Безопасность и оптимизация Linux.Редакция для Red Hat



         

Linux IPCHAINS - часть 2


IP адрес источника

IP адрес получателя

TCP/UDP порт источника

TCP/UDP порт получателя

Тип ICMP сообщения

Информация об инкапсулированном протоколе (TCP, UDP, ICMP или IP tunnel).

Так как для анализа и регистрации используется небольшое количество данных, фильтрующий брандмауэр создает меньшую нагрузку на CPU и меньшие задержки в сети. Существует много путей структурирования вашей сети для защиты ее брандмауэром.
Топология.

Все сервера должны быть настроены так, чтобы блокировать все неиспользуемые порты. Это необходимо для большей безопасности. Представьте себе, что кто-то сумел проникнуть на ваш брандмауэр: если соседние сервера не настроены на блокирование неиспользуемых портов, то это может привести к серьезным проблемам в безопасности. То же истинно и для локальных соединений: неправомочные служащие могут получить доступ на ваши сервера из внутренней части.

В нашей конфигурации мы дадим вам три различных примера, которые помогут вам настроить ваши правила брандмауэра в зависимости от типа сервера и его размещения в вашей сети. Первый пример будет для Веб сервера, второй для почтового сервера и третий для Шлюза, который действует как сервер- посредник (proxy server) для внутренних Wins машин, рабочих станций и серверов.

www.openna.com
Кэширующий DNS
208.164.186.3

deep.openna.com
Мастер DNS сервер
208.164.186.1

mail.openna.com
Slave DNS сервер
208.164.186.2

Разрешен неограниченный трафик на интерфейсе loopback

Разрешен ICMP трафик

Разрешен DNS сервер и клиент на порту 53

Разрешен SSH сервер на порту 22

Разрешен HTTP сервер на 80 порту

Разрешен HTTPS сервер на порту 443

Разрешен SMTP клиент на порт 25

Разрешен FTP сервер на 20, 21 портах

Разрешены исходящие traceroute запросы

Разрешен неограниченный трафик на интерфейсе loopback

Разрешен ICMP трафик

Разрешен DNS сервер и клиент на порт 53

Разрешен SSH сервер и клиент на порт 22

Разрешен HTTP сервер и клиент на порт 80

Разрешен HTTPS сервер и клиент на порт 443

Разрешен WWW-CACHE клиент на порт 8080

Разрешен внешний POP клиент на порт 110

Разрешен внешний NNTP NEWS клиент на порт 119

Разрешен SMTP сервер и клиент на порт 25

Разрешен IMAP сервер на порт 143

Разрешен IRC клиент на порт 6667

Разрешен ICQ клиент на порт 4000

Разрешен FTP клиент на порты 20, 21

Разрешен RealAudio/QuickTime клиент 

Разрешены исходящие traceroute запросы

Разрешен неограниченный трафик на интерфейсе loopback

Разрешен ICMP трафик

Разрешен DNS сервер и клиент на порт 53

Разрешен SSH сервер на порт 22

Разрешен SMTP сервер и клиент на порт 25

Разрешен IMAP сервер на порт 143

Разрешены исходящие traceroute запросы

Эта таблица показывает, какие порты я должен открыть на различных серверах. В зависимости от того, какой сервис должен быть доступен на сервере, вы должны настроить скрипт брандмауэра на разрешение трафика к определенному порту. www.openna.com – наш Веб сервер, mail.openna.com – это наш почтовый сервер для всех внутренних сетей и deep.openna.com – это шлюз в всех примеров объясненных в этой главе.




Содержание  Назад  Вперед