Firewalle i proxy serwery v.0.1 8 lipiec 1997 Mark Grennan, markg@netplus.net tłumacz: Ziemek Borowski <ziembor@ziembor.waw.pl> v0.4, 8 listopad 1996 Dokument ten powstał w celu uczenia podstaw systemów firewalli oraz dostarczenia niektórych szczegółów w zakresie ustawania (konfigurowania) filtrujšcych i posredniczacych firwalli na Linuxie. Oryginalna wersja tego dokumentu znajduje się pod adresem: <http://okcforum.org/~markg/Firewall-HOWTO.html> za polskie tłumaczenie: <http://www.ziembor.waw.pl/~ziembor/JTZ/Firewall-HOWTO.pl.html> ______________________________________________________________________ Table of Contents: 1. Wprowadzenie 1.1. Informacja zwrotna, uwagi. 1.2. Deklaracje 1.3. Copyright 1.4. Moje pobudki do tej pracy. 1.5. TODO (do zrobienia) 1.6. Zobacz także: 2. Understanding Firewalls 2.1. Wady firewalli 2.2. Typy firewalli 2.2.1. Filtujšce firwalle 2.2.2. Serwery proxy 3. Ustawianie firewalla 3.1. Wymagania sprzętowe. 4. Oprogramowanie dla firewalli 4.1. Dostępne pakiety 4.2. TIS Firewall Toolkit kontra SOCKS 5. Przygotowanie Linuxa 5.1. Kompilacja jšdra. 5.2. Ustawienie dwóch kart sieciowych 5.3. Ustawienie adresów sieciowych 5.4. Testowanie twojej sieci 5.5. Zabezpieczanie firewalla. 6. Konfigurowanie filtrowania IP (IPFWADM) 7. Instalowania serwera proxy - TIS 7.1. Pobranie oprogramowania 7.2. Kompilacja TIS FWTK 7.3. Instalacja TIS FWTK 7.4. Konfiguracja firewalla TIS FWTK 7.4.1. Plik netperm-table 7.4.2. Plik inetd.conf 7.4.3. Plik /etc/services 8. Serwer proxy SOCKS 8.1. Konfigurowanie serwera Proxy 8.2. Konfiguracja serwera proxy 8.2.1. Plik dostępu. Access File 8.2.2. Tablica trasowania 8.2.3. DNS zza firewalla Ustawienie usługi DNS zza firewalla jest prostym zadaniem. Potrzeba jedynie ustawienia DNS na maszynie z firewallem. I inne maszyny za firewallem będš go używały. 8.3. Współpraca z serwerami proxy 8.3.1. Unix 8.3.2. MS Windows i Trumpet Winsock 8.3.3. Ustawienie serwera poredniczšcego do pracy z pakietami UDP. 8.4. Wady serwerów proxych 9. Konfiguracja zaawansowana. 9.1. Wielkie sieci wymagajš położenia nacisku na bezpieczeństwo 9.1.1. Konfiguracja sieci 9.1.2. Serwer proxy 10. Od tłumacza. ______________________________________________________________________ 1. Wprowadzenie Dokument ten Firewall-HOWTO został napisany przez Davida Ruddera <mailto:drig@execpc.com>. Chciałbym Mu podziękować za zezwolenie na uaktualnienie jego pracy. Firewalle zyskały ostatnio wielkš sławę jako defintywne rozwišzanie w dziedzinie bezpieczeństwa Internetu. Większoć tej sławy jest zasłużona, jednak częć wynika z nieporozumienia. To JTZ ma na celu przeglšd: czym sš firewalle, jak je konfigurować, czym sš serwery proxy i jak je konfigurować oraz aplikacje (zastosowania) tej technologii poza zakresem bezpieczeństwa. 