http://wiki.linuxformat.ru/wiki/index.php?action=history&feed=atom&title=LXF139%3ADrBrown2 LXF139:DrBrown2 - История изменений 2026-05-13T09:06:04Z История изменений этой страницы в вики MediaWiki 1.19.20+dfsg-0+deb7u3 http://wiki.linuxformat.ru/wiki/index.php?title=LXF139:DrBrown2&diff=13577&oldid=prev Crazy Rebel: викификация, оформление, иллюстрация 2012-03-28T09:38:12Z <p>викификация, оформление, иллюстрация</p> <p><b>Новая страница</b></p><div>==Не­слож­ный бранд­мау­эр==<br /> <br /> : Вот как Ubuntu из­бав­ля­ет нас от бре­ме­ни на­строй­ки пра­вил бранд­мау­эра.<br /> <br /> {{Врезка|Содержание=[[Изображение:LXF139_55_1.jpg|300px]] Ес­ли да­же от уп­ро­щен­но­го син­так­си­са ''ufw'' у вас бо­лит го­ло­ва, в уни­вер­саль­ном ре­по­зи­то­рии есть гра­фи­че­ская обо­лоч­ка ''GUFW''.|Ширина=300px}}<br /> <br /> Код се­те­во­го фильт­ра в яд­ре Linux про­сеи­ва­ет се­те­вые па­ке­ты, при­хо­дя­щие к ком­пь­ю­те­ру, ухо­дя­щие от ком­пь­ю­те­ра и про­хо­дя­щие че­рез ком­пь­ю­тер, и пре­дос­тав­ля­ет мощ­ный ме­ха­низм для соз­да­ния бранд­мау­эров. Од­на­ко у ко­ман­ды ''Iptables'', ис­поль­зуе­мой для по­строе­ния пра­вил, бо­га­тый син­так­сис, и на­строй­ка бранд­мау­эра на этом уров­не тре­бу­ет глу­бо­ких зна­ний TCP/IP. Что­бы уп­ро­стить си­туа­цию, в Ubuntu до­ба­ви­ли ути­ли­ту ''ufw'' (uncomplicated firewall, не­слож­ный бранд­мау­эр) для сер­ве­ров. Она пред­на­зна­че­на для соз­да­ния бранд­мау­эров, за­щи­щаю­щих ком­пь­ю­тер, где они за­пу­ще­ны, а не для пол­но­цен­ных бранд­мау­эров с мно­же­ст­вен­ны­ми под­клю­че­ния­ми ко внеш­ним се­тям, де­ми­ли­та­ри­зо­ван­ны­ми зо­на­ми и т. п. Син­так­сис ''ufw'' прост – что­бы от­крыть порт (в дан­ном слу­чае ''SSH''), ско­ман­дуй­те<br /> <br /> sudo ufw allow 22<br /> <br /> Ес­ли порт ука­зан в '''/etc/services''', вме­сто но­ме­ра пор­та мож­но ука­зать имя сер­ви­са:<br /> <br /> sudo ufw allow ssh<br /> <br /> Чуть бо­лее ис­кус­ным об­ра­зом мож­но по­лу­чить бо­лее точ­ный кон­троль. Сле­дую­щей ко­ман­дой мы раз­ре­ша­ем ''SSH'' дос­туп с од­но­го диа­па­зо­на IP-ад­ре­сов:<br /> <br /> sudo ufw allow ssh allow proto tcp from 192.168.0.0/24 to any ssh<br /> <br /> В по­след­них вер­си­ях ''ufw'' мож­но ог­ра­ни­чить час­то­ту пе­ре­да­чи па­ке­тов – это силь­но по­ме­ша­ет ха­ке­рам, пы­таю­щим­ся по­лу­чить ин­фор­ма­цию ме­то­дом гру­бой ата­ки. Ана­ло­гич­ный вы­зов ''Iptables'' до­воль­но гро­моз­док, а с ''ufw'' все про­сто и яс­но:<br /> <br /> sudo ufw limit ssh/tcp<br /> <br /> По умол­ча­нию ''ufw'' при­ме­нит пра­ви­ла ко всем дос­туп­ным ин­тер­фей­сам, но мож­но ука­зать и кон­крет­ный ин­тер­фейс. На­при­мер, раз­ре­шит HTTP-со­еди­не­ния, при­бы­ваю­щие на ''eth0'', ко­ман­да<br /> <br /> sudo ufw allow in on eth0 to any port 80 proto tcp<br /> <br /> Это по­зво­ля­ет соз­да­вать бранд­мау­эры, ска­жем, с од­ним со­еди­не­ни­ем во­внутрь, к до­ве­рен­ной се­ти, и од­ним со­еди­не­ни­ем во­вне, в боль­шой (не­до­ве­рен­ный) мир.<br /> Весь на­бор пра­вил мож­но ак­ти­ви­ро­вать или де­ак­ти­ви­ро­вать ко­ман­да­ми<br /> <br /> sudo ufw enable<br /> sudo ufw disable<br /> <br /> а его те­ку­щее со­стоя­ние по­лу­чить так:<br /> <br /> $ sudo ufw status verbose<br /> Status: active<br /> Logging: on (low)<br /> Default: deny (incoming), allow (outgoing)<br /> New profiles: skip<br /> To Action From<br /> -- ------ ----<br /> 22 ALLOW IN Anywhere<br /> <br /> На­бо­ры пра­вил, за­да­вае­мых эти­ми ко­ман­да­ми, яв­ля­ют­ся по­сто­ян­ны­ми, и по­ка ''ufw'' ак­тив­на, пра­ви­ла бу­дут ав­то­ма­ти­че­ски ус­та­нав­ли­вать­ся во вре­мя за­груз­ки.<br /> <br /> По­след­няя воз­мож­ность ''ufw'' на­зы­ва­ет­ся ин­те­гра­ци­ей при­ло­же­ния. Па­ке­ты, пре­дос­тав­ляю­щие се­те­вые сер­ви­сы (а ста­ло быть, им нуж­ны от­кры­тые пор­ты в бранд­мау­эре) мо­гут со­об­щить о се­бе ''ufw'', по­ло­жив про­филь в ка­та­лог '''/etc/ufw/applications.d'''. На­при­мер, в фай­ле '''/etc/ufw/applications.d/cups''' за­дан про­филь для сер­ве­ра пе­ча­ти ''CUPS'', та­ким об­ра­зом:<br /> <br /> [CUPS]<br /> title=Common UNIX Printing System server<br /> description=CUPS is a printing system with support for IPP, samba, lpd, and other protocols.<br /> ports=631<br /> <br /> С этим фай­лом мы мо­жем от­крыть пор­ты, не­об­хо­ди­мые ''CUPS'':<br /> <br /> sudo ufw allow CUPS<br /> <br /> ===За ку­ли­са­ми===<br /> <br /> {{Врезка|Содержание=[[Изображение:LXF139_55_2.jpg|400px]] Се­те­вой фильтр мо­жет пе­ре­хва­ты­вать па­ке­ты в раз­ных точ­ках ком­пь­ю­те­ра (оран­же­вые квад­ра­ты).|Ширина=400px}}<br /> <br /> Оп­ция '''--dry-run''' даст вам хо­ро­шее пред­став­ле­ние о том, что про­ис­хо­дит «за ку­ли­са­ми» ''ufw''. Она по­ка­жет це­поч­ки, соз­да­вае­мые ко­ман­дой ''ufw'', без их фак­ти­че­ско­го соз­да­ния.<br /> <br /> А в фай­лах '''/etc/ufw/*.rules''' вы най­де­те со­от­вет­ст­вую­щие пра­ви­ла ''Iptables'', соз­дан­ные ''ufw''. Это по­зво­лит вам рас­ши­рить ко­ман­ду, до­ба­вив в эти фай­лы свои пра­ви­ла. На­при­мер, мож­но вклю­чить пре­об­ра­зо­ва­ние се­те­вых ад­ре­сов (NAT), не­мно­го поколдовав в '''/etc/ufw/before.rules'''. Вам по­на­до­бит­ся не­что вро­де<br /> <br /> -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE<br /> <br /> Здесь '''10.0.0.0/24''' – диа­па­зон IP-ад­ре­сов ком­пь­ю­те­ров, ко­то­рые нуж­но мас­ки­ро­вать, а '''eth0''' – внеш­ний ин­тер­фейс.<br /> <br /> ===За­пас­ной ключ===<br /> <br /> Ес­ли вы на­страи­вае­те бранд­мау­эр на уда­лен­ной ма­ши­не, к ко­то­рой у вас есть дос­туп толь­ко че­рез ''SSH'', не­труд­но за­бло­ки­ро­вать се­бя са­мо­го, соз­дав на­бор пра­вил, за­пре­щаю­щий ваш же ''SSH''-тра­фик. По­лу­чить ка­кие-то шан­сы на вы­ход из по­ло­же­ния по­мо­жет та­кая ко­ман­да:<br /> <br /> sudo at now + 5 min ufw disable</div> Crazy Rebel