建物のLinuxファイアウォール

まず、Squidプロキシサーバーをセットアップする必要がある子供のコンピュータの透過プロキシを実行するサイトおよび、一部のウイルスポルノへのアクセスを拒否できるようにする。
イカwww.squidにてcache.org発見することができますし、Linux環境下では、最も広く使用されるプロキシサーバーは、ほとんどのディストリビューションはSquid用のパッケージがあります。 Squidの最良のドキュメントファイル自体にはしっかりコメントされている構成です。
我々は、そのデフォルトポート3128上でSquidを実行します。できるようにするには透過プロキシとしてSquidを使用して、我々は、構成ファイルには、次の情報を追加する必要があります(通常は/ etc / squid /にsquid.confの):

仮想httpd_accel_host
httpd_accel_port 80
httpd_accel_with_proxyに
httpd_accel_uses_host_headerに

次に、我々は、内部ネットワーク用のSquidのアクセスリストを定義するとSquidにアクセスして、ポルノサイトや、危険なファイルを拒否する必要があります。我々は、内部ネットワーク全体に対してこれを行うだろうが、子供たちのコンピュータのためだけに、透過プロキシを使用します。任意のファイルをウイルスとは、次のファイルを拡張することができますの例と同様です;ようにしてくださいする危険性を考慮の任意のファイル拡張子を追加するには無料で感じている。 squid.confファイルでは、我々は、次の行を追加します:

すべての鉄骨のACL 0.0.0.0/0.0.0.0
ACLのour_network鉄骨192.168.1.0/24
ACLのポルノurl_regex、私はセックス大人のポルノハードフェチ
ACLをダウンロードurlpath_regex \ $ \ $ RARの\ $ジッパーexeファイル\が。pif $ \。SCRの$
http_accessポルノを否定する
http_accessダウンロードを拒否する
http_access our_network許可する
http_accessすべてを拒否

ACLは"ポルノ"という名前は、URLで許可されていない名前のリストに含まれていますので、1つのそれらの単語の、その名には、プロキシサーバーを使用しているサイトにアクセスすることができなくなります。
ACLの"ダウンロード"という名前のアクセスすることが許可されていないファイルの種類のリストに含まれていますので、そのリストの拡張機能は、プロキシサーバーを使用してファイルをダウンロードすることができなくなります。
今、私たちはプロキシサーバーを設定しているのはビルドだけでは、セキュリティポリシーと一致するようにファイアウォールを実装することができます。
ゲームデバイスでは、どのように動作を確認する必要があるときにそれを我々のホストのGameSpy Arcadeゲーム。我々は自分のウェブサイトに移動し、我々は、ゲームデバイスには、次のポートを転送する必要があります参照してください:

  • 6500のUDP:GameSpy Arcadeでの
  • 6700のUDP:GameSpyトンネル用
  

聞かせ進むこれらのポートは:

iptablesの-トンのNAT -すなわちPREROUTING - p udpを- dportと6500 -論文DNATの- 192.168.1.200に
iptablesの-トンのNAT -すなわちPREROUTING - p udpを- dportと6700 -論文DNATの- 192.168.1.200に

ゲームデバイスについては、私たちもそれを、これで終わりにされる当社のネットワーク全体のためのNATルールに含まれるNATを実行する必要が動作するように。
次に、我々は、インターネットへのネットワークプリンタへのアクセスを拒否する必要があります。通常、私たちは、NATのテーブル内のフィルタリングを行わないと、しかし、我々は、プリンタのIPアドレスをIPマスカレードを行う必要はありません。以来、プリンタは、プライベートIPアドレスを持って、それ以外からはアクセスできなくなるも、我々のパケットはeth0のnatテーブルのPOSTROUTINGチェーンのように、プリンタのIPアドレスをNATを取得しないことになるドロップされます。

iptablesの-トンのNAT - POSTROUTINGを、図書館はeth0 - 192.168.1.100 -論文を下げて

子供のコンピュータでは、我々は、そのコンピュータは、Webブラウザの設定をせずにプロキシサーバーを使用することを意味する透過プロキシが実行されます。我々はすでに、今我々のポートは、プロキシサーバーへの80のTCPのすべてのトラフィックをリダイレクトするために必要なプロキシサーバーをセットアップしている。私たちもしたい、子供たちのコンピュータにアクセスし、ポート443のTCPは、HTTPSです移動:

iptablesの-トンのNAT -入り込ん- 192.168.1.55 - pがtcp - dportとの80 -論文リダイレクト-にポート3128
iptablesの-トンのNAT - POSTROUTINGを、図書館はeth0 -仮装443 -論文192.168.1.55 - pがtcp - dportと掲載

さて、任意のホストはプロキシサーバーに移動する宛先ポート80または443のことを192.168.1.55からの要求;ので、すべてのローカルで実行され、我々 、これらの要求は192.168.1.55マスカレードする必要はありません。
次に、子供たちのコンピュータに仮装する必要があるときに、我々のプロバイダへのDNS要求を送信する:

iptablesの-トンのNAT - POSTROUTINGを、図書館はeth0 -仮装53 -論文192.168.1.55 - p udpを- dportと掲載

DNS要求をポート53でUDPを使用し、今の子供たちのコンピュータの任意のDNSサーバーにアクセスすることができます。
私たちがYahooを使ってできるようにしたい!唯一のチャットメッセンジャー(て、音声やファイル転送)。 Yahooの読書!メッセンジャーヘルプは、参照してくださいでは、Yahoo!メッセンジャーのポート、20、23、25、80、119、5050、8001を使用し、8002。また、参照してくださいでは、ホストのインスタントメッセージングヤフーを使用するために必要な! Messengerです:

  1. scs.msg.yahoo.com
  2. scsa.msg.yahoo.com
  3. scsb.msg.yahoo.com
  4. scsc.msg.yahoo.com

だから、子供のコンピュータのIPが、これらのホストにアクセスするアドレスを装うことはよい;我々は、このようにすれば:

iptablesの-トンのNAT - POSTROUTINGを、図書館はeth0、192.168.1.55掲載次元scs.msg.yahoo.com -論文仮装
iptablesの-トンのNAT - POSTROUTINGを、図書館はeth0、192.168.1.55掲載次元scsa.msg.yahoo.com -論文仮装
iptablesの-トンのNAT - POSTROUTINGを、図書館はeth0、192.168.1.55掲載次元scsb.msg.yahoo.com -論文仮装
iptablesの-トンのNAT - POSTROUTINGを、図書館はeth0、192.168.1.55掲載次元scsc.msg.yahoo.com -論文仮装

時の代わりに、iptablesの構文ではIPアドレスを正規の名前を使用して、LinuxルータのIPアドレスを正規の名前(ES)のが解決されると、カーネル、これらのIPアドレスを使用してルールを挿入します。もし1つの標準的な名が複数のIPアドレスに解決されると、iptablesはカーネル内で、それぞれの行が1つの解決済みのIPアドレスを解決するアドレスのルールはIPアドレスの数に等しい数を挿入します。

 

今では、子供たちのコンピュータへのアクセスを設定して、我々他のポートおよびホストへのアクセスを拒否する必要があります。これには、natテーブルのPOSTROUTINGチェーンで:

iptablesの-トンのNAT - POSTROUTINGを、図書館はeth0 - 192.168.1.55 -論文を下げて

ラップトップおよびデスクトップコンピュータへのアクセスもし、そのためには、特別なルールを彼らのために、今はデータを追加する当社のネットワークにはMASQUERADEルールを除いて挿入されてできるようにする必要があります:

iptablesの-トンのNAT - POSTROUTINGを、図書館はeth0 -仮装192.168.1.0/24 -論文掲載

1つ以上の構成は、natテーブル内の能力には、デスクトップコンピュータのVNCを使用してリモートにログを提供するために行われる必要があります。我々には、このポートにDNATを実行する必要がデスクトップコンピュータ上のTCPポート9112を使用してVNCサーバを設定します:

iptablesの-トンのNAT -入り込んで- p tcp - dportと9112 -論文DNATの- 192.168.1.11へ

これは我々は、ローカルネットワークのために必要なすべての設定です。我々は、Linuxルータを確保するため一部のファイアウォールルールを設定する必要があります。
ので、リモートで管理することができますまず、私たちに必要なLinuxルータ上で実行にSSH。 SSHアクセスを確保するために、それと呼ばれる、我々を許可またはSSHアクセスを拒否するSSHのチェーンを作成するのがベストです。場合の脆弱性OpenSSHに発見され、それは非常にワームはポート22上でOpenSSHサーバのための数時間で表示されます。スキャンする可能性が高い。したがって、我々は標準的な1つの例(よりも、別のポートでは、SSHサーバを実行するかもしれないが、1234)。 SSHの連鎖によって作成されます:

iptablesの-ムのSSH

次に、我々は、ポート1234上のすべての着信TCP接続のためのSSHのチェーンをルックアップするためにカーネルに指示するルールを挿入します:

iptablesの-入力で- p tcp - dportと1234 -論文のSSH

我々は信頼されたホストからのアクセスのみを許可するSSHのチェーン内の規則を挿入する必要があります。の我々の事務所では、IPアドレスが1.2.3.4であるとしましょう:

iptablesの-のSSH - 1.2.3.4 -論文同意秒
iptablesの-のSSH - 192.168.1.0/27 -論文同意秒
iptablesの-のSSH - 0 / 0 -論文を下げて

最初のルールは私たちのオフィスのIPアドレスからアドレス1.2.3.4接続を受け入れます。 2番目のルールができます192.168.1.0/27のみとして、子供たちのコンピュータからのSSHアクセスを許可する必要はありませんが、192.168.1.1から192.168.1.32には、IPアドレスが含まれてからの着信SSH接続、プリンタ、およびゲームデバイス。 3番目のルールをポート1234を使用する他のすべての着信接続が値下がりしました。
プロキシサーバ(イカ)へのアクセスリストを使用し、独自のセキュリティがあります。しかし、最善の方法は、ルータを確保するために、入力チェーンでは、インターネットからのTCP SYNパケットをドロップすることです。この方法では、Linuxルータには着信接続は、インターネットから、1.2.3.4からのポート1234上では、このルールの前にマッチでSSHを除き、行うことができます。また、(本当にループバックインターフェイス上のすべてのパケットを受け入れるように)でのIPC(内部プロセス間通信)します。

iptablesの-入力、私は本当に、論文同意する
iptablesの-入力、私はeth0 - pがtcp -合成の論文ドロップ

SYNパケットをドロップするプロセスのためにバグがある可能性のある優れた保護を提供します。しかし、SYNフラグのみが値下がりしました着信TCP接続を設定(要求)、およびソフトウェアへの保護を提供しないことのUDPポートを開き、TCP接続を設定します。

記事ロナルド商品Besser提出

免責事項:弊社のウェブサイトは、この資料の内容については責任を負いません。 Webarticles無料の情報リソースです。
重要: この記事は、"建物のLinuxファイアウォール"は、自動ソフトウェアによって翻訳された。大変申し訳ございませんが発生した可能性があります任意のスペルミスを感じている。お客様のご理解いただき、ありがとうございます。


Online: 257 users browsing the articles directory