Браун К. Безопасность [Текст] : Часть 4: Строим межсетевой экран на базе Linux [Текст] / Крис Браун // Linux Format. — 2007. — № 1 (87-88), янв.. — С. 60-63. — (Безопасность строгого режима. Учебник). — Прил.: "Зачем вам брандмауэр?" ; "Рекомендуется прочесть" : [Linux Firewalls by Steve Sturing and Robert Ziegler, 3rd Edition, publisher Novell Press)] ; "Скорая помощь. Будьте осторожны, когда настраиваете брандмауэр на машине, к которой у вас нет физического доступа. Очень легко заблокировать все входящие соединения, задавая политику по умолчанию: вы и охнуть не успеете. Верьте мне! Я уже пробовал…". — С. 61 ; "Скорая помощь. Рискуя быть навязчивым, я хочу подчеркнуть важность политики безопасности. Пока вы не сядете и не зададитесь вопросом «Кто и что может делать с моей машиной?», вы не готовы настраивать правила межсетевого экрана, отключать ненужные сервисы и повышать безопасность компьютера" ; "Рис. 2. Межсетевой экран с тремя интерфейсами защищает DMZ и внутреннюю сеть от внешнего мира. Для каждой сети можно выбрать свой уровень фильтрации" [Изображение]. — С. 62 ; "Скорая помощь. Сканер портов, типа Nmap, рассмотренного на прошлом уроке — отличная утилита для проверки корректной работы правил вашего межсетевого экрана" ; "Скорая помощь. Если вы столкнетесь с проблемами, заставляя какой-либо сетевой сервис работать, стоит проверить, не стоит ли на его пути netfilter. Мне случалось потерять много времени, прежде чем я обнаруживал, что все дело в брандмауэре. Его отключение (ненадолго!) значительно упростит настройку" ; "Предотвращение скрытого сканирования" : [Скрытое сканирование с помощью Nmap можно упредить при помощи netfilter]". — С. 63.
Аннотация
Сложный путь настройки межсетевого экрана — настройка netfilter с помощью полного набора правил и команды iptables.
Простой путь — использование утилит, которые позволят указать политику безопасности на более высоком уровне и сгенерируют команