Демон BSD на острове пингвинов: перестроение огненных стен::Журнал СА 5.2015
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Наука и технологии
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
20.12.2019г.
Просмотров: 5077
Комментарии: 0
Dr.Web: всё под контролем

 Читать далее...

04.12.2019г.
Просмотров: 6321
Комментарии: 0
Особенности сертификаций по этичному хакингу

 Читать далее...

28.05.2019г.
Просмотров: 7575
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 7899
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 6952
Комментарии: 0
Django 2 в примерах

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Демон BSD на острове пингвинов: перестроение огненных стен

Архив номеров / 2015 / Выпуск №5 (150) / Демон BSD на острове пингвинов: перестроение огненных стен

Рубрика: Безопасность /  Фильтр пакетов

Рашид Ачилов РАШИД АЧИЛОВ, главный специалист по защите информации в компании, занимающейся автоматизацией горнодобывающей промышленности, shelton@sheltonsoft.ru
Демон BSD на острове пингвинов:

перестроение огненных стен

Преобразование набора правил ipfw из брандмауэра FreeBSD в набор правил iptables брандмауэра Linux – дело весьма непростое, практически не автоматизируемое и даже вручную скрывающее немало сюрпризов.

Ipfw vs iptables. Или, может быть, ipfw2iptables

Пожалуй, одной из самых сложных задач, которая заставила демона долго и задумчиво изучать документацию и в совершенно буквальном смысле шевелить рогом, было преобразование набора правил брандмауэра ipfw к набору правил брандмауэра iptables. Потому что, пожалуй, нет еще двух других таких программ, решающих одну и ту же задачу, но столь непохожих друг на друга.

Ipfw – монолитный файрвол, пакеты по которому проходят один или несколько раз, могут промежуточно доставляться другим программам (divert), могут использовать netgraph и прочие разные возможности, но главной его особенностью является именно монолитность – правила хранятся в виде одного списка, который может быть параметризован, поскольку загрузка правил выполняется простым выполнением скрипта rc.firewall.

Iptables – файрвол, основанный на концепции «цепочек», по которому пакеты, как правило, проходят один раз. Кроме «цепочек», есть еще таблицы, и соответственно есть множество вариантов прохождения файрвола. Имеет собственный механизм определения состояния соединений. Для понимания работы iptables обычно рисуют схемы прохождения пакетов, например, такую, как приведена на рис. 1 (конечно же, любой администратор Linux ее знает, но для последующего изложения без нее не обойтись).

Здесь мы сразу сталкиваемся с громаднейшей разницей, которая делает практически невозможным написание сколько-нибудь приемлемых автоматических конвертеров правил, – монолитный файрвол ipfw и пять таблиц в трех стандартных цепочках, что теоретически дало бы пятнадцать различных комбинаций «цепочка-таблица». К счастью, далеко не всекомбинации являются разрешенными – их «всего» одиннадцать. Это не считая пользовательских цепочек, которые можно создавать вообще в неограниченном количестве.

Поэтому все преобразования будут выполняться только вручную, путем создания нового файла с набором правил для iptables-restore или, точнее, для той его разновидности, которая используется в CentOS.

Чтобы не делать «работу ради работы», будем рассматривать преобразование части набора правил ipfw обычного сервера с DNS, почтой, прокси-сервером и различными индивидуальными правилами для работы, например, клиента Steam. Однотипные правила были из набора удалены.

Статью целиком читайте в журнале «Системный администратор», №5 за 2015 г. на страницах 34-38.

PDF-версию данного номера можно приобрести в нашем магазине.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru