Общая информация
SuSEfirewall2 является полноценным межсетевым экраном, так же известным как брэндмауэр(firewall). Это скрипт, который генерирует правила для iptables из конфигурационного файла /etc/sysconfig/SuSEfirewall2. SuSEfirewall2 защищает вас от сетевых атак, проверяя трафик и отбрасывая нежелательные или подозрительные пакеты, которые приходят по сети.
Для более широких возможностей настройки, брэндмауэр имеет три различные зоны(zones), которые вы можете назначить сетевым интерфейсам. Это позволяет ему выступать в роли маршрутизатора между тремя различными сетями, или в качестве сервера доступа в Интернет(или другую сеть) с использованием трансляции сетевых адресов.
Конфигурация
Для настройки SuSEfirewall2 :
Вручную отредактируйте файл /etc/sysconfig/SuSEfirewall2 и выполните команду
или
Используйте для настройки YaST (модуль YaST_Firewall)
Возможности
SuSEfirewall2 имеет слишком много различных настроек, чтобы их можно было реализовать в YaST, поэтому для тонких настроек используйте редактирование конфигурационного файла, в который включена подробная документация по всем функциям.
Если в какой-либо переменной может быть задано несколько значений, они записываются через пробел.
Зоны брэндмауэра
SuSEfirewall2 имеет три различные зоны:
Также необходимо, чтобы были указаны внутренний интерфейс FW_DEV_INT (или FW_DEV_DMZ) и маскирующий интерфейс FW_MASQ_DEV, который по умолчанию равен внешнему FW_DEV_EXT.
Вы можете определить сети, которые будут маскироваться, разрешить доступ к определённым сервисам.
Реализуется это путём редактирования правила FW_MASQ_NETS.
[/QUOTE]
Доступ к компьютерам во внутренней сети
Для получения доступа к некому компьютеру (внутренней сети), с использованием определенного порта (например TCP), используется переменная FW_FORDARD_MASQ
Все запросы на 80 TCP порт, приходящие из Интернет на внешний интерфейс фаервола, будут перенаправлены на внутренний компьютер, внутренней сети, с IP адресом 192.168.0.11
Такое перенаправление называют иногда пробросом порта во внутренную сеть.
Прозрачное перенаправление
Перенаправление может потребоваться, например, для создания прозрачного прокси сервера.
Реализуется путём редактирования правила FW_REDIRECT.
Но для прозрачного перенаправления запросов пользованелей на прокси сервер, как правило этого недостаточно!
В конфиг прокси сервера (имеется введу, что используется squid, а конфигурационный файл его называется squid.conf) нужно добавить следующие строки:
SuSEfirewall2 является полноценным межсетевым экраном, так же известным как брэндмауэр(firewall). Это скрипт, который генерирует правила для iptables из конфигурационного файла /etc/sysconfig/SuSEfirewall2. SuSEfirewall2 защищает вас от сетевых атак, проверяя трафик и отбрасывая нежелательные или подозрительные пакеты, которые приходят по сети.
Для более широких возможностей настройки, брэндмауэр имеет три различные зоны(zones), которые вы можете назначить сетевым интерфейсам. Это позволяет ему выступать в роли маршрутизатора между тремя различными сетями, или в качестве сервера доступа в Интернет(или другую сеть) с использованием трансляции сетевых адресов.
Код:
+---------------------+
| Зона брэндмауэра
+----------+----------+
|
+--> [ Привязка к сетевому интерфейсу ]
|
+--> [ Разрешенные сервисы ]
Конфигурация
Для настройки SuSEfirewall2 :
Вручную отредактируйте файл /etc/sysconfig/SuSEfirewall2 и выполните команду
Код:
/sbin/rcSuSEfirewall2 restart
или
Используйте для настройки YaST (модуль YaST_Firewall)
Возможности
SuSEfirewall2 имеет слишком много различных настроек, чтобы их можно было реализовать в YaST, поэтому для тонких настроек используйте редактирование конфигурационного файла, в который включена подробная документация по всем функциям.
Если в какой-либо переменной может быть задано несколько значений, они записываются через пробел.
Код:
Например:
FW_VARIABLE="value1 value2 value3,with,more,parameters"
Зоны брэндмауэра
SuSEfirewall2 имеет три различные зоны:
TCP и UDP могут быть заданы номером порта(port number), именем порта(port name) (соответствие между именем и номером вы можете найти в файле /etc/services) или диапазоном портов(port range) - двух чисел, разделенных двоеточием.
Код:Например: FW_SERVICES_EXT_TCP="ssh" FW_SERVICES_EXT_TCP="ftp 22 telnet 512:514" FW_SERVICES_EXT_UDP="631 400:405"
Активация маскарадинга
FW_ROUTE="yes"
FW_MASQUERADE="yes"
Также необходимо, чтобы были указаны внутренний интерфейс FW_DEV_INT (или FW_DEV_DMZ) и маскирующий интерфейс FW_MASQ_DEV, который по умолчанию равен внешнему FW_DEV_EXT.
Вы можете определить сети, которые будут маскироваться, разрешить доступ к определённым сервисам.
Реализуется это путём редактирования правила FW_MASQ_NETS.
[/QUOTE]
* Синтаксис: <destination network>
* Синтаксис: <source network>[,<destination network>,<protocol>[,port[:port]]
* Синтаксис: <source network>[,<destination host>,<protocol>[,port[:port]]
* Синтаксис: <source network>[,<destination host>,<protocol>[,port]]
* Синтаксис: <source network>[,<destination host>,<protocol>]
Код:
Например:
FW_MASQ_NETS="0/0" - неограниченный доступ.
FW_MASQ_NETS="192.168.1.0/24,0/0,tcp,80" - разрешить сети 192.168.1.0/24 доступ только к web ресурсам
FW_MASQ_NETS="192.168.1.1/32,0/0,tcp,80" - разрешить хосту 192.168.1.1/32 доступ только к web ресурсам
FW_MASQ_NETS="192.168.1.1/32,0/0,udp,87" - разрешить хосту 192.168.1.1/32 доступ в интернет по 87 порту UDP
FW_MASQ_NETS="192.168.1.1/32,0/0,tcp" - разрешить хосту 192.168.1.1/32 доступ по любому TCP порту
Доступ к компьютерам во внутренней сети
Для получения доступа к некому компьютеру (внутренней сети), с использованием определенного порта (например TCP), используется переменная FW_FORDARD_MASQ
Код:
Например:
FW_FORWARD_MASQ="0/0,192.168.0.11,tcp,80"
Все запросы на 80 TCP порт, приходящие из Интернет на внешний интерфейс фаервола, будут перенаправлены на внутренний компьютер, внутренней сети, с IP адресом 192.168.0.11
Такое перенаправление называют иногда пробросом порта во внутренную сеть.
Прозрачное перенаправление
Перенаправление может потребоваться, например, для создания прозрачного прокси сервера.
Реализуется путём редактирования правила FW_REDIRECT.
Код:
Синтаксис: <source network>[,<destination network>,<protocol>[,dport[:lport]]
Код:
Например:
FW_REDIRECT="192.168.2.0/24,0/0,tcp,80,3128" - перенаправить весь трафик, идущий на 80 порт, на 3128
Но для прозрачного перенаправления запросов пользованелей на прокси сервер, как правило этого недостаточно!
В конфиг прокси сервера (имеется введу, что используется squid, а конфигурационный файл его называется squid.conf) нужно добавить следующие строки:
Код:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on