Демон BSD на острове пингвинов: перестроение огненных стен::Журнал СА 5.2015

Демон BSD на острове пингвинов: перестроение огненных стен

Архив номеров / 2015 / Выпуск №5 (150) / Демон BSD на острове пингвинов: перестроение огненных стен

Рубрика: Безопасность / Фильтр пакетов

Рашид Ачилов РАШИД АЧИЛОВ, главный специалист по защите информации в компании, занимающейся автоматизацией горнодобывающей промышленности, shelton@sheltonsoft.ru
Демон BSD на острове пингвинов:

перестроение огненных стен

Преобразование набора правил ipfw из брандмауэра FreeBSD в набор правил iptables брандмауэра Linux – дело весьма непростое, практически не автоматизируемое и даже вручную скрывающее немало сюрпризов.

Ipfw vs iptables. Или, может быть, ipfw2iptables

Пожалуй, одной из самых сложных задач, которая заставила демона долго и задумчиво изучать документацию и в совершенно буквальном смысле шевелить рогом, было преобразование набора правил брандмауэра ipfw к набору правил брандмауэра iptables. Потому что, пожалуй, нет еще двух других таких программ, решающих одну и ту же задачу, но столь непохожих друг на друга.

Ipfw – монолитный файрвол, пакеты по которому проходят один или несколько раз, могут промежуточно доставляться другим программам (divert), могут использовать netgraph и прочие разные возможности, но главной его особенностью является именно монолитность – правила хранятся в виде одного списка, который может быть параметризован, поскольку загрузка правил выполняется простым выполнением скрипта rc.firewall.

Iptables – файрвол, основанный на концепции «цепочек», по которому пакеты, как правило, проходят один раз. Кроме «цепочек», есть еще таблицы, и соответственно есть множество вариантов прохождения файрвола. Имеет собственный механизм определения состояния соединений. Для понимания работы iptables обычно рисуют схемы прохождения пакетов, например, такую, как приведена на рис. 1 (конечно же, любой администратор Linux ее знает, но для последующего изложения без нее не обойтись).

Здесь мы сразу сталкиваемся с громаднейшей разницей, которая делает практически невозможным написание сколько-нибудь приемлемых автоматических конвертеров правил, – монолитный файрвол ipfw и пять таблиц в трех стандартных цепочках, что теоретически дало бы пятнадцать различных комбинаций «цепочка-таблица». К счастью, далеко не всекомбинации являются разрешенными – их «всего» одиннадцать. Это не считая пользовательских цепочек, которые можно создавать вообще в неограниченном количестве.

Поэтому все преобразования будут выполняться только вручную, путем создания нового файла с набором правил для iptables-restore или, точнее, для той его разновидности, которая используется в CentOS.

Чтобы не делать «работу ради работы», будем рассматривать преобразование части набора правил ipfw обычного сервера с DNS, почтой, прокси-сервером и различными индивидуальными правилами для работы, например, клиента Steam. Однотипные правила были из набора удалены.

Статью целиком читайте в журнале «Системный администратор», №5 за 2015 г. на страницах 34-38.

PDF-версию данного номера можно приобрести в нашем магазине.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи