LINUX-BG Adres : http://www.linux-bg.org |
IPCHAINS-HOWTO BG 1.01 (chast 2) |
Ot: Plamen Popow Publikuvana na: 28-01-2000 Adres na statiiata: http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=316349834 |
Tozi suwet e dobawen sus suglasieto na awtora mu Plamen Popow Originalniata statiq se namira na adres http://www.qsl.net/lz1plp/ [ Produlzhenie na chast 2] Posochvane na tipovete i kodovete na ICMP. ICPM sushto taka dopuska i izpolzvaneto na dopulnitelni
argumenti, no ICMP niama portove (ICMP izpolzva tip i kod za predavane na
danni).
Zapomnete, che ICMP tipovete ne mogat da budat izpolzvani zaedno s "!" NE BLOKIRAITE 3 tip na ICMP paketite !!!!!!! Posochvane na interfeisa.
Posochvane samo na TCP SYN paketi. Tazi optsiia e polezna za razreshavane na TCP suedineniia samo v edna posoka. Za primer, vie iskate da se razhozhdate po chuzhd survur, no da zabranite na chuzhdiia survur da ustanoviava suedinenie s vas. Obiknovennoto reshenie e da se zabrani priemaneto na TCP paketi, idvashti ot survura ne vurvi, tui kato na survura mu e nuzhno po niakakuv nachin da vi predava infrmatsiia. Reshenieto se sustoi v tova, che da se zabraniavat samo
tezi paketi, koito iskat da napraviat suedinenie. Tezi paketi se narichat
SYN-paketi (chestno kazano tova sa obiknovenni paketi samo, che s vdignat
SYN flag).
Obrabotka na fragmenti. Poniakoga paketa e mnogo goliam za da se predade tseliia.
Kogato tova se sluchi paketa se razbva na niakolko fragmenta i se prashta vuv
vid na niakolko paketa. Drugata strana priema vsichkite paketi ot fragmentite
i sabira ot tiah edin goliam.
Za mashinite, koito sluzhat za glavni v mrezhata - mnogo
ot paketite (TCP, UDP i ICMP) idvat veche fragmentirani - budete vnimatelni.
Kakvo stava vuv filtura na paketi?
1 - Broiacha na baitove za tova pravilo se uvelichava s razmera na paketa
(zaedno sus zaglavieto).
Ustanoviavane na ukazaniia. Dadenite klyuchove pozvoliavat da se ukazhe na iadroto
kude da preprashta paketa, koito e popadnal pod deistvie na pravilata. ipchains
izpolzva klyucha "-j" (ot jump-to - preskochi-kum) za ukazvane na adresata
na paketa.
Da vzemem TCP paket, koito idva ot 192.168.1.1 kum 1.2.3.4. Toi vliza vuv vhodnata veriga i se proveriava pravilo 1 - ne srabotva. Pravilo 2 srabotva, no negovoto ukazanie e Test i za tova sledvashtoto pravilo, koeto se proveriava tova e purvoto pravilo vuv verigata Test. 1-to pravilo ne srabotva i se proveriava 2-to. To susho ne srabotva i nie dostignahme kraia na verigata i se vrushtame nazad, proveriava se pravilo 3, koeto sushto ne srabotva. Da opishem putia na paketa. Zapisvane na paketite v log. Ako v praviloto e posochen flag -l, iadroto pri srabotvane na prviloto, shte vi dade preduprezhdenie. Tozi flag e polezen za eksperimenti i za izvestiavaneto vi za idvaneto na niakakuv paket. Upravlenie na TypeOfService. Ima 4 bita v zaglavieto na paketa, narichani bitove
TypeOfService (tip na serviza) - "Minimum Delay" (minimalno zadurzhane),
"Maximum Throughput" (maksimalna propuskatelna sposobnost), "Maximum Reliability"
(maksimalna dostupnost) i "Minimum Cost" (minimalna tsena). Samo edin ot
tezi bitove mozhe da bude izpolzvan.
ipchains -A output -p tcp -d 0.0.0.0/0 telnet -t 0x01 0x10
Klyucha -t ima 2 parametura i dvata v shestnadesetichen vid. S purvoto chislo
i bitovete TOS na paketa se izpulniava AND (logichesko-i), a s vtoriia XOR
(izklyuchvashto-ili). Tova e dostatuchno trudno za razbirane, za tova eto edna
tablitsa:
Markirane na paketi. Za suzhalenie, tova vse oshte ne e napraveno, no vuv vseki sluchai tova niama da go bude za iadrata 2.0. Operatsii vurhu tsiala veriga. Mnogo polezno svoistvo na ipchains e da pravi operatsii nad tsiala veriga. Vie mozhete da narechete svoiata veriga ot pravila kakto iskate, s izklyuchenie na imenata izpolzvani ot vgradenite verigi (input, output, forward) ili ukazaniiata (MASQ, REDIRECT, DENY, REJECT ili RETURN). Imeto na verigata mozhe da bude dulgo do 8 simvola. Suzdavane na nova veriga. Neka da suzdadem nova veriga. Neka da ia narechem test. ipchains -N test Tova e prosto, sega mozhete da slagate pravila vuv verigata. Mahane na veriga.
ipchains -X test Zashto -X ? CHisto i prosto niamashe poveche podhodiashti bukvi ;-). Zapomnete vie ne mozhete da mahnete veriga dokato tia ne e prazna! Izchistvane na veriga. Nai-prostiia nachin da se izchisti veriga, tova e izpolzvaneto na klyucha -F. ipchains -F forward Ako imeto na verigata ne e posocheno vsichki verigi shte budat izchisteni. Razglezhdane na verigite. Voe mozhete da razgledate vsiki pravila vuv verigata izpolzvaiki klyucha -L # ipchains -L input
refcnt pokazva kolko pravila ima vuv verigata. Tova chislo triabva da bude 0, za da mozhe verigata da se iztrie. Za klyucha -L ima 3 optsii. -n zabraniava opitite na ipchains da preobrazuva ip adresite v simvolicheski. -v vi pokazva detailen spisuk na pravilata. Naprimer # ipchains -v -L input
Zapomnete, che chisloto na paketite mozhe da se izvezhda sus suotvetnite sufiksi (K, M, G suotvetno za kilobait, megabait i gigabait). Izpolzvaiki -x vie shte mozhete da izvezhdate chislata v pulen format. Nulirane na broiachite. Tova deistvie mozhe da bude napraveno s pomoshta na klyucha -Z. Edinstveniia problem, koito mozhe da vuznikne v tozi sluchai se sustoi v tova, che sled komandata -L i do komandata -Z mogat da doidat niakolko paketa, koito niama da budat otcheteni. Izhoda ot tova polozhenie se sustoi v ednovremennoto izpolzvane na klyuchovete -L i -Z. No v tozi sluchai vie niama da mozhete da operirate s edna veriga - deistviiata shte se osushtestviavat za vsichki verigi kato za edna. Ustanoviavane na ukazaniia za verigata. Tazi optsiia e napulno anologichna na ustanoviavaneto
na ukazaniia za pravilata s izklyuchenie na niakoi momenti.
Operatsii s maskaradinga. Komandata za IP maskarading -M mozhe da bude obedinena
s -L za razglezhdane na tekushtite suedineniia ili sus -S za ustanoviavaneto
na parametri.
Proverka na paketite. Poniakoga na vas vi triabva da vidite, kakvo se sluchva
s paketa, koito vliza po niakakuv nachin v mashinata, naprimer, testirane
na verigata za greshki. ipchains ima za tozi sluchai komandata -C.
