بناء جدار حماية لينكس

أولا ، نحن بحاجة الى اقامة الحبار الملقم الوكيل لتكون قادرة على أداء وكيل شفافة بالنسبة للأطفال في جهاز الكمبيوتر ومنع الوصول الى المواقع الاباحية وبعض الفيروسات.
الحبار ويمكن الاطلاع على www.squid - cache.org ، والخادم هو الأكثر استعمالا الوكيل بموجب معظم توزيعات لينكس وحزم لالحبار. وثائق أفضل لالحبار هو ملف التكوين نفسها ، والتي علقت بشكل كبير.
سوف نقوم بتشغيل الحبار على المنفذ الافتراضي ، 3128. لتكون قادرة على استخدام الحبار وكيل وشفافة ، لدينا لإضافة المعلومات التالية في ملف التكوين (عادة / الخ / الحبار / squid.conf) :

httpd_accel_host الظاهري
httpd_accel_port 80
على httpd_accel_with_proxy
على httpd_accel_uses_host_header

المقبل ، ونحن بحاجة إلى تحديد قوائم الوصول الحبار لشبكة داخلية في الحصول على الحبار ، وكذلك حرمان المواقع الاباحية وملفات خطرة. سنقوم بذلك لشبكتنا الداخلية بكاملها ، ولكن سوف نستخدم الوكيل شفافة فقط للأطفال في الكمبيوتر. أي ملف يمكن أن تكون فيروسا ، وملحقات الملفات التي تتبع هي فقط كمثال على ذلك ، لذا لا تتردد في إضافة أي ملحق الملف عليك أن تنظر في الخطورة. في الملف squid.conf ، نضيف الأسطر التالية :

دوري أبطال آسيا جميع سرك 0.0.0.0/0.0.0.0
192.168.1.0/24 our_network دوري أبطال آسيا سرك
دوري أبطال آسيا url_regex الاباحية - ط الجنس الكبار المتشددين الاباحية صنم
دوري أبطال آسيا التنزيلات urlpath_regex \. إكس $ \. رر $ \. البريدي $ \. الصندوق $ \. قرار مجلس الأمن $
http_access ينكر الاباحية
http_access ينكر التنزيلات
http_access تسمح our_network
http_access ينكر جميع

دوري أبطال آسيا المسماة "الاباحية" يحتوي على قائمة الأسماء التي لا يسمح في العنوان ، لذا لن تتمكن من الوصول إلى موقع يحتوي على واحدة من تلك الكلمات في اسمها باستخدام ملقم وكيل.
دوري أبطال آسيا ويدعى "التنزيلات" يحتوي على قائمة أنواع الملفات التي لا يسمح ليمكن الوصول إليها ، لذا لن تتمكن من تحميل الملفات ذات الامتدادات في تلك القائمة باستخدام ملقم وكيل.
الآن بعد أن أنشأنا الملقم الوكيل ، دعونا تنفيذ جدار الحماية لتتناسب مع السياسة الأمنية التي بنيت فقط.
للجهاز الألعاب ، ونحن بحاجة لمعرفة كيف يعمل ، عندما نستضيف GameSpy أركيد الألعاب على ذلك. نذهب إلى مواقعها على شبكة الإنترنت ، ونحن نرى أننا في حاجة إلى إعادة توجيه المنافذ التالية على جهاز الألعاب :

  • 6500 UDP : لGameSpy أركيد
  • 6700 UDP : لGameSpy نفق
  

دعونا إلى الأمام تلك الموانئ :

[إيبتبلس] نات ر ألف PREROUTING - ع udp -- dport 6500 - DNAT ي -- ل192.168.1.200
[إيبتبلس] نات ر ألف PREROUTING - ع udp -- dport 6700 - ي DNAT -- ل192.168.1.200

للجهاز الألعاب في العمل ، وعلينا أيضا أن أداء نات بالنسبة لها ، والتي سيتم إدراجها في قاعدة نات لشبكتنا بأكملها ، والتي ستكون في نهاية المطاف.
القادم ، نحن بحاجة لمنع الوصول للطابعة على شبكة الإنترنت. عادة ، لم نفعل الترشيح في الجدول نات ، لكننا لا نريد أن نفعل يتنكر للطابعة معالجة الملكية الفكرية. منذ الطابعة لديه عنوان بروتوكول الإنترنت الخاص ، فإنه لا يمكن الوصول إليه من الخارج ، وسوف نقوم أيضا إسقاط الحزم الخروج من eth0 في سلسلة POSTROUTING الجدول نات بحيث الطابعة معالجة الملكية الفكرية لا يحصل NATed.

