KIV/PD (Přenos dat), Filtrování paketů 

Next  Up  Previous

Vlastní skript pro nastavení firewallu s použitím iptables

( Konfigurováno na Debian GNU/Linux testing)


Jako perličku nakonec celého vyprávění o filtrování paketů jsem dodal asi mojí největší zkušenost v Linuxu a to samotné nastavení firewallu (plně funkční, takže kdo se nechce zabývat zdlouhavým studováním všech možných pravidel, nechť ho zneužije) do takové míry, aby vše filtroval podle standardních postupů a pravidel - iptables. Jelikož bych chtěl zachovat ale bezpečnost tohoto serveru, na kterém mimo jiné mám uložené i tyto stránky, tak jsem byl donucený změnit IP adresu v celém skriptu. Doufám, že nikde nezneužije tento výtvor k neprospěchu, ale spíše ho využije ku prospěchu lidstva. Myslím, že nemá smysl dělat více komentářů, jelikož kdo prostudoval celý tutorial, musel pochopit celou teorii filtrování paketů pod Linuxem.

Poznámka: Podotýkám jen, že jde tedy o stroj, který má dvě síťová rozhraní (eth0 a eth1)a filtruje pakety pomocí pravidel iptables z eth0 na eth1. Vše je uloženo ve skriptu, který se jmenuje ./skript.

Je to trochu složitější, musí se totiž nastavit kompletní iptables, ale to už známe z předchozího vyprávění. Základem všeho je porozumět používání filtračních pravidel pomocí iptables. Kompletní soupis pravidel je ve skriptu a jsou k němu udělané komentáře, takže nemá cenu zde vypisovat celý skript. Kdyby náhodou přesto někdo nevěděl, najde pomoc v mém tutoriálu – sekce iptables. Jen bych chtěl zdůraznit, kde by měl být samotný skript umístěn. Je více možností, já uvedu tedy nastavení, které jsem použil já.

  1. Ujistěte se, že se nespouští automaticky ipchains

    Zjistěte, že ipchains init.d skript není symbolicky připojen na S soubor v nějakém rc adresáři

  2. Stopněte ipchains, jestli běží

    service ipchains stop

  3. Spusťte lsmod, abyste viděli, jestli ipchains modul je stále nahrán. Jestliže je, tak ho odstraňte např. pomocí rmmod, abyste zaručili, že není aktivní.

  4. Udělejte si symbolický link iptables init.d startovacího skriptu do run states 2, 3, 5.

    např. do adresáře /etc/rc2.d/

    nazvěte ho třeba

    @S90skript

  5. Uložte si skript s pravidly třeba do adresáře /root/firewall. Spusťte ho, abyste nahráli nastavení pravidel. Možná budete muset pustit příkaz dos2unix, aby došlo k odstranění konce řádků (carraige returns).

  6. Uložte nastavení pravidel do /etc/sysconfig/iptables.

    To můžete udělat dvěma způsoby,

    service iptables save
    iptables-save > /etc/init.d/iptables

  7. Nastavení pravidel bude obnoveno témto

    /etc/init.d/iptables script

    při startu.


To už je vše, mělo by to fungovat bez problémů, ale může se stát, že se nastavení pravidel pokaždé bude přepisovat na defaultní, pak je nutné nastavení uložit pomocí iptables save.

Pro ty, co si budou chtít stáhnout skript jako soubor, nechť tak učiní zde.


  (c) 2003  Pavel Tuček    tuca@kiv.zcu.cz