Wa ¿ne jest zro zu mie nie w tym miej scu, ¿e fil tro wa nie IP jest funk cj¹ war stwy sie cio - wej...

Ludzie pragną czasami się rozstawać, żeby móc tęsknić, czekać i cieszyć się z powrotem.

Ozna cza to, ¿e nie ma ono nic wspól ne go z apli ka cj¹ wy ko rzy stuj¹c¹ po ³¹cze nia
sie cio we, a do ty czy tyl ko sa mych po³¹czeñ. Na przyk³ad mo¿esz za bro niæ u¿yt kow -
ni kom do stê pu do swo jej sie ci we w nêtrz nej przez stan dar do wy port tel net, ale je ¿eli
opie rasz siê na sa mym fil tro wa niu IP, nie mo¿esz spo wo do waæ, ¿e by prze sta li u¿y -
waæ pro gra mu tel net na por cie, któ ry prze pusz czasz przez swój fi re wall. Aby
unikn¹æ te go ty pu pro ble mów, za sto suj ser we ry proxy dla ka ¿ dej us³ugi, któr¹
chcesz prze pu œciæ przez fi re wall. Ser we ry proxy ro zu miej¹ apli ka cje, dla któ rych
maj¹ pe³niæ ro lê po œred ni ków i w ten spo sób mog¹ za po biec nad u¿y ciom, po le -
gaj¹cym na przyk³ad na wy ko rzy sty wa niu tel ne tu do po³¹cze nia z por tem WWW
po przez fi re wal l. Je ¿eli twój fi re wall obs³ugu je WWW proxy, po³¹cze nia tel net do tej
us³ugi bêd¹ zaw sze obs³ugi wa ne przez proxy i do pusz czal ne bêd¹ tyl ko ¿¹da nia
HTTP. Ist nie je sze reg pro gra mów ty pu ser wer proxy. Nie któ re s¹ dar mo we, ale jest
te¿ wie le ko mer cyj nych. Fi re wall-HO WTO oma wia je den z po pu lar nych ze sta wów
ta kich pro gra mów, któ re go tu nie przed sta wia my, po nie wa¿ wy kra cza to po za za -
kres tej ksi¹¿ki.
Ze staw re gu³ fil trow ania IP sk³ada siê z wie lu kom bi na cji wy mie nio nych powy¿ej
kry te ri ów. Na przyk³ad wy obraŸ my so bie, ¿e chcia³byœ po zwol iæ u¿ytk owni kom
WWW z sie ci bro waru wir tua lne go na do stêp do In tern etu, ale tyl ko na ko rzys tanie
z in nych se rwerów WWW. Mu sia³byœ skon fig uro waæ fi rew all, tak by po zwala³ na
prze kaz ywa nie:
· data gra mów z ad res em Ÿród³owym z sie ci bro waru wir tua lne go i do woln ym ad -
res em do cel owym oraz z por tem do cel owym 80 (WWW),
· da tag ram ów z ad res em do cel owym bro waru wir tua lne go i por tem Ÿród³owym 80
(WWW) z do woln ego ad resu Ÿród³owego.
Za uwa¿, ¿e u¿yl iœmy tu taj dw óch re gu³. Po zwal amy na wy chod zenie na szych da -
nych oraz na przyj mow anie od pow iedzi. W prak tyce, jak wkrótce zo bac zymy, Li -
nux upraszc za to i po zwala na okreœ lenie tych re gu³ jed nym po lec eni em.
152
Roz dzia³ 9: Fi re wall TCP/IP
Skon fi gu ro wa nie Linuk sa w roli fi re wal la
Aby stwo rzyæ fi re wall IP w Linuksie, po trzeb ne jest j¹dro z wbu do wan¹ obs³ug¹ fi -
re wal la IP i od po wied ni pro gram kon fi gu ra cyj ny. We wszyst kich j¹drach do se rii 2.0
u¿y wa siê na rzê dzia ipfwadm. J¹dra 2.2.x wpro wa dzi³y trze ci¹ ge ne ra cjê fi re wal la IP
dla Linuk sa o na zwie IP Cha ins (³añcu chy IP). £añcu chy IP u¿y waj¹ pro gra mu po -
dob ne go do ipfwadm, ale nosz¹ce go na zwê ipcha ins. J¹dra w wer sji 2.3.15 i now sze
obs³uguj¹ czwart¹ ge ne ra cjê fi re wal li o na zwie net fil ter. Kod net fil ter jest wy ni kiem
po wa ¿nej zmia ny w spo so bie obs³ugi pa kie tów w Linuksie. net fil ter jest two rem uni -
wer sal nym, za pew nia bo wiem bez po œred nio wsteczn¹ kom pa ty bil noœæ za rów no
z ipfwadm, jak i ipcha ins oraz no we al ter na tyw ne po le ce nie ip ta bles. W na stêp nych pod roz dzia³ach omó wi my ró¿ ni ce po miê dzy ty mi trze ma roz wi¹za nia mi.
J¹dro skon fi gu ro wa ne z fi re wal lem IP
J¹dro Linuk sa trze ba od po wied nio skon fi gu ro waæ, aby obs³ugi wa³o fi re wal l IP.
Ozna cza to po pro stu wy bór od po wied nich opcji po wy wo³aniu ma ke me nu con fig
przy kom pi la cji j¹dra*. Jak to zro biæ, opi sa liœ my w roz dzia le 3, Kon fi gu ro wa nie sprzê -
tu sie cio we go. W j¹drach 2.2 po wi nie neœ wy braæ na stê puj¹ce opcje:
Ne twor king options --->
[*] Ne twork fi re walls
[*] TCP/IP ne twor king
[*] IP: fi re wal ling
[*] IP: fi re wall pac ket log ging
W j¹drach 2.4.0 i now szych po win ieneœ wy braæ po ni¿s ze opcje:
Ne twork ing options --->
[*] Ne twork pac ket fil teri ng (re plac es ipchai ns)