# ipchains -C input -p tcp -y -s 192.168.1.1 60000 -d 192.168.1.2 www packet accepted Polezni primeri. Za primer shte razgledame niakoia mashina. Izpolzva se dial-up (-i ppp0), vzimat se novini (-p TCP -s news nntp) i poshta (-p TCP -s mail pop-3), ot vreme na vreme ima dostup do ftp za obnoviavane na sistemata (-p TCP -y -s ftp.cdrom.com ftp-data). Dostup do web prez proksi-survur (-p TCP -d proxy 3128), no na nas ne ni triabva reklama ot doubleclick.net ili ot Dilbert Archive (-p TCP -y -d 199.95.207.0/24 & -p TCP -y -d 199.95.208.0/24). Nie ne iskame da pukame potrebiteli do nas po ftp (-p TCP -d $LOCALIP ftp) i voobshte v lokalnata mrezha (-s 192.168.1.0/24). 1 - nie ne iskame neshto ili niakoi da prashta paketi kum doubleclick.net # ipchains -A output -d 199.95.207.0/24 -j REJECT
2 - shte napravim veriga ppp-out za pravila, koito shte distvat po vreme na vruzkata ni s internet # ipchains -N ppp-out
3 - minimalna zadruzhka za telnet&web # ipchains -A ppp-out -p TCP -d proxy.virtual.net.au 8080 -t 0x01 0x10
4 - minimalen prioritet za ftp dannite, nntp, pop-3 # ipchains -A ppp-out -p TCP -d 0.0.0.0/0 ftp-data -t 0x01 0x02
5 - shte napravim veriga za vhodiashti po dial-up paketi # ipchains -N ppp-in
6 - shte zabranim dostupa da vutreshnata mrezha # ipchains -A ppp-in -s 192.168.1.0/24 -l -j DENY 7 - shte razreshim suedineniia kum DNS, ftp, i danni ot ftp samo kum nas # ipchains -A ppp-in -p TCP -s 203.29.16.1 -d $LOCALIP dns -j ACCEPT
8 - lokalnite paketi triabva svobodno da si hodiat # ipchains -A input -i lo -j ACCEPT 9 - ako nito edno ot pravilata ne e srabotilo, zabraniavame paketa # ipchains -P input DENY Suhranenie i vuztanoviavane na nastroikite na fairwall-a. Umoritelno e vseki put da se vuvezhdat izredenite
po-gore komandi. Ima 2 izhoda, da se zapishat vsichki komandi v shel-skript
ili da se vuzpolzvame ot yutilitite ipchains-save i ipchains-restore.
Po-podrobno za tova, kakvo ne triabva da se zabraniava
i za razlichiiata mezhdu ipfwadm i ipchians vie mozhete da prochetete v originalniia
IPCHAINS-HOWTO. Za puskaneto na normalno rabotesht firewall e dostatuchno
i gore posochenoto. Ne vuzraziavam, ako niakoi subere sili i prevede ostanaloto
i dopulni tozi dokument ot originala ;-).
Prevedeno ot Plamen Popov, 14 dekemvri 1999. << Kak da pusnem Licq prez Firewall ili proxy | IPCHAINS-HOWTO BG 1.01 (chast 1) >> |
Avtorite na saita, kakto i tehnite sutrudnitsi zapazvat avtorskite prava vurhu sobstvenite si materiali publikuvani tuk,
no te sa copyleft t.e. mogat svobodno da budat kopirani i razprostraniavani s iziskvaneto izrichno da se upomenava imeto na avtora,
kakto i da se publikuva na vidno miasto, che te sa vzeti ot originalniia im URL-adres na tozi survur (http://www.linux-bg.org). Avtorskite prava na prevodnite materiali prinadlezhat na tehnite avtori. Ako s publikuvaneto tuk na niakakuv material nevolno sa narusheni nechii prava - sled konstatiraneto na tozi fakt materialut shte bude svalen.
All trademarks, logos and copyrights mentioned on this site are the property of their respective owners.
|