Безопасность и оптимизация Linux.Редакция для Red Hat
Linux IPCHAINS - часть 2
IP адрес источника
IP адрес получателя
TCP/UDP порт источника
TCP/UDP порт получателя
Тип ICMP сообщения
Информация об инкапсулированном протоколе (TCP, UDP, ICMP или IP tunnel).
Так как для анализа и регистрации используется небольшое количество данных, фильтрующий брандмауэр создает меньшую нагрузку на CPU и меньшие задержки в сети. Существует много путей структурирования вашей сети для защиты ее брандмауэром.
Топология.
Все сервера должны быть настроены так, чтобы блокировать все неиспользуемые порты. Это необходимо для большей безопасности. Представьте себе, что кто-то сумел проникнуть на ваш брандмауэр: если соседние сервера не настроены на блокирование неиспользуемых портов, то это может привести к серьезным проблемам в безопасности. То же истинно и для локальных соединений: неправомочные служащие могут получить доступ на ваши сервера из внутренней части.
В нашей конфигурации мы дадим вам три различных примера, которые помогут вам настроить ваши правила брандмауэра в зависимости от типа сервера и его размещения в вашей сети. Первый пример будет для Веб сервера, второй для почтового сервера и третий для Шлюза, который действует как сервер- посредник (proxy server) для внутренних Wins машин, рабочих станций и серверов.
|
www.openna.com |
deep.openna.com |
mail.openna.com |
|
Разрешен неограниченный трафик на интерфейсе loopback Разрешен ICMP трафик Разрешен DNS сервер и клиент на порту 53 Разрешен SSH сервер на порту 22 Разрешен HTTP сервер на 80 порту Разрешен HTTPS сервер на порту 443 Разрешен SMTP клиент на порт 25 Разрешен FTP сервер на 20, 21 портах Разрешены исходящие traceroute запросы |
Разрешен неограниченный трафик на интерфейсе loopback Разрешен ICMP трафик Разрешен DNS сервер и клиент на порт 53 Разрешен SSH сервер и клиент на порт 22 Разрешен HTTP сервер и клиент на порт 80 Разрешен HTTPS сервер и клиент на порт 443 Разрешен WWW-CACHE клиент на порт 8080 Разрешен внешний POP клиент на порт 110 Разрешен внешний NNTP NEWS клиент на порт 119 Разрешен SMTP сервер и клиент на порт 25 Разрешен IMAP сервер на порт 143 Разрешен IRC клиент на порт 6667 Разрешен ICQ клиент на порт 4000 Разрешен FTP клиент на порты 20, 21 Разрешен RealAudio/QuickTime клиент Разрешены исходящие traceroute запросы |
Разрешен неограниченный трафик на интерфейсе loopback Разрешен ICMP трафик Разрешен DNS сервер и клиент на порт 53 Разрешен SSH сервер на порт 22 Разрешен SMTP сервер и клиент на порт 25 Разрешен IMAP сервер на порт 143 Разрешены исходящие traceroute запросы |
Эта таблица показывает, какие порты я должен открыть на различных серверах. В зависимости от того, какой сервис должен быть доступен на сервере, вы должны настроить скрипт брандмауэра на разрешение трафика к определенному порту. www.openna.com – наш Веб сервер, mail.openna.com – это наш почтовый сервер для всех внутренних сетей и deep.openna.com – это шлюз в всех примеров объясненных в этой главе.
