Enseñarle completamente libre de firewall de Linux de construcción propia

Un firewall es un producto de software o hardware que establece una barrera de seguridad entre una red confiable y una red no confiable. El núcleo del sistema operativo Linux tiene capacidad de filtrado de paquetes. El administrador del sistema puede configurar un conjunto de reglas a través de la herramienta de administración para establecer un firewall basado en Linux. Este conjunto de reglas se utiliza para filtrar los paquetes o hosts recibidos o enviados por el host desde una tarjeta de red a otra. El paquete, con una PC inactiva, puede reemplazar el costoso hardware de firewall dedicado, que es digno de referencia para algunas pymes o usuarios departamentales. Primero, el tipo de firewall y la estrategia de diseño Al construir un firewall, a menudo se usan dos métodos, el filtrado de paquetes y los servicios de proxy de aplicación. El filtrado de paquetes se refiere al establecimiento de reglas de filtrado de paquetes. Sobre la base de estas reglas y la información del encabezado IP, la capa de red determina si se debe permitir o rechazar el paquete. Si el uso de FTP está permitido o prohibido, pero las funciones específicas de FTP (como el uso de Get and Put) no se pueden desactivar. El servicio de proxy de la aplicación se completa con un servidor proxy ubicado entre la intranet y la extranet. Funciona en la capa de la aplicación y distribuye varias solicitudes de servicio para que los usuarios entren y salgan de la red, como FTP y Telenet. Actualmente, los firewalls generalmente utilizan firewalls de doble enlace, hosts seleccionados (ScreenedHostFirewall) y subredes filtradas (ScreenedSubnetFirewall). Una arquitectura de máquina de doble origen significa que al menos dos interfaces de red de la computadora que aloja la tarea de servicio proxy están conectadas entre la red interna y la red externa. La estructura de host blindada significa que la computadora que realiza la tarea de servicio proxy solo está conectada al host de la intranet. La estructura de subred blindada agrega una capa adicional de seguridad a la estructura del host blindado, que agrega una red perimetral y separa las redes internas y externas. Las reglas de firewall se utilizan para definir qué paquetes o servicios están permitidos /rechazados. Existen dos estrategias principales. Una es permitir primero cualquier acceso, luego indicar el elemento rechazado, la otra es rechazar primero cualquier acceso y luego especificar los elementos permitidos. En general, adoptaremos la segunda estrategia. Debido a que desde un punto de vista lógico, la especificación de una lista más pequeña de reglas en el firewall permite pasar a través del firewall, es más fácil de implementar a través de un firewall que especificar una lista más grande. Desde la perspectiva del desarrollo de Internet, constantemente surgen nuevos protocolos y servicios, y hay tiempo para revisar las vulnerabilidades de seguridad antes de permitir que estos protocolos y servicios pasen a través del firewall. En segundo lugar, la realización del firewall del sistema operativo basado en Linux. El firewall basado en el sistema operativo basado en Linux es un firewall compuesto que consiste en un firewall de filtrado de paquetes y filtrado de paquetes y servicios de proxy creados con las capacidades de filtrado de paquetes de su núcleo. Veamos cómo configurar un servidor de seguridad basado en Linux de host doble. Dado que los núcleos de Linux son diferentes, el método de configuración del filtrado de paquetes proporcionado es diferente. IpFwadm se basa en ipfw en Unix, solo funciona con kernels antes de Linux 2.0.36; para Linux 2.2 y versiones posteriores, se usa Ipchains. IpFwadm e Ipchains funcionan de manera similar. De las cuatro cadenas configuradas con ellos, tres están definidas en el inicio del kernel de Linux: InputChains, OutputChains y ForwardChains, más una cadena definida por el usuario.
(UserDefinedChains). La cadena de entrada define las reglas de filtrado para los paquetes entrantes. La cadena saliente define las reglas de filtrado para los paquetes salientes. La cadena de reenvío define las reglas de filtrado para reenviar paquetes. Estas cadenas deciden cómo manejar los paquetes IP entrantes y salientes. Cuando un paquete proviene de la tarjeta de red, el kernel usa las reglas de la cadena entrante para determinar el flujo del paquete. Si está permitido, el kernel determina dónde se enviará el paquete a continuación. Si se envía a otra máquina, el kernel usa las reglas de la cadena de reenvío para determinar el flujo del paquete, antes de que se envíe un paquete, el kernel usa las reglas de la cadena saliente para determinar el flujo del paquete. Cada regla en una cadena particular se usa para determinar el paquete IP. Si el paquete no coincide con la primera regla, entonces se verifica la siguiente regla. Cuando se encuentra una regla coincidente, la regla especifica el objetivo del paquete. El objetivo puede ser una cadena definida por el usuario o Aceptar, Denegar, Rechazar, Devolver, Masq y Redirigir. Entre ellos, Aceptar significa permiso; Denegar significa rechazo; Rechazar significa descartar el paquete recibido, pero genera una respuesta ICMP al remitente; Retorno significa detener el procesamiento de reglas, saltar al final de la cadena; Masq significa cadena definida y definida por el usuario La función es hacer que el núcleo se oculte de este paquete; la redirección solo funciona en la cadena entrante y en la cadena definida por el usuario, de modo que el núcleo redireccionará este paquete al puerto local. Para que funcionen Masq y Redirect, podemos seleccionar Config_IP_Masquerading y Config_IP_Transparent_Proxy al compilar el kernel. Supongamos que hay una LAN para conectarse a Internet, la dirección de la red pública es 202.101.2.25. La dirección privada de la intranet usa la dirección de Clase C 192.168.0.0 a 192.168.255.0 como se especifica en RFC1597. Para la conveniencia de la explicación, tomamos 3 computadoras como ejemplo. De hecho, se puede ampliar a un máximo de 254 computadoras. Los pasos específicos son los siguientes: 1. Instale dos tarjetas de red ech0 y ech1 en un host Linux, y asigne una dirección privada de red interna 191.168.100.0 a la tarjeta de red ech0 para conectarse a la intranet, asigne una dirección de red pública 202.101 a la tarjeta de red ech1. .2.25, utilizado para conectarse a internet. 2. Establezca las cadenas de entrada, adelante, saliente y definidas por el usuario en el host de Linux. Este artículo primero permite que toda la información fluya dentro y fuera, y también permite el reenvío de paquetes, pero prohíbe algunos paquetes peligrosos, como paquetes de suplantación de IP, paquetes de difusión y paquetes de ataque de tipo de servicio ICMP. La configuración específica es la siguiente: (1) Actualizar todas las reglas (2) Establecer reglas iniciales (3) Establecer reglas de bucle local Los paquetes entre procesos locales pueden pasar.
(4) Prohibir la falsificación de IP (5) Prohibir paquetes de difusión (6) Establecer reglas de reenvío de ech0 (7) Establecer reglas de reenvío de ech1 Guardar las reglas en el archivo /etc/rc.firewallrules, y usar chmod para dar permiso de ejecución al archivo, en /etc Agregue una línea /etc/rc.firewallrules a /rc.d.rc.local para que estas reglas surtan efecto cuando se inicie el sistema. A través de la configuración de los pasos anteriores, podemos construir un firewall de filtrado de paquetes basado en el sistema operativo Linux. Tiene las ventajas de una configuración simple, una alta seguridad y una gran capacidad de recuperación, especialmente el uso de computadoras inactivas y el sistema operativo Linux gratuito para lograr la inversión mínima y la máxima salida del firewall. Además, si un servidor proxy, como el paquete de software gratuito TIS Firewall Toolkit, se agrega al filtrado de paquetes, se puede construir un firewall compuesto más seguro.