|
Firewall
/etc/rc.d/rc.firewall faile yra surašomos visos draudimu, leidimų taisyklės.
Rauterio gateway atveju taip pat surašomi portų peradresavimai į kitus serverius
ar kompiuterius. Paprastai tai yra e-mail, ftp, web, terminal serveriai. Dauguma
nori sudėti į vieną kompiuterį viską: gateway, mail, ftp, web - sako kompiuteris
galingas, nelabai apkrautas, dirba gerai galingumo dar ir atlieka. Tačiau visus
demonus instaliuoti į routerį prijungtą tiesiogiai prie interneto laikoma
nesaugu saugumo atžvilgiu:
Visuomet
geriau prie interneto prijungti kompiuterį skirtą tik apsaugai ir paskirstymui.
Galima į jį įdėti apkrovimo balansavimą aktyvią IDS sistemą. Web ir FTP
serverius patogu sudėtį į vieną kompiuterį, nes patogu per
ftp prisijungus keisti web turinį.
E-mail serveris geriau būtų atskiras su atskira antivirusine programa.
Dar reikia paminėti kad saugumo atžvilgiu web, ftp, mail serverius saugumo
atžvilgiu geriau dėti į DMZ zoną. Tai atskira adresų sritis tiesigiai
neprieinama į vidinį tinklą. Įsilaužus į vieną iš serverių nebus galima
tiesioginiu būdu patekti į vidinį kompiuterinį tinklą.
Firewall konfigūracinis failas gali atrodyti sekančiai /etc/rc.d/rc.firewall
Svarbiausia įjungiamas senas geras maskaradingas kad vidiniai kompiuteriai
prieitų prie interneto:
# Masquerade internal traffic.
iptables -t nat -A POSTROUTING -o $EXTERNAL_INTERFACE_1 -j MASQUERADE |
Nustatymuose naudojami draudimai neleidžiantys prisijungti prie veikiančių portų pvz.
prie vidinio DNS serviso: |