[إيبتبلس] نات ر ألف POSTROUTING - eth0 - س ق ي 192.168.1.100 - إسقاط

من أجل الأطفال للكمبيوتر ، فإننا سوف تؤدي الوكيل شفافة ، وهذا يعني أن جهاز الكمبيوتر سوف تستخدم الملقم الوكيل بدون تكوين مستعرض الويب. لدينا بالفعل إعداد الملقم الوكيل ، حتى الآن نحن بحاجة لإعادة توجيه حركة المرور لجميع المنفذ 80 برنامج التعاون الفني إلى الملقم الوكيل. نريد أيضا أن الأطفال الكمبيوتر إلى 443 منفذ وصول برنامج التعاون الفني ، الذي هو HTTPS :

[إيبتبلس] نات ر ألف PREROUTING - 192.168.1.55 - ق ع برنامج التعاون الفني -- dport 80 ي توجيه -- إلى الميناء 3128
[إيبتبلس] نات ر ألف POSTROUTING - eth0 - س ق ع 192.168.1.55 - برنامج التعاون الفني -- dport 443 - ي حفلة تنكرية

الآن ، وتطلب من 192.168.1.55 لاستضافة أي وجود منفذ الوجهة 80 أو 443 وسوف نتوجه إلى الملقم الوكيل ؛ حتى يتم كل شيء محليا وليس لدينا لحفلة تنكرية 192.168.1.55 لتلك الطلبات.
القادم ، نحن بحاجة إلى حفلة تنكرية للأطفال الكمبيوتر عندما يرسل نظام أسماء النطاقات طلبات لرزقنا :

[إيبتبلس] نات ر ألف POSTROUTING - eth0 - س ق 192.168.1.55 - udp ع -- dport 53 ي حفلة تنكرية

نظام أسماء النطاقات طلبات استخدام المنفذ 53 UDP ؛ حتى الآن للأطفال الكمبيوتر يمكن الوصول إلى أية خدمة نظام أسماء النطاقات.
نريد أن نسمح لهم باستخدام ياهو! الرسول فقط من أجل الدردشة (لا صوت أو نقل الملفات). قراءة في ياهو! مساعدة رسول ، ونحن نرى أن ياهو! رسول يستخدم الموانئ 20 ، 23 ، 25 ، 80 ، 119 ، 5050 ، 8001 ، و 8002. أيضا ، ونحن نرى أن تستضيف اللازمة لالمراسلة الفورية باستخدام ياهو! رسول هي :

  1. scs.msg.yahoo.com
  2. scsa.msg.yahoo.com
  3. scsb.msg.yahoo.com
  4. scsc.msg.yahoo.com

لذلك فمن الأفضل أن حفلة تنكرية للأطفال الكمبيوتر معالجة الملكية الفكرية عند الوصول إلى تلك التي تستضيف ؛ ينبغي لنا أن نفعل مثل هذا :

[إيبتبلس] نات ر ألف POSTROUTING - س eth0 - 192.168.1.55 - ق د ي scs.msg.yahoo.com - حفلة تنكرية
[إيبتبلس] نات ر ألف POSTROUTING - س eth0 - 192.168.1.55 - ق د ي scsa.msg.yahoo.com - حفلة تنكرية
[إيبتبلس] نات ر ألف POSTROUTING - س eth0 - 192.168.1.55 - ق د ي scsb.msg.yahoo.com - حفلة تنكرية
[إيبتبلس] نات ر ألف POSTROUTING - س eth0 - 192.168.1.55 - ق د ي scsc.msg.yahoo.com - حفلة تنكرية

عند استخدام الاسم المقبول بدلا من معالجة الملكية الفكرية في بناء جملة [إيبتبلس] ، سوف الموجه لينكس حل عنوان بروتوكول الإنترنت (الخانات) من الاسم المقبول وادخال النظام في تلك النواة باستخدام عناوين بروتوكول الإنترنت. إذا كان اسم واحد هو حل قانوني على عناوين متعددة ، ثم [إيبتبلس] سوف تدرج في نواة لعدد من القواعد مساو لعدد من عناوين بروتوكول الإنترنت حلها ، بعد كل سطر واحد من عناوين بروتوكول الإنترنت حلها.

 

الآن بعد أن أنشأنا الوصول للأطفال في الكمبيوتر ، لدينا لمنع الوصول إلى الموانئ الأخرى والمضيفين. نفعل ذلك في سلسلة من POSTROUTING الجدول نات :

[إيبتبلس] نات ر ألف POSTROUTING - eth0 - س ق ي 192.168.1.55 - إسقاط

الكمبيوتر المحمول والكمبيوتر المكتبي ويجب أن تكون قادرة على الوصول إلى أي شيء ، وهكذا ، لا توجد قواعد خاصة تندس بالنسبة لهم ، باستثناء حكم حفلة تنكرية لشبكتنا ، والتي سيتم إلحاق نحن الآن :

[إيبتبلس] نات ر ألف POSTROUTING - eth0 - س ق ي 192.168.1.0/24 - حفلة تنكرية

لا بد للمرء أكثر التكوين ينبغي القيام به في الجدول نات لتوفير القدرة على الدخول عن بعد إلى كمبيوتر سطح المكتب باستخدام فنك. أنشأنا فنك الخادم لاستخدام برنامج التعاون الفني الميناء 9112 على كمبيوتر سطح المكتب ، لذلك لدينا لأداء DNAT لهذا المنفذ على النحو التالي :

[إيبتبلس] نات ر ألف PREROUTING - ع برنامج التعاون الفني -- dport 9112 - DNAT ي -- ل192.168.1.11

كل هذا هو التكوين الذي نحن بحاجة للشبكة المحلية. نحن بحاجة الى اقامة بعض القواعد جدار الحماية لتأمين جهاز التوجيه لينكس.
أولا ، نحن بحاجة سه لتشغيلها على جهاز التوجيه لينكس حتى نتمكن من إدارة عن بعد. لتأمين وصول سه ، فمن الأفضل لإنشاء سلسلة دعا سه التي يمكننا السماح أو رفض الوصول إلى سه. إذا تم اكتشاف ثغرة أمنية في OpenSSH ، فمن المحتمل جدا أن الديدان المسح الضوئي للخوادم OpenSSH على المنفذ 22 سوف تظهر في غضون ساعات قليلة. ولذلك ، فإننا قد ترغب في تشغيل خادم سه على منفذ آخر من معيار واحد (على سبيل المثال ، 1234). سلسلة سه هي التي أنشأتها :

[إيبتبلس] ن سه

المقبل ، ونحن اضافة الى وجود القاعدة التي تقول نواة للبحث عن سلسلة سه برنامج التعاون الفني لكافة الاتصالات الواردة على المنفذ 1234 :

[إيبتبلس] ألف مساهمه - ع برنامج التعاون الفني -- dport 1234 - ي سه

يجب علينا ادخال قواعد في سلسلة سه للسماح بالوصول فقط من المضيفين موثوق به. دعونا نقول أن عنوان بروتوكول الإنترنت في مكتبنا هو 1.2.3.4 :

[إيبتبلس] ألف سه - 1.2.3.4 - ق ي اعقد
[إيبتبلس] ألف سه - ق ي 192.168.1.0/27 - اعقد
[إيبتبلس] ألف سه - ق 0 / 0 - ي إسقاط

القاعدة الأولى يقبل الاتصالات من مكتبنا معالجة الملكية الفكرية 1.2.3.4. القاعدة الثانية يسمح الاتصالات الواردة سه فقط من 192.168.1.0/27 ، الذي يحتوي على عناوين بروتوكول الإنترنت من 192.168.1.1 192.168.1.32 ، كما أننا لا نريد السماح بالوصول سه من الأطفال للكمبيوتر ، وطابعة ، وجهاز الألعاب . القاعدة الثالثة يسقط كافة الاتصالات الأخرى الواردة إلى المنفذ 1234.
الملقم الوكيل (الحبار) وأمنها عن طريق استخدام قوائم الوصول. ومع ذلك ، فإن أفضل طريقة لضمان الحصول عليها والموجه لاسقاط برنامج التعاون الفني اصطناعي الحزم من الإنترنت في سلسلة الإدخال. بهذه الطريقة ، يمكن إجراء أي اتصال وارد لراوتر لينكس يكون من الإنترنت ، إلا سه على المنفذ 1234 من 1.2.3.4 ، الذي لا يوازيه قبل هذه القاعدة. نريد أيضا لقبول جميع الحزم على واجهة الاسترجاع (لو) لنظام التصنيف (الاتصالات العملية الداخلية).

[إيبتبلس] ألف مساهمه - ط الصغرى ي اعقد
[إيبتبلس] ألف مساهمه - ط eth0 - ع برنامج التعاون الفني -- اصطناعي ، ي إسقاط

إسقاط الحزم اصطناعي تؤمن حماية جيدة للعمليات التي قد يكون الخلل. ومع ذلك ، هذا قطرات فقط وصلات برنامج التعاون الفني واردة مع العلم اصطناعي مجموعة (على طلب لانشاء برنامج التعاون الفني الصدد) ، وسوف لا توفر أي حماية من البرمجيات التي تفتح منافذ UDP.

مقال مقدم من رونالد تي بيسير

تنويه :موقعنا على الانترنت ليست مسؤولة عن محتوى هذه المادة. Webarticles هو حر للمعلومات.
المهم : هذه المقالة "بناء جدار حماية لينكس" وترجم من قبل البرمجيات التلقائي. نشعر بالاسف من اجل أي الأخطاء الإملائية التي قد حدث. شكرا لتفهمكم.


Online: 359 users browsing the articles directory