każdy akta
{plik} ciebie
ładowanie dolne . Oni mogą nawet {równy} filtr poza " nieodpowiednie " słowa od
Umiejscowienia ty bywasz lub skanujesz dla wirusów .
Aplikacji pełnomocnictwo {pełnomocnik} serwer mogą poświadczać użytkowników . Przed
związkiem
Do zewnętrzna strony jest robiony , serwer może pytać użytkownika do zarejestrowanie się
pierwszy . Do
Tkaniny użytkownik to robiłby każdemu umiejscowienia spojrzeniu jak to wymagało
zarejestrowanie się .
2 . 2 . 4 . Skarpeta Pełnomocnictwo {Pełnomocnik}
Skarpeta serwer jest dużo drugi taki sam stara przełącznika płyta . To prosto krzyż
Druty twój związek przez system do inny zewnętrzna strony
Związek .
Najwięcej Skarpeta serwer tylko praca z Tcp pisze związki . I jak
Filtrowanie firewalls oni nie utrzymują użytkownika identyfikację . Oni
Jednak może rejestrować gdzie każdy użytkownik łączył się do .
3 . Firewall Architektura
Tam są dużo drogi {sposoby} strukturyzowac twoją sieć chronić twój
Systemy używające firewall .
Jeżeli ty poświęcałeś związki do Internet przez urządzenie trasujące ,
Ty mógłbyś zatykać urządzenie trasujące bezpośrednio do twojego firewall systemu . Albo, ty
Mógłby przechodzić gniazdo utrzymywać pełnym dostępu serwer zewnętrzna stronę twoje
Firewall .
3 . 1 . Wykręcaj w górze Architekturę
Ty możesz używać dialup usługę jak Isdn linię . W tym rejestrze klawiatury ty
Mógłby używać trzecia sieci karta dostarczać dostarcza filtrowane Dmz .
Elastyczności ty pełna kontrola ponad twoimi Internet usługami i jeszcze części garderoby
Oni od twojej regularnej sieci .
_ _ _ _ _ _ _ _ _ _
_ / \ _ _ / \ _ {} {} _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
{} {} {} Firewall {} ( Lan ) {} {}
/ Internet \ -- -- {} System {} -- ( Gniazdo ) -- {} Workstation / s {}
\ _ _ _ _ / {} _ _ _ _ _ _ _ _ _ _ {} {} _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ {}
\ / \ / \ / {}
( Dmz )
( Gniazdo )
3 . 2 . Pojedynczy Urządzenia trasujące Architektura
Jeżeli tam jest urządzenie trasujące albo kabla modem między tobą i Internet . Jeżeli
Ty własny urządzenie trasujące ty mógłbyś strukturę kilku twarde filtru reguły {panowania}
w
Urządzenie trasujące . Jeżeli to urządzenie trasujące jest własne przez twoje Isp tak ty nie
możesz mieć
Potrzebowane kontrole . Ty możesz pytać żeby twoje Isp kładł w filtrach .
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
_ / \ _ _ / \ _ {} Urządzenia trasujące {} {} {} _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
{} {} {} lub {} ( Dmz ) {} Firewall {} ( Lan ) {} {}
/ Internet \ -- -- {} Kabla Mdm {} -- ( Gniazdo ) -- {} System {} -- ( Gniazdo ) -- {}
Workstation / s {}
\ _ _ _ _ / {} _ _ _ _ _ _ _ _ _ {} {} {} _ _ _ _ _ _ _ _ _ _ {} {} _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ {}
\ / \ / \ / {}
( Zewnętrzna strona )
( Serwer )
3 . 3 . Firewall z Pełnomocnictwa {Pełnomocnikiem} Serwer
Jeżeli ty potrzebujesz do monitora gdzie użytkownicy twojej sieci idą i twoich
Sieć jest mała , ty możesz intergrate pełnomocnictwa {pełnomocnika} serwer do twojego
Firewall . ISP kilku razy robi to tworzyć zainteresowania {odsetki} wykaz ich
Użytkownicy odsprzedawać do marketing agencji .
_ _ _ _ _ _ _ _ _ _
_ / \ _ _ / \ _ {} Pełnomocnictwa {Pełnomocnika} / {} _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
{} {} {} Firewall {} ( Lan ) {} {}
/ Internet \ -- -- {} System {} -- ( Gniazdo ) -- {} Workstation / s {}
\ _ _ _ _ / {} _ _ _ _ _ _ _ _ _ _ {} {} _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ {}
\ / \ / \ /
Ty możesz kłaść pełnomocnictwa {pełnomocnika} serwer na twoim Lan jak będziesz . W tym
rejestrze klawiatury
Firewall powinien mieć reguły {panowania} tylko pozwalać pełnomocnictwa
{pełnomocnika} serwer łączyć się
Do Internet dla usług to jest pod warunkiem że. W ten sposób {ta droga } użytkownicy
Może dostawać się do Internet tylko przez pełnomocnictwo {pełnomocnika} .
_ _ _ _ _ _ _ _ _ _
_ / \ _ _ / \ _ {} {} _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
{} {} {} Firewall {} ( Lan ) {} {}
/ Internet \ -- -- {} System {} -- ( Gniazdo ) -- {} Workstation / s {}
\ _ _ _ _ / {} _ _ _ _ _ _ _ _ _ _ {} {} {} _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ {}
\ / \ / \ / {} _ _ _ _ _ _ _ _ _ _ _ _ _ _
{} {} {}
+ -- -- {} Pełnomocnictwa {Pełnomocnik} Serwer {}
{} _ _ _ _ _ _ _ _ _ _ _ _ _ _ {}
3 . 4 . Redundent Internet Konfiguracja
Jeżeli ty będziesz prowadzić {będziesz biec} usługi drugiego takiego sam Człowiek-bestia
lub może być SlashDot ty możesz
Chciej robić twój system przez używanie nadmiarowy urządzenia trasujące i firewalls .
( Czek {Kontrola} {Zatrzymanie} poza Wysokie Dostępności HowTo . )
Przez używanie podania Dns techniki dostarczać dostęp do multipule
Tkaniny serwer od jednego Url i wielorakie ISP , urządzenia trasujące i firewalls
Używanie Wysoka Avaibility technika ty możesz tworzyć 100 % uptime usługę .
_ / \ _ _ / \ _ _ / \ _ _ / \ _
{} {} {} {}
/ Isp # 1 \ _ _ _ _ _ _ ( Bladzi ) _ _ _ _ _ / Partnerzy \
\ _ _ _ _ / {} ( Gniazdo ) \ _ _ _ _ /
\ / \ / \ / {} _ _ _ {} _ _ _ _ \ / \ / \ /
_ _ {} _ _ _ {} _ _ _ _ _ _ _ {}
_ / \ _ _ / \ _ {} _ _ _ _ _ {} {} Firewall {} {} _ _ _ _ _ _
{} {} {} {} {} ( Dmz ) {} Systemu {} {} ( Lan ) {} {}
/ Isp # 2 \ -- {} Urządzenia trasujące {} {} -- ( Gniazdo ) -- {} ( Vpn ) {} {} -- ( Gniazdo ) --
{} Ws / s {}
\ _ _ _ _ / {} _ _ _ _ _ _ {} {} {} _ _ _ _ _ _ _ _ {} {} {} _ _ _ _ _ _ {}
\ / \ / \ / {} {} {} _ _ _ _ _ _
{} ( Zewnętrzna strona ) ( Dzielił ) {} {} {}
-- -- -- {} ( Serwer ) ( Serwer ) + -- -- {} Pełnomocnictwo {Pełnomocnik} {}
{} Ws / s {} {} {} _ _ _ _ _ _ {}
{} Vpn {} - +
{} _ _ _ _ _ _ {}
To jest łatwe pozwalać twoja sieć wydostawać się z ręki . Utrzymuj kontrola każdej
Związek . To tylko bierze użytkownik z modemem kompromitować twoje Lan .
4 . Zaczynając się Linux Filtrujące Firewall
4 . 1 . Hardware wymagania
Filtrowanie firewalls nie wymaga fantazyjnego hardware . Oni niewiele więcej są
Wtedy proste urządzenia trasujące .
Wszystko ty potrzebujesz być :
1 . 486 DX66 z 32 meg pamięci
2 . 250m dysk twardy ( 500 polecany )
3 . Sieci związki ( Lan Karty , Szeregowe Porty , Radiowe ? )
4 . Monitor i klawiatura
Z kilku systemami przez używanie portu szeregowa konsola , ty nawet możesz
Eliminuj monitor i klawiatura .
Jeżeli ty potrzebujesz pełnomocnictwa {pełnomocnika} serwer który {że} będziesz
posługiwać się dużo handel {ruch} , ciebie
Powinien dostawać najbardziej wielki system ty możesz dostarczać . To jest ponieważ dla
Każdy użytkownik który {że} łączy się do systemu to będzie tworzyć inny
Proces . Jeżeli ty będziesz mieć 50 albo bardziej zbieżny użytkowników ja domyślam się
ciebie
Potrzebuje być :
1 . Pentium Ii z 64meg pamięci
2 . Dwa gig dysk twardy przechowywać wszystko kloce
3 . Dwa sieci związki
4 . Monitor i klawiatura
Sieć związki mogą być jakakolwiek typowy ( Nic karty , Isdn , nawet
Modemy ) .
5 . Oprogramowania wymagania
5 . 1 . Wybieranie Jądro
Tworzyć filtrujący firewall , ty nie potrzebujesz jakiegokolwiek specjalnego oprogramowania
.
Linux będzie robić . Wtedy tego pisanie ja używam RedHat 6 . 1 .
Bilt w Linux firewall zmieniał się kilka razy . Jeżeli ty jesteś
Używanie stare Linux jądro ( 1 . 0 . X albo bardziej stare ) geta nowa kopia . Te bardziej stare
Używany ipfwadm od http : / / www . Xos . Nl / linux / ipfwadm / i już nie jest
Popierany .
Jeżeli ty używasz 2 . 2 . 13 albo bardziej nowy ty będziesz używać ipchaining jak
Rozwijany przez http : / / www . Rustcorp . Com / linux / ipchains /
Jeżeli ty używasz bardziej nowego 2 . 4 kernal tam jest nowy firewall pożytek
Z więcej feachers . Ja będę pisać o tym wkrótce .
5 . 2 . Wybieranie pełnomocnictwa {pełnomocnik} serwer
Jeżeli ty chcesz do struktury pełnomocnictwa {pełnomocnik} serwer ty będziesz potrzebować
jednego z tych
Pakunki .
1 . Kałamamica
2 . Tis Firewall Pakiet narzędziowy ( Fwtk )
3 . Skarpeta
Kałamamica jest wielki pakunek i zakładów z Linux Przez
roczyste Pełnomocnictwo
{Pełnomocnik}
Cecha . Ja będę opisywać jak do struktury ten serwer .
Wtedy tego piszącej , Sieć Dołącza się
< http : / / www . Networkassociates . Com / > i Zaufał Informacji System
( Tis ) , łączył . Tak utrzymuj obserwowanie ich tkaniny umiejscowienia dla więcej
Informacja o zmianach . średni podczas gdy , Narzędzie Kit jeszcze może być miane
Przy . Http : / / www . Tis . Com / badania / oprogramowania /
< http : / / www . Tis . Com / badania / oprogramowania / >
Zaufany Informacja System zwichnie gromadzenie programy zamierzały
Ułatwiać firewalling . Z tym pakietem narzędziowy , ty zaczynasz się jednego demona
Dla każdej usługi ( Www , telnet ect . ) ty będziesz używać .
6 . Przygotowywanie Linux system
Instaluj tak mało z Linux systemu jak ty możesz . Mój instalacja
Zaczynany z serwer konfiguracją i wtedy ja wyłączam kiedykolwiek jednemu
potrzebowanego
Usługa w / itd / inetd . Conf . Dla więcej bezpieczeństwa ty powinieneś nieinstalować
Niepotrzebowana usługa .
Ponieważ najwięcej dystrybucje nie robią kopułę z jądra usefull do twojego
Perpose . Ty będziesz potrzebować kompilować twoje własne kernal . To jest najlepsze jeżeli
ty
Rób to na komputerze inny wtedy firewall . Jeżeli ty instalujesz C
Kompilator i pożytek na twoim firewall , usuwa je gdy ty masz
Uzupełniany comfiguring twoje jądro .
6 . 1 . Kompilowanie Jądro
Zaczynaj się z czystym minimalnym instalacją twojej Linux dystrybucja .
Mniej oprogramowanie ty ładowałeś mniej dziury , tylne wejścia i / albo
Błędy tam będą mieć wprowadzać bezpieczeństwa problemy w twoim serwer .
Wybieraj stałe jądro . Ja używam jądru 2 . 2 . 13 jądro dla mojego systemu .
Tak ta dokumentacja jest opierana na tym umieszcza .
Ty dobrze potrzebujesz do ponownie kompilujesz Linux jądro z stosownym
Opcje . Jeżeli ty ponownie nie kompilowałeś twoje jądro zanim ty powinieneś czytać
Jądra Howto , Ethernet Howto , i Czyste 2 Howto .
Tutaj sieć opowiadaną umieszczają ja znam pracę . Ja znaczyłem kilku {trochę}
Z ? Jeżeli ty będziesz używać tego cechy , włączasz to również.
Ja używam " robi menuconfig " redagować mojemu jądra umieszczaniu .
< > Paczki wklęsłość {gniazdko}
[ ] Jądra / Użytkownika netlink wklęsłość {gniazdko}
[ ] Sieci firewalls
[ ] Wklęsłość {Gniazdko} Filtrujące
< > Unix dziedziny własności wklęsłości {gniazdka}
[ ] Tcp / Ip tworzenie sieci
[ ] Ip : multicasting
[ ] Ip : posuwany naprzód urządzenie trasujące
[ ] Ip : jądra poziomu autoconfiguration
[ ] Ip : firewalling
[ ? ] Ip : zawsze defragment ( wymagał dla występowania w przebraniu )
[ ? ] Ip : przez
roczyste pełnomocnictwa {pełnomocnik} poparcie
[ ? ] Ip : występowanie w przebraniu
-- - Protokół wyraz
ny występowanie w przebraniu poparcie będzie budowany jak moduły .
[ ? ] Ip : Icmp występujące w przebraniu
-- - Protokół wyraz
ny występowanie w przebraniu poparcie będzie budowany jak moduły .
[ ] Ip : występowania w przebraniu specjalne moduły popierają
[ ] Ip : optymalizuj jak urządzenie trasujące nie gospodarz
< > Ip : przekopywanie tunel
< > Ip : Gre tunele ponad Ip
[ ? ] Ip : koordynowanie nazw poparcie
[ ] Ip : Tcp syncookie popiera ( nie umożliwiany przez wartość standardowa )
-- - ( to jest bezpieczne zostawiać {opuszczać} te nietknięte )
< > Ip : odwracaj Arp
[ ] Ip : pozwalaj wielkie okna ( nie polecały jeżeli < 16Mb pamięci )
< > IPv6 protokół ( Doświadczalny )
-- -
< > Ipx protokół
< > Appletalk Ddp
< > Ccitt X . 25 Paczki Warstwa ( Doświadczalna )
< > Lapb Dane łącze Sterownik ( Doświadczalny )
[ ] Przerzuci most ( Doświadczalny )
[ ] 802 . 2 Llc ( Doświadczalny )
< > żołędzi Econet / Aun protokoły ( Doświadczalne )
< > Blade urządzenie trasujące
[ ] Szybkie przełączanie ( czyta pomoc ! )
[ ] Przesyłające między wysokimi szybkości interfejs
[ ] Pu również jest powolny posługiwać się pełną szerokość pasma
QoS i / albo piękne ustawianie w kolejce się -- - >
Po robienie wszystko układ ty potrzebujesz ciebie powinieneś ponownie kompilować ,
ponownie zainstalujesz
Jądro i przeinicjuje .
Ja używam polecenia :
Rób dep ; rób czysty ; rób bzlilo ; rób moduły ; rób moduły _ instaluje ; init
6 dokonywać wszystkiemu z tego w jednym kroku .
6 . 2 . Configuring dwie sieci karty
Jeżeli ty masz dwie sieci karty w twoim komputerze , ty możesz potrzebować dodawać
Dodawaj na końcu dyrektywa do twojego / itd / lilo . Conf akta {plik} opisywać Irq i
Adresuj oba kart . Moje lilo dodaje na końcu dyrektywa wygląda jak to :
Dodawaj na końcu = " eteru = 12 , 0x300 , eth0 eteru = 15 , 0x340 , eth1 "
6 . 3 . Configuring Sieć Adresuje
Teraz my dochodzimy do zabawy części naszej struktury . Ja nie będę iść głęboko
Do jak do struktury Lan . Czytaj Tworzenia sieci Howto rozwiązywać twój
Problemy tutaj.
Twój cel ma dostarczać dwa sieci związek do twojego filtrowania się
Firewall system . Jeden na Internet ( nie zabezpieczona strona ) i jeden na
Lan ( bezpieczna {pewna} strona ) .
W każdym razie, ty masz kilka decyzje robić .
1 . Ty będziesz używać Prawdziwej Ip liczby {numeru} lub kompensujesz sporządzasz kilku
{trochę} dla twojego Lan .
2 . Twoje Isp będzie przypisywać liczbę {numer} albo będzie ty będziesz używać statycznego
Ip
Liczby {numery} ?
Odkąd ty nie chcesz internet mieć dostęp do twojego prostego żołnierza
Sieć , ty nie potrzebujesz używać " prawdziwego adresów " . Ty właśnie mógłbyś
Makijaż adresuje dla twojego prywatnego Lan . Ale to nie jest polecany . Jeżeli
Dane dostaje gromione z twojego Lan , to mogłoby kończyć przy inny systemach
Port .
Tam są pewna liczba Internet adres zasięgi odkładają na bok dla prostych żołnierza
Sieci . tych , 192 . 168 . 1 . Xxx , jest odkładany na bok i my będziemy używać tych w
Nasze przykłady .
Ty będziesz potrzebować używać Ip występujące w przebraniu robić to zdarzasz się . Z tym
Proces firewall będzie przednie paczki i tłumaczy je do
" Prawdziwe " " Ip adresuje podróżować na Internet .
Używanie te nie routable Ip adresu robienia twoja sieć bardziej jest bezpieczny {pewny} .
Internet urządzenia trasujące nie będą przechodzić paczek z tymi adresami .
Ty możesz chcieć czytać Ip Występujące w przebraniu Howto przy tym punkcie .
24 . 94 . 1 . 123 _ _ _ _ _ _ _ _ _ _ 192 . 168 . 1 . 1
_ / \ _ _ / \ _ \ {} {} / _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
{} {} \ {} Firewall {} / {} {}
/ Internet \ -- -- -- -- {} System {} -- -- -- -- -- -- {} Workstation / s {}
\ _ _ _ _ / {} _ _ _ _ _ _ _ _ _ _ {} {} _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ {}
\ / \ / \ /
Ty musisz mieć " prawdziwe " Ip adresuje przypisywać do twojej Internet sieci
Karta . To adres trwale może być przypisywany do ciebie . ( Statyczne Ip
Adresuj ) albo to możesz być przypisywany przy sieci czasie połączenia przez Ppp
Proces .
Ty przypisujesz twoje wewnątrz Ip liczby {numery} . Jak 192 . 168 . 1 . 1 Do Lan karty .
To będzie twoja brama wjazdowa Ip adresuje . Ty możesz przypisywać wszystko inny
Maszyny w chronionej sieci ( Lan ) liczba {numer} w 192 . 168 . 1 . Xxx
Sięgaj . ( 192 . 168 . 1 . 2 przez 192 . 168 . 1 . 254 )
Ja używam RedHat Linux . Do configure sieć przy inicjowanie czasie ja dodawałem
Ifcfg eth1 akta {plik} w / itd / sysconfig / sieci rękopisy katalog . Ty
Też może znajdować ifcfg ppp0 lub ifcfg tr0 w tej katalogu . Te
Są używane przez RedHat do configure i umożliwiają twojej sieci
Pomysły {przyrządy} przy inicjowanie czasie . Ar nazywany gdy związku czcionka .
Tutaj jest ifcfg eth1 ( druga ehternet karta ) dla naszego przykładu
Pomysłu {Przyrządu} = eth1
Ipaddr = 192 . 168 . 1 . 1
Netmask = 255 . 255 . 255 . 0
Sieci = 192 . 168 . 1 . 0
Transmisji = 192 . 168 . 1 . 255
Bramy wjazdowa = 24 . 94 . 1 . 123
Onboot = tak
Jeżeli ty będziesz używać dialup związkowi ty będziesz potrzebować patrzeć na
Ifcfg ppp0 i pogawędki ppp0 akta {plik} . Te kontrola twoje Ppp
Związek .
To ifcfg akta {plik} mógłby wyglądać jak ;
Pomysłu {Przyrządu} = " ppp0 "
Onboot = " tak "
Userctl = " żadne "
Modemport = " / dev / modemu "
Linespeed = " 115200 "
Trwaj {Upieraj się } = " tak "
Defabort = " tak "
Usuwaj błędy z programu = " tak "
Initstring = " Atz "
Defroute = " tak "
Hardflowctl = " tak "
Escapechars = " żadne "
Pppoptions = " "
Papname = " LoginID "
Remip = " "
Netmask = " "
Ipaddr = " "
Mru = " "
Mtu = " "
Disconnecttimeout = " "
Retrytimeout = " 5 "
Bootproto = " żaden "
6 . 4 . Próbowanie twoja sieć
Zaczynaj się przez używanie ifconfig i marszruta rozkazuje . Jeżeli ty masz dwu
Sieci karty ifconfig powinny wyglądać coś jak :
# ifconfig
Patrz łącze encap : miejscowa Pętla zwrotna
Inet addr : 127 . 0 . 0 . 1 Maska : 255 . 0 . 0 . 0
W górze Pętla zwrotna w biegu Mtu : 3924 Metryczny : 1
Rx paczki : 1620 błędy : 0 upuszczany : 0 najeżdża : 0
Tx paczki : 1620 błędy : 0 upuszczany : 0 najeżdża : 0
Kolizje : 0 txqueuelan : 0
Eth0 łącze encap : 10Mbps Ethernet HWaddr 00 : 00 : 09 : 85 : Ac : 55
Inet addr : 24 . 94 . 1 . 123 Bcast : 24 . 94 . 1 . 255 Maska : 255 . 255 . 255 . 0
W górze Transmisja w biegu Multicast Mtu : 1500 Metryczny : 1
Rx paczki : 1000 błędy : 0 upuszczany : 0 najeżdża : 0
Tx paczki : 1100 błędy : 0 upuszczany : 0 najeżdża : 0
Kolizje : 0 txqueuelan : 0
Przerywaj : 12 Adres bazowy : 0x310
Eth1 łącze encap : 10Mbps Ethernet HWaddr 00 : 00 : 09 : 80 : 1E : D7
Inet addr : 192 . 168 . 1 . 1 Bcast : 192 . 168 . 1 . 255 Maska : 255 . 255 . 255 . 0
W górze Transmisja w biegu Multicast Mtu : 1500 Metryczny : 1
Rx paczki :