Firewall a maškaráda pro SuSE Linux 6.4/7.0/7.1

Supportní databáze (sm_masq2)
Platí pro

SuSE Linux: Verze 6.4 do 7.1


Kernel: Od verze 2.2

Dotaz:

Postup:

Poznámka:

  1. Samotná maškaráda bez filtrování

    Upozornění: tento postup sice představuje nejméně složitý způsob přístupu na Internet pro všechny interní počítače, ale neposkytuje je jim takřka žádnou ochranu. Tzn., že byste neměli tuto variantu používat v případě, že potřebujete chránit svá data.

    Druhé upozornění: od verze 7.1 byste neměli tento postup používat. Místo toho můžete použít personal firewall pro maškarádu (viz níže).

    Z tohoto důvodu zde také není uvedeno, že od verze 7.1 je /sbin/init.d přesunut do /etc/init.d. Proto také nebudou cesty v tomto odstavci odpovídat.

    Je třeba instalovat balík ipchains (série sec).

    Proměnnou START_FW v souboru /etc/rc.config nastavte na "no".

    Vytvořte soubor /sbin/init.d/masquerade (od verze 7.1 /etc/init.d/masquerade ) s následujícím obsahem:
    Protože často dochází k chybám při cut and paste mezi prohlížečem a programem, tak nejlepší je spustit následující příkaz:

    lynx -dump http://sdb.suse.de/sdb/de/html/sm_masq2.html > masquerade
    
    Potom už stačí pouze smazat text před a za skriptem.
    
    #! /bin/sh
    
    . /etc/rc.config
    
    PROG="/sbin/ipchains"
    WORLD_DEV="ippp0"
    
    return=$rc_done
    
    if [ ! -x $PROG ]
    then
      echo -n "Starting masquerading failed- install ipchains"
      return=$rc_failed
      echo -e "$return"
      exit 1
    fi
    
    case "$1" in
     start)
       echo -n "Starting masquerading"
       echo "1" > /proc/sys/net/ipv4/ip_forward
    
       $PROG -F || return=$rc_failed
       $PROG -A forward -i $WORLD_DEV -j MASQ || return=$rc_failed
    
       echo -e "$return"
       ;;
    
    stop)
       echo -n "Shutting down masquerading"
    
       $PROG -F || return=$rc_failed
    
       test "$IP_FORWARD" = no && echo "0" > /proc/sys/net/ipv4/ip_forward
    
       echo -e "$return"
       ;;
    
    *)
    
       echo "Usage: $0 {start|stop}"
       exit 1
       ;;
    esac
    
    test "$return" = "$rc_done" || exit 1
    
    exit 0
    
    

    Je třeba nahradit "ippp0" správným názvem zařízení, pomocí kterého je zprostředkováno připojení k Internetu:
    Postup platí také pro analogové připojení a ppp0

    Označte tento soubor jako spustitelný : chmod 700 /sbin/init.d/masquerade.

    Vytvořte odpovídající odkazy pro automatické spuštění při určitém runlevelu:

       ln -s ../masquerade /sbin/init.d/rc2.d/S99masquerade
       ln -s ../masquerade /sbin/init.d/rc2.d/K51masquerade
       ln -s ../masquerade /sbin/init.d/rc3.d/S99masquerade
       ln -s ../masquerade /sbin/init.d/rc3.d/K51masquerade
    

    Při dalším startu můžete přistupovat na Internet z interní sítě, pokud určíte počítač s maškarádou jako přednastavenou bránu.

  2. Maškaráda s jednoduchým filtrováním (od SuSE Linuxu 7.1)

    Od SuSE Linuxu 7.1 je lepší používat pro jednoduchou maškarádu personal-firewall. Tato možnost je také výrazně jednodušší, nabízí ale zároveň určitou ochranu interní sítě protože zakazuje všechna příchozí spojení. Je třeba pouze upravit jednu proměnnou:

    REJECT_ALL_INCOMING_CONNECTIONS v souboru /etc/rc.config.d/security.rc.config .

    Platné jsou následující hodnoty:

    Tzn., pro standardní případ síťové karty eth0 a ISDN připojení ippp0 bude zápis vypadat následovně (pokud chcete veškerý provoz interní sítě přes ippp0 maskovat a blokovat všechna příchozí spojení):

    REJECT_ALL_INCOMING_CONNECTIONS="ippp0 masq"

  3. Firewall s filtrováním paketů

    Zde je pouze krátký popis nastavení v souboru /etc/rc.config.d/firewall.rc.config.

    Je třeba mít nainstalovány následující balíky:

    Proměnnou START_FW= v souboru /etc/rc.config nastavte na "yes" tak, aby byl při startu spouštěny firewalové skripty.

    Pokud váš počítač s firewallem disponuje dynamickými IP adresami, je třeba přidat volání /sbin/SuSEfirewall do skriptu /etc/ppp/ip-up .

    Pokud používáte SuSE Linux 7.0 nebo 7.1, pak jsou již odpovídající zápisy do souboru /etc/ppp/ip-up provedeny.
    Je pouze třeba nastavit proměnnou START_FW v /etc/rc.config na hodnotu yes.
    Pokud se při startu zobrazí chybové hlášení o chybějícím zařízení, tak ho ignorujte.

    Všechna ostatní nastavení provádějte v souboru /etc/rc.config.d/firewall.rc.config.

    Věnujte obzvláštní pozornost následujícím radám:

    Pro konfiguraci vašeho firewallu vám nemůžeme poskytnout žádnou pomoc v rámci instalační podpory.

    Nezapomeňte si také přečíst dokumentaci na /usr/doc/packages/firewals pro verzi SuSE Linux 6.4, /usr/share/doc/packages/firewals pro SuSE Linux 7.0, /usr/share/doc/packages/SuSEfirewall/ pro SuSE Linux 7.1 a v manuálu.

    Pokud aplikujete pouze toto nastavení a chcete použít SuSEfirewall, není váš systém v žádném případě absolutně chráněn!
    Neexistuje žádné řešení, které jednoduše nainstalujete a jste chráněni před všemi nectnostmi sítě.

    Aby jste ještě zvýšili bezpečnost firewallu, měli by jste:

    Konfiguraci je možné provádět podle následujících možných variant:

    Jednotlivé volby:

    Následující volby by měly být ponechány ve standardním tvaru, případně editovány pouze v případě, kdy jste si naprosto jisti jejich významem:


Klíčová slova: FIREWALL, MAšKARáDA, FORWARDING, ROUTING, IPCHAINS

Zpětná vazba vítána: Send Mail to sm@suse.de (Uveďte prosím následující klíčové slovo: SDB-sm_masq2)
SDB-sm_masq2, Copyright SuSE Linux AG, Nürnberg, Germany - Verze: 25. Apr 2000
SuSE Linux AG - Poslední změnu: 01. Mai 2001 provedl sm (sdb_gen 1.40.0)