Межсетевые экраны

IP-маскарад с помощью Iptables

Когда создавался Интернет, несколько больших блоков адресов были выделены для использования в собственных сетях. Эти адреса не маршрутизируются в Интернете, их можно использовать, не опасаясь конфликтов с другими сетями. Диапазонами собственных адресов являются

10.0.0.0 - 10.255.255.255

192.168.0.0 - 192.168.255.255

172.16.0.0 - 173.31.255.255

Используя эти адреса в своей внутренней сети и имея один внешний, маршрутизируемый IP-адрес для межсетевого экрана, вы эффективно закроете внутренние машины от внешнего доступа. С помощью Iptables несложно выстроить дополнительный защитный рубеж, используя IP-маскарад. Межсетевой экран отрезает внутренний IP-заголовок и заменяет его заголовком, задающим экран в качестве отправителя. Затем пакет данных посылается в место назначения с исходящим IP-адресом общедоступного интерфейса межсетевого экрана. Когда пакет возвращается, экран вспоминает, по какому внутреннему IP-адресу тот направлен, и переадресует его для внутренней доставки. Этот процесс называется также трансляцией сетевых адресов (NAT). В Iptables трансляцию адресов можно организовать с помощью следующих инструкций:

iptables -t nat -P POSTROUTING DROP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Флаг MASQUERADE можно сократить до MASQ. Одним из усовершенствований Iptables по сравнению с предыдущими системами, такими как Ipchains и Ipfwadm, является способность решения дополнительных задач, таких как трансляция сетевых адресов.

Теперь вы знаете, как создать базовую конфигурацию межсетевого экрана. Она проста, но возможные вариации бесконечны. Можно переадресовывать определенные порты на внутренние серверы, чтобы не назначать для них обязательно общедоступные IP-адреса. Можно вставить в экранирующий компьютер еще одну сетевую плату и сделать ее интерфейсом демилитаризованной зоны для серверов с общедоступными адресами. По продвинутым конфигурациям межсетевых экранов написаны целые тома и существует множество списков почтовой рассылки; один из лучших среди них - firewall-wizards. Чтобы подписаться на эту рассылку, направьте сообщение со словом "subscribe" в теле письма по адресу

firewall-wizards-request@honor.icsalabs.com

Список firewall-wizards содержит обсуждение всех уровней конфигурации межсетевых экранов и не ориентирован на определенных производителей, то есть обсуждаются все модели экранов - от открытых до коммерческих.

Если вы хотите быстро построить межсетевой экран, не набирая все эти инструкции Iptables и не запоминая их синтаксис, то существует инструмент, который создает экранирующие инструкции с помощью графического интерфейса, избавляя вас от технической работы.

Это небольшое изящное приспособление, именуемое Turtle Firewall, создал Андреа Фриджидо. По сути, Turtle является набором командных файлов Perl, которые делают за вас всю черновую работу по подготовке межсетевого экрана Iptables к работе. Эта программа существенно облегчает просмотр правил и проверку того, что инструкции поступают в правильном порядке. Она выполняется как служба, поэтому вам не нужно заботиться об инициализации межсетевого экрана с помощью командного файла. Она использует службу Linux Webmin, являющуюся небольшим web-сервером, позволяющим изменять конфигурацию из web-навигатора. Вообще говоря, запуск web-сервера на экранирующем компьютере несколько снижает безопасность последнего, но достигаемое упрощение конфигурирования перевешивает этот недостаток. В наше время многие коммерческие поставщики используют для конфигурирования интерфейс Web-навигатора. Важное достоинство такого подхода - возможность конфигурирования с любой машины Windows или UNIX.

Андреа предлагает также опцию коммерческой поддержки. Не более чем за 100 евро (не спрашивайте меня, сколько это долларов; во время написания книги соотношение между долларом и евро было примерно 1:1) предоставляется 30-дневная поддержка по электронной почте, так что на этапе ввода в действие без помощи вы не останетесь. Поддержка может оказаться полезной и на этапе эксплуатации, если возникают проблемы, с которыми вы не можете справиться самостоятельно.