Webmin на практике. Работа с IPFilter

Поводом для написания этого лабораторного практикума стал коробочный вариант фаравола pfSense. Там в качестве файрвола используется программа PF. Я посмотрел, как там создаются правила, очень легко и просто и решил найти инструмент в Webmin, который был бы также прост и удобен, как и PF в pfSense. После просмотра модуля BSD Firewall, который используется для настройки IPFW, я попробовал другой модуль, который ставится по умолчанию после установки - IPFilter и он меня полностью устроил в плане лёгкости установки и настройки правил. Если вы строите брэндмауер на предприятии, то после вас, любой мало-мало понимающий админ сможет в нём разобраться.

1. Установка

Для того, чтобы его активировать придётся пересобрать ядро. Так уже повелось, что я не подгружаю данные вещи модулями :) Добавляем в ядро следующие строчки:

options IPFILTER
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK

Пересобираем ядро.

Далее, в /etc/rc.conf добавляем следующее:

ipfilter_enable="YES"
ipfilter_rules="/etc/ipf/ipf.conf"
ipmon_enable="YES"
ipmon_flags="-Dsn"
gateway_enable="YES"
ipnat_enable="YES"
ipnat_rules="/etc/ipf/ipnat.conf"

2. Итак, после всего ребутим сервер и начинаем настраивать фаравол в Webmin.  Для начала смотрим в конфигурацию модуля и видим, что для того, чтобы у нас всё заработало требуется сделать конфиги там, где они должны быть. Пути к конфигам мы также видим и в файле /etc/rc.conf.

Создаём каталог ipf в каталоге /etc, так как его по умолчанию там нет. Затем создаём два файла: ipf.conf (touch /etc/ipf/ipf.conf) и ipnat.conf (touch /etc/ipf/ipnat.conf). Всё. Теперь идём в Webmin и начинаем настраивать правила.

3. Сначала нужно разрешить всё отовсюду, что мы и сделаем нажав соответствующую кнопку, при этом также поставим галочку, что нужно сделать так, чтобы файервол грузился при загрузке машины. После того, как мы это сделаем, в файле /etc/rc.conf будет видна новая строчка, которую Webmin прописал: webmin_ipfilter_enable="YES"

На этом основная часть установки фаравола закончена. Дальше можно приступать к настройке правил. Чтобы настроить самый минимум, требуется знать, что такое интерфейс, типы пакетов (ICMP,UDP,TCP), знать об адресации и масках. Если эти знания имеются, то настроить бесплатный файервол не составит труда :) Про бесплатно я сказал, потому что большинство программного обеспечения на *nix - бесплатно, а обычный пользователь платит деньги за то, что он может бесплатно получить, если немного проявит терпения и попробует что-то сделать. Про сети сейчас рассказывают даже в колледжах. Вопрос в том, что вместо того, чтобы понимать люди часто забивают на эти основы и получают дипломы без знаний необходимых для экономии денег в этой сфере...хотя, как мне кажется, не только в этой, а во всех :) Ни в Access, ни в Excel толком работать не умеют, не могут оптимизировать своё рабочий процесс экономя время. Но это я отвлёкся.

Итак, принцип построения правил обычный. Сначала разрешаем localhost. Настраиваем трансляцию адресов (NAT). Правила идут сверху вниз. То есть если сверху вы поставите правило, которое разрешает доступ к хосту, а где-то ниже по списку вы его запретите, то доступ всё равно будет разрешён, так как фаравол проверяет условия сверху, до первого совпадения.

Ну и собственно всё. Дальше правила индивидуальные. Настраивайте и наслаждайтесь :)




Ссылки:

К содержанию

© Copyright 2004-2017 - CMS Made Simple
Сайт работает на CMS Made Simple version 1.4.1

© Все печеньки Break-people.ru принадлежат авторам проекта.

Яндекс цитирования Рейтинг@Mail.ru Яндекс.Метрика