WebMoney: WMZ Z294115950220 WMR R409981405661 WME E134003968233 |
Visa 4274 3200 2453 6495 |
IP filtering простой механизм, который решает какие IP-пакеты будут
обработаны, а какие будут отброшены. "Отброшены" означает, что пакет
удаляется и полностью игнорируется, как будто его никогда не было. Вы можете
применять много различных критериев, чтобы определить, какие пакеты Вы
желаете фильтровать. Некоторые примеры:
Типы протоколов: TCP, UDP, ICMP и т.д. Номера портов (для TCP/UPD) Типы пакетов: SYN/ACK, data, ICMP Echo Request и т.д. Откуда пришел пакет Куда идет пакет Важно понять, что IP-фильтрация является средством сетевого уровня. Это
означает, что она не понимает ничего относительно прикладной программы,
использующей сетевые подключения, а понимает только что-то непосредственно
относительно подключений. Например, Вы можете отвергать доступ пользователей
к Вашей внутренней сети через telnet-порт, но если Вы полагаетесь ТОЛЬКО на
IP-фильтрацию, Вы не сможете запретить использование программы telnet с
портом, с которого Вы позволяете передавать пакеты через Ваш firewall. Вы
можете предотвращать эти проблемы, используя прокси-сервер для каждого
сервиса, проходящего через firewall. Прокси-серверы понимают прикладную
программу, под которую они были разработаны, и предотвращают злоупотребления
типа использования программы telnet, чтобы обойти firewall через порт для
World Wide Web. Если Ваш firewall поддерживает прокси для World Wide Web,
telnet будет всегда соединяться только с ним, и проходить будут только
HTTP-запросы. Есть много прокси-серверов, как коммерческих, так и свободных.
Они хорошо рассмотрены в Firewall-HOWTO. Набор правил IP-фильтрации задает много правил. Например, допустим, что
Вы позволяете пользователям World Wide Web в сети Virtual Brewery network
обращаться только к другим web-серверам в Internet. Настройте Ваш firewall на
пропуск пакетов:
С исходными адресами сети Virtual Brewery network, любым сайтом
назначения и портом назначения 80 (WWW) С адресом назначения в сети Virtual Brewery network и портом
назначения 80 (WWW) с любого исходного адреса. Здесь использованы два правила фильтрации. Мы должны позволить нашим
данным выходить, но также должны позволить возвращаться ответам на запросы.
На деле Linux упрощает это и позволяет нам определять эти правила в одной
команде.
Linux Network Administrators Guide
Назад
Глава 9. TCP/IP Firewall
Вперед
Что такое IP Filtering?
Назад
Глобальное
оглавление
Вперед
Что такое Firewall?
Локальное
оглавление
Настройка Firewall в Linux
Найди своих коллег! |