I В компьютерной терминологии термин демилитаризованная зона относится в к сети периметра, являющейся подсетью или сетью, находящейся между внут1 ренней сетью и Интернетом. Например, ваша частная сеть может использовать I внутреннюю сеть 192.168.1.0, демилитаризованную зону 10.0.0.0 и общедоступ| ный интернетблок 70.253.158.0.
| Демилитаризованные зоны применяются для хранения в них серверов, кото| рые должны быть доступны из окружающего мира, например DNSсерверы, I почтовые серверы и вебсерверы. Связь между Интернетом и демилитаризованной
| зоной обычно контролируется с использованием преобразования адресов портов | (PAT).
I Ресурс и назначение для каждого пакета IP содержит IPадрес и порт. Трансj ляция портов вносит изменения в адреса отправителя и получателя пакета | данных. Для назначения различных компьютеров внутри сети используются I номера портов, а не IPадреса.
J Демилитаризованная зона обычно находится между двумя шлюзами или | брандмауэрами для соединения обоих с картой сетевого интерфейса, которая, 1 в свою очередь, соединена с внутренней сетью и Интернетом. ДемилитаризоI ванная зона может предотвратить случайный сбой конфигурации, который | позволил бы доступ из Интернета во внутреннюю сеть. Мы называем это бранд| мауэром промежуточной подсети.
Для наших целей мы ограничим конфигурацию шлюза передачей пакетов: не будем тратить время на демилитаризованную зону, требующую больше оборудования и усилий. Для построения шлюза вам потребуется следующее: О выделенный компьютер для работы в качестве шлюза; О соединение с Интернетом и две сетевые карты; О небольшой свитч для клиентских машин для связи со шлюзом; О установленные iptables.
Допустим, что ethO — это ваше соединение с Интернетом, a ethl — ваш внутренний шлюз в этой конфигурации. Исправьте файл конфигурации для ethO — /etc/ sysconfig/networking/devices/ifcfgethO — для включения следующих строк:
0NB00T=yes
USERCTL=no
IPV6INIT=no
PEERDNS=yes
GATEWAY=70.253.158.46
TYPE=Ethernet
DEVICE=ethO
HWADDR=00:04:61:43:75:ее B00TPR0T0=none NETMASK=255.255.255.248 IPADDR=70.253.158.43
Конфигурация для ethl должна выглядеть так:
0NB00T=yes
USERCTL=no
IPV6INIT=no
PEERDNS=yes
TYPE=Ethernet
DEVICE=ethl
HWADDR=00:13:46:e6:e5:83 BOOTPROTOnone NETMASK=255.255.255.0 IPADDR=192.168.1.1
Информацию об указанных параметрах конфигурации можно найти в файле sysconfig.txt, который вы найдете в директории с именем, похожим на /usr/share/ doc/initscripts7.93.7.
Получив конфигурацию с сетевыми картами, убедитесь, что у вас установлены iptables. Вы должны увидеть следующий код:
[root@host2 devices]! rpm q iptables
iptables1.3.51.2
[root@host2 devices]!
Если у вас не установлены iptables, установите их и загрузите модули.
! Fedora 5 инсталлирует iptables, используя программу Добавить/Удалить, расположенную fc. прямо над меню приложения на панели GNOME. Кроме того, как часть процесса установки ' выполняется загрузка модулей ядра.
Затем наберите следующий код:
! iptables t nat A P0STR0UTING о ethO j MASQUERADE
Теперь исправьте файл /etc/sysctl .conf, изменив net.ipv4.ip_forward = 0 на 1, чтобы оставить его рабочим на момент перезагрузки. Укажите системе перечитать файл /etc/sysctl .conf, выполнив следующую команду:
# sysctl рНаконец, если у вас небольшая организация, можете добавить на сервер DHCP, используя простую версию dhcpd. conf:
ddnsupdatestyle interim; defaultleasetime 600:
maxleasetime 7200:
subnet 192.168.1.0 netmask 255.255.255.0 { option routers 192.168.1.1: option subnetmask 255.255.255.0: option domainnameservers serverl.centralsoft.org,
server2.central soft.org: range 192.168.1.2 192.168.100.254;
}
Другой подход к службам шлюзов. В этом разделе описывается использование поставляемых в комплекте шлюзов и комбинированных продуктов брандмауэра с большим количеством возможностей. Существует несколько комплектов, например Firestarter, IPCop, Netfilter и Shorewall. В литературе о Linux вы встретите упоминания о Smoothwall и ClarkConnect, но это коммерческие продукты, устанавливающие целый дистрибутив Linux, а не отдельные приложения.
Для описания в этой главе мы выбрали Firestarter. Однако вы можете захотеть познакомиться с Shorewall, конфигурационной утилитой для Netfilter (инструмент командной строки).
Вы можете загрузить Firestarter из архивов Fedora. В нашей установке задействован такой пакет:
[root@host2 ]# rpm q firestarter firestarter1.0.311.fc5 [root@host2 ]#
Мастер настройки брандмауэра Firestarter (рис. 8.5) в первый раз запускается администратором, задействующим программу. Вы можете перезапустить мастер из меню брандмауэра в основном интерфейсе, а также изменить выбор с помощью команды Preferences.
После заставки последует серия окон конфигурации, первым из которых будет окно настройки сетевого устройства (рис. 8.6), позволяющее настроить двойную сетевую карту.
Firestarter обращается к своей основной функции — распределению соединений. Однако поскольку он использует преобразование сетевых адресов, то работает в качестве шлюза. Таким образом, клиент ПК и внутренняя локальная сеть выглядят как единая машина с одним IPадресом в Интернете. Это становится очевидным на примере окна с глобальными параметрами, показанного на рис. 8.7. Обратите внимание, что первое описание относится к сетевому устройству соединения с Интернетом (раздел Internet connected network device), а второе касается устройства соединения по локальной сети (раздел Local network connected device).
В нижней части на рис. 8.7 вы также можете видеть, что Firestarter позволяет администратору использовать существующую конфигурацию DHCP или создавать новую. Рассмотрим содержимое файла dhcpd. conf для Firestarter:
Файл resol v. conf на шлюзе указывает на настройки конфигурации DHCP клиентской машины, когда Firestarter читает этот файл и помещает адреса DNScepвера в dhcpd.conf.
Основной интерфейс Firestarter обеспечивает вид статуса шлюза и соединений с хостами DHCP. Он также предоставляет обобщение событий и функций, как показано на рис. 8.8.
На рис. 8.9 вы можете видеть события, отображающиеся на второй вкладке основного интерфейса. Здесь можно отметить блокированные соединения.
Панель событий предоставляет журнал попыток взлома брандмауэра. Это может быть для вас полезно, если злоумышленники попытаются проникнуть в вашу систему. Если они кажутся слишком настойчивыми, добавьте их IPадреса в файл /etc/hosts .deny. Если ктонибудь попробует войти через порт ssh 22, используя словарную атаку, то можете просто закрыть этот порт с помощью Firestarter.
Значок Firestarter становится красным, если обнаруживается выполнение потенциального эксплоита1. Обратите внимание на сообщение вверху на рис. 8.10: Hit from 221.237.38.68 detracted. Это стоит рассмотреть.
Эксплоит — это программа, которая написана с целью эксплуатации конкретной уязвимости в конкретном приложении (ОС, обычной программе, вебприложении
На третьей вкладке основного интерфейса можно устанавливать допуск для сервисов, которые вы хотите или не хотите разрешить. Например, мы разрешаем соединения SSH с брандмауэром снаружи, то есть устанавливаем условие работы SSH на порту 22.
Firestarter использует мастер настройки для конфигурирования допуска к шлюзу. Вы можете получить представление о том, как это работает, посмотрев на рис. 8.11.
На рис. 8.11 показано окно под названием Add new inbound rule. Оно появляется после того, как вы нажимаете кнопку Add Rule на вкладке Policy. В этом окне вы можете видеть подборку параметров, которые следует использовать для добавления служб к сети. Подобное окно существует для исходящего сервиса, который вы предоставляете пользователям.
Можно сделать вывод, что Firestarter — это приложение, которое просто конфигурировать. Разработчики проекта прекрасно поработали над документированием процедур, собрав все описания в удобном пользовательском руководстве, которое вы можете найти по адресу http://fssecurity.com/docs.php.
Здесь вы могли бы поинтересоваться, почему мы включаем приложение, зависящее от Jj. Рабочего стола GNOME. Вспомните, что для работы с локальными сетями мы выбрали '' вариант Fedora, что было сделано благодаря его широкому набору инструментов. Добавление Firestarter отвечает нашей философии не отказываться от использования интерфейса командной строки.