1.1. Informacja zwrotna, uwagi. Wszelkie uwagi będš mile widziane. Proszęę: DONOŚCIE O WSZELKICH NIEŚCISŁOŚCIACH W TYM DOKUMENCIE . Jestem człowiekiem, i jestem omylny. Jeli znajdziesz jakie popraw je (w moim najwyższym interesie). Będę próbował odpowiedzieć na wszystkie listy, ale jestem zajętym człowiekiem, tak więc nie obrażaj się proszę jeli nie odpowiem. ___ ______ <markg@netplus.net> 1.2. Deklaracje NIE ODPOWIADAM ZA JAKIEKOLWIEK ZNISZCZENIA WYNIKAJĽCE ZE STOSOWANIA TEGO DOKUMENTU Dokument ten jest pomylany jako wprowadzenie do technologii firewalli i serwerów proxy. Nie jestem, i nie zamierzam sobie rocić pretensji do bycia ekspertem w sprawach bezpieczeństwa. Jestem po prostu człowiekiem który przeczytał co nieco, i pasjonuje się komputerami bardziej niż inni. Proszę, piszšc ten tekst chcę pomóc ludziom zaznajomić się z tym tematem, i nie jestem gotów dawać głowy za dokładnoć podawanych przeze mnie danych. 1.3. Copyright Jeli nie jest powiedziane inaczej, prawa autorskie dokumenty z serii _____ ___ __ ______ należš do każdego z autorów. Mogš być powielane i rozpowszechniane w w całoci w częciach, w formie "papierowej" i elektronicznej dopóki wszędzie (w każdej z częci) zachowana jest informacja o prawach i autorstwie. Komercyjna redystrybucja jest dozwolona i wskazana; jednakże, autor powinien być poinformowany o tym fakcie. Wszystkie tłumaczenia, poprawki językowe, i prace włšczajšce muszš zawierać niniejszš notę o prawach autorskich. Jeli masz jakie zapytania, proszę o kontakt: Mark Grennan <mailto:markg@netplus.net>. 1.4. Moje pobudki do tej pracy. Pomimo wielu dyskusji w grupach comp.os.linux.* (w cišgu ostatniego roku) na temat firewalli wydaje mi się trudnym znalezienie informacji których potrzebowałem do ustawienia i skonfigurowania firewalla. Oryginalna wersja tego HOWto była pomocna, ale nieaktualna. Mam nadzieję, że ta poprawiona wersja "Firewall HOWto" autorstwa Davida Ruddera dostarczy wszystkim informacji jakiej potrzebujš do stworzenia działajšcych "cian ognia" w cišgu godzin, nie tygodni. Poza tym uważam że powinienem zwrócić mój dług społecznoci Linuxowej. 1.5. TODO (do zrobienia) ˇ Instrukcje na temat ustawień klientów ˇ Znalezienie dobrych serwerów proxych dla usług bazujšcych na UDP działajšcych na Linuxie. 1.6. Zobacz takżże: ˇ NET-2 HOWTO <http://www.ippt.gov.pl/~ppogorze/Linux/JTZ/zrobione/> ˇ The Ethernet HOWTO ˇ The Multiple Ethernet Mini HOWTO ˇ Networking with Linux ˇ The PPP HOWTO ˇ TCP/IP Network Administrator's Guide by O'Reilly and Associates ˇ The Documentation for the TIS Firewall Toolkit Węzeł pajęczyny należšcy do Trusted Information System's (TIS) posiada wspaniała kolekcję dokumentacji dotyczšcej firewalli i pokrewnych tematów. Poza tym pracuję na projektem dotyczšcym bezpieczeństwa: "Bezpieczny Linux". W miejscu tym zgromadziłem wszystkie informacje, dokumentacje i programy potrzebne do stworzenia bezpiecznego Linuxa. Napisz do mnie jeli chcesz otrzymać więcej informacji. 2. Understanding Firewalls Firewall - "ciana ogniowa" jest terminem wziętym z konstrukcji samochodu. W samochodach firewalle fizycznynie oddzielajš silnik od pasażerów. To znaczy, że chroniš one pasażerów w wypadku gdy silnik zapali się cały czas dostarczajšc kontroli nad nim. Komputerowe firewalle sš urzšdzeniami, które chroniš sieci prywatne od częci publicznej (jakiej jak Internet). Komputer będšcy "cianš ognia" od tej chwili nazywany "firewallem" może (musi) być obecny tak w sieci chronionej jak i w Internecie. Chroniona sieć nie może być osišgalna z Internetu, podobnie jak Internet nie może być osišgalny z chronionej sieci. Dla niektórych dosięgnięcie Internetu z izolowanej sieci jest możliwe jedynie poprzez zalogowanie się na firewallu (telnetem) i penetracja Sieci stamtšd. Najprostszš formš firewalla jest podwójnie zadomowiony system (tj. system z podwójnym połšczeniem sieciowym). Jeli możesz ZAUFAĆ WSZYSTKIM swoim użytkownikom, możesz prosto skonfigurować Linuxa (wyłšczajšc przy kompilacji jšdra forwarding / gatewaying) Mogš oni logować się na tym systemie i używać aplikacji sieciowych takich jak telnet, FTP, czytać pocztę i innych jakich dostarczasz. Z takim ustawieniem, tylko jeden komputer z twojej sieci widzi resztę wiata poza firewallem. Pozostałe systemy w twojej chronionej sieci nie potrzebujš nawet ustawienia domylnego routingu. Aby powyższy firewall działał MUSISZ UFAĆĆ WSZYSTKIM SWOIM UŻŻYTKOWNIKOM Nie jest to zalecane rozwišzanie. 2.1. Wady firewalli Problemem filtrujšcych firewalli jest to, że ograniczajš dostęp do twojej sieci z Internetu. Tylko usługi na filtrowanie których zezwoliłe sš dostępne. Na serwerach proxych użytkownicy mogš autoryzować się na firewallu i dopiero wtedy majš (z systemu wewnštrz sieci prywatnej) dostęp do Internetu. Poza tym, nowe typy klientów sieciowych i serwerów przybywajš prawie codziennie. Musisz wtedy wynaleźć nowy sposób zezwolenia na kontrolowany ich dostęp do twojej sieci, zanim będš użyte. 2.2. Typy firewalli Istniejš dwa typy firewalli: 1. firewalle filtrujšce IP - blokujš cały ruch, ale przepuszczajš dopuszczony. 2. serwery proxy - serwery połšczeniowe - wykonujš połšczenie sieciowe za ciebie. 2.2.1. Filtujššce firwalle Firewalle filtrujšce działajš na poziomie pakietów IP. Sš zaprojektowane do kontroli przepływu bazujšc na adresie źródłowym, docelowym, porcie i typie pakietu (zawartych w każdym z pakietów). Ten typ firewalli jest bardzo bezpieczny, ale traci wiele typów zapisu. Może zablokować ludziom z dostęp z sieci prywatnej, ale nie powie, kto dostał się do twojego systemu publicznego, ani kto wyszedł z sieci lokalnej do Internetu. Filtrujšce firewalle sš bezwzględnymi filtrami. Nawet jeli chcesz dać komu z zewnštrz dostęp do twoich serwerów "prywatnych" nie jeste w stanie bez dania tego dostępu wszystkim (tłum. jak rozumiem spod tego adresu) Linux posiada opcję filtrowania pakietów w jšdrach powyżej 1.3.x. 2.2.2. Serwery proxy Serwery proxy pozwalajš na niebezporedni dostęp do Internetu, przez firewall. Najlepszym przykładem jak to pracuje jest osoba telnetujšca się do systemu i stamtšd wykonujšca następne połšczenie. Tylko że w wypadku serwerów proxy proces ten następuje automatycznie. Gdy łšczysz się z proxy serwerem za pomocš oprogramowania klienckiego startuje on swojego klienta i dostarcza ci danych których zarzšdzałe. Ponieważ serwery pr...
Porozmawiajmy.TV