YaST/Модули/Брандмауэр

Материал из openSUSE.

Описание

Брандмауэр необходим для защиты вашей системы. Он является шлюзом, ограничивающим доступ между сетями в соответствие с локальной политикой безопасности и защищающим систему от атак извне. Эта статья описывает настройку данной политики.

Заметьте, что текущая версия Брандмауэра YaST не обладает полными возможностями просмотра и редактирования всех параметров, входящих в политику безопасности по умолчанию, разработанную в SUSE. Пользователям не следует полностью полагаться на настройки Брандмауэра YaST, рекомендуется пересмотреть конфигурационные файлы и в случае необходимости внести в них изменения вручную

Конфигурирование

Запуск

Данная секция определяет тип запуска: автоматический при загрузке (рекомендуется) или вручную. Вы можете выбрать тип запуска с помощью переключателя.

Здесь также показывается текущее состояние Брандмауэра. Вы можете запустить брандмауэр, остановить брандмауэр, или сохранить настройки и перезапустить брандмауэр с помощью специальных кнопок. Перезапуск рекомендуется при изменениях в локальной политике безопасности.

Интерфейсы

В Интерфейсах показываются все настроенные сетевые устройства. Здесь могут быть как реальные сетевые устройства (карты ethernet, wi-fi и т.п.), так и виртуальные (мосты, vpn и dsl соединения, и т.п.). Указываются: описание устройства, имя устройства в системе и присвоенная Брандмауэром зона, задающая политику безопасности. Вы можете назначить устройству зону, выбрав устройство в списке и нажав кнопку Изменить.... Дополнительные настройки интерфейсов для каждой зоны можно задать, нажав нопку Настроить....

Разрешенные службы

В Разрешенных службах вы можете открыть доступ к службам, запущенным в Вашей системе на определенных портах TCP и UDP, для компьютеров, находящихся в соответствующих зонах безопасности. Например, если Ваша система - маршрутизатор и Вы хотите запустить у себя в локальной сети сервер DHCP для раздачи IP адресов во внутреннюю сеть, Вам следует добавить его в список разрешенных служб во внутреннюю зону. Или в случае, если Вы хотите открыть доступ к своему веб-сайту только внешним клиентам, тогда Вам потребуется добавить сервер HTTP во внешнюю зону.

Не рекомендуется добавлять в список разрешенных служб службы, которые Вы не используете, так как это является потенциальной дырой в безопасности, снижающей эффективность брандмауэра.

Список стандартных служб:

• клиент DHCP
• сервер DHCP
• сервер DNS
• сервер HTTP
• сервер HTTPS
• сервер IMAP
• сервер IMAPS
• клиент IPP
• сервер IPP
• IPsec
• сервер LDAP
• сервер LDAPS
• почтовый сервер
• клиент NFS
• сервер NFS
• клиент NIS
• сервер NIS
• сервер NTP
• сервер POP3
• сервер POP3S
• удаленное администрирование
• Remote Synchronization
• SLP Daemon
• SSH
• сервер Samba
• сервер TFTP

Для добавления службы выберите необходимую службу в выпадающем списке и нажмите кнопку Добавить. Для удаления службы выберите ее в списке разрешенных служб и нажмите кнопку Удалить. Для добавления служб, отсутствующих в списке, нажмите кнопку Дополнительно... и введите необходимые порты TCP, UDP, RPC, и протоколы, которые используются этими службами.

Вы также можете защитить свою систему от полного доступа к службам из Внутренней зоны, поставив флажок Защитить брандмауэр от внутренней сети. Это может быть необходимо для обеспечения подходящих уровней безопасности для различных внутренних зон в сети. Например, разделение внутренней зоны для серверов и внутренней зоны для клиентов.

Трансляция сетевых адресов

Трансляция сетевых адресов, известная также как Маскарадинг, требует наличия как минимум двух интерфейсов: один внешний, и один внутренний. Используется на маршрутизаторах для обеспечения доступа компьютеров одной сети к другим сетям. Например, при подключении локальной сети к Интернету, когда провайдером выделен только один IP адрес, или для преодоления ограничений протокола IPv4. Здесь можно настроить пересылку пакетов, идущих на некоторый порт внешнего интерфейса, на определенный хост(и порт) внутренней сети, т.е. для внешнего пользователя это будет выглядеть так, как-будто сервис запущен на самом маршрутизаторе.

Чтобы включить Трансляцию сетевых адресов установите флажок Транслировать сети. Чтобы перенаправить запросы на транслируемый IP адрес, нажмите кнопку Добавить. Вам понадобится ввести сеть источника, требуемый IP адрес, требуемый порт, а также IP адрес и порт для перенаправления. Для удаления записи выделите ее в списке и нажмите кнопку Удалить.

Пример: Вы хотите открыть доступ для подсети 5.6.0.0/16 к Вашему веб-серверу, имеющему IP адрес 192.168.0.100 во внутренней сети за маршрутизатором. Маршрутизатор подключен к сети Интернет и имеет адрес 1.2.3.4 на внешнем интерфейсе и 192.168.0.1 на внутреннем. Указываем сеть источника: 5.6.0.0/16, протокол TCP, требуемый IP: 1.2.3.4, требуемый порт: 8000, перенаправить на адрес: 192.168.0.100, на порт: 80. Теперь по адресу http://1.2.3.4:8000 для подсети 5.6.0.0/16 будет доступен Ваш веб-сервер, на самом деле находящийся по внутреннему адресу http://192.168.0.100.

Широковещательная рассылка

Здесы вы можете настроить Широковещательную рассылку для каждой из зон: Внутренней, Внешней и Демилитаризованной. Широковещательная рассылка - это пакеты, отсылаемые по всем адресам в сети. Она может иметь различное назначение, наиболее распространенным является запрос IP адреса компьютера. Компьютер рассылает запросы к DHCP серверу и ждет ответа. Ответ DHCP сервера также будет широковещательным. Другие примеры широковещательных рассылок: netbios в сетях windows, некоторые сетевые игры в поисках серверов в локальной сети. В больших локальных сетях это приводит к дополнительной нагрузке на сеть, но большинство таких рассылок не являются злонамеренными, поэтому можно снять флажок Журналировать непринятые широковещательные пакеты'. Во внешней зоне по умолчанию такие широковещательные рассылки логируются. Брандмауэр автоматически добавляют требуемые широковещательные порты для служб, выбранных в Разрешенных службах. Для добавления любых других служб в соответствующих зонах нажмите кнопку Добавить. Для удаления выберите службу в списке и нажмите кнопку Удалить.

Поддержка IPsec

Набор протоколов IPsec (IP Security) является стандартом безопасности и работает на сетевом уровне (уровень 3 модели OSI). Используется для построения виртуальных частных сетей (VPN) и для подключения удаленных пользователей к частным сетям. Многие устройства с поддержкой VPN, применяемые в корпоративных сетях, используют IPsec для обеспечения необходимого уровня безопасности при работе удаленных пользвателей из дома или других мест.

Поставьте флажок Разрешить, если Вы собираетесь использовать IPSec. Кнопка Подробности... позволяет установить уровень безопасности для таких соединений: Внешняя зона, Внутренняя зона, Демилитаризованная зона, или Та же зона, как и в оригинальной сети источника.

Уровень журналирования

В этой секции Вы можете выбрать желаемый уровень журналирования для Принятых пакетов и Непринятых пакетов. По умолчанию журналируются только критические принятые и непринятые пакеты. Возможные варианты для обоих типов: Журналировать все, Журналировать только критические, Не журналировать.

Завершение настройки

Для завершения настройки нажмите кнопку Далее. Вам будет предложена краткая сводка основных настроек брандмауэра: запуск, настройки зон безопасности по интерфейсам, разрешенные службы. Нажмите Завершить для подтверждения или Назад для корректировки. После принятия изменений рекомендуется зайти в секцию Запуск и перезапустить службу брандмауэра, нажав кнопку Сохранить настройки и перезапустить брандмауэр.

Смотрите также

• YaST

Внешние ссылки

• YaST at Novell
• Wikipedia Network Firewall Definition