Демон BSD на острове пингвинов: перестроение огненных стен::Журнал СА 5.2015
www.samag.ru
Журнал «БИТ. Бизнес&Информационные технологии»      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

ИТ-инфраструктура  

Системы мониторинга ИТ-инфраструктуры-2025

Без мониторинга ИТ-инфраструктуры не обходится ни одна компания, хотя бы потому, что

 Читать далее...

Открытое ПО  

Безопасность Open Source: рискуем или контролируем?

Компания «Кросс технолоджис» изучила, как используется ПО с открытым кодом в компаниях

 Читать далее...

Работа с нейросетью  

Скажи, есть ли у тебя AI, и я скажу, кто ты

Недавно сервис по поиску работы SuperJob выяснил, что каждый второй россиянин уже

 Читать далее...

Работа с Debian  

О Linux с любовью или Debian: через знание к любви

Конечно, одним лишь перечислением замечательных качеств любовь к Linux не возникнет. Для

 Читать далее...

Опрос  

Защита личных и клиентских данных: как мошенники используют ИИ и как защититься?

По данным RED Security, общее число кибератак на российские компании в 2024

 Читать далее...

Опрос  

Облачные инструменты для разработчиков

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Как с помощью облака сделать

 Читать далее...

Опрос  

Рынок мобильных приложений: что будет актуальным в 2025 году?

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Ваши прогнозы: чего ожидать от

 Читать далее...

Рынок труда  

Как успешно пройти все этапы собеседования на ИТ-должность?

По оценкам государства, дефицит ИТ-специалистов составляет от 740 тысяч до 1 миллиона

 Читать далее...

Спецпроект «Базальт СПО». Развитие Open Source в России  

Алексей Смирнов: «Сейчас трудно найти программный продукт, в котором нет свободного кода»

Какое будущее ждет свободное ПО? Влияет ли свободная или несвободная разработка на

 Читать далее...

Спецпроект «Базальт СПО». Развитие Open Source в России  

Николай Костригин: «Мы создали Hantis, конвейер автоматизации. Проекты, исследуемые разными инструментами, переходят от одного исполнителя к другому, развиваются, возвращаются к автору, и так по кругу»

О том, как идет работа по повышению безопасности отечественного программного обеспечения, рассказывает

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 7735
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7998
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 5347
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3410
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 4205
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 4211
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6730
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3559
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3829
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7722
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 11080
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12802
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14575
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9513
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7481
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5756
Комментарии: 4
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4960
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3819
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3496
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3726
Комментарии: 1
Рецензия на книгу «MongoDB в действии»

 Читать далее...

Друзья сайта  

 Демон BSD на острове пингвинов: перестроение огненных стен

Архив номеров / 2015 / Выпуск №5 (150) / Демон BSD на острове пингвинов: перестроение огненных стен

Рубрика: Безопасность /  Фильтр пакетов

Рашид Ачилов РАШИД АЧИЛОВ, главный специалист по защите информации в компании, занимающейся автоматизацией горнодобывающей промышленности, shelton@sheltonsoft.ru
Демон BSD на острове пингвинов:

перестроение огненных стен

Преобразование набора правил ipfw из брандмауэра FreeBSD в набор правил iptables брандмауэра Linux – дело весьма непростое, практически не автоматизируемое и даже вручную скрывающее немало сюрпризов.

Ipfw vs iptables. Или, может быть, ipfw2iptables

Пожалуй, одной из самых сложных задач, которая заставила демона долго и задумчиво изучать документацию и в совершенно буквальном смысле шевелить рогом, было преобразование набора правил брандмауэра ipfw к набору правил брандмауэра iptables. Потому что, пожалуй, нет еще двух других таких программ, решающих одну и ту же задачу, но столь непохожих друг на друга.

Ipfw – монолитный файрвол, пакеты по которому проходят один или несколько раз, могут промежуточно доставляться другим программам (divert), могут использовать netgraph и прочие разные возможности, но главной его особенностью является именно монолитность – правила хранятся в виде одного списка, который может быть параметризован, поскольку загрузка правил выполняется простым выполнением скрипта rc.firewall.

Iptables – файрвол, основанный на концепции «цепочек», по которому пакеты, как правило, проходят один раз. Кроме «цепочек», есть еще таблицы, и соответственно есть множество вариантов прохождения файрвола. Имеет собственный механизм определения состояния соединений. Для понимания работы iptables обычно рисуют схемы прохождения пакетов, например, такую, как приведена на рис. 1 (конечно же, любой администратор Linux ее знает, но для последующего изложения без нее не обойтись).

Здесь мы сразу сталкиваемся с громаднейшей разницей, которая делает практически невозможным написание сколько-нибудь приемлемых автоматических конвертеров правил, – монолитный файрвол ipfw и пять таблиц в трех стандартных цепочках, что теоретически дало бы пятнадцать различных комбинаций «цепочка-таблица». К счастью, далеко не всекомбинации являются разрешенными – их «всего» одиннадцать. Это не считая пользовательских цепочек, которые можно создавать вообще в неограниченном количестве.

Поэтому все преобразования будут выполняться только вручную, путем создания нового файла с набором правил для iptables-restore или, точнее, для той его разновидности, которая используется в CentOS.

Чтобы не делать «работу ради работы», будем рассматривать преобразование части набора правил ipfw обычного сервера с DNS, почтой, прокси-сервером и различными индивидуальными правилами для работы, например, клиента Steam. Однотипные правила были из набора удалены.

Статью целиком читайте в журнале «Системный администратор», №5 за 2015 г. на страницах 34-38.

PDF-версию данного номера можно приобрести в нашем магазине.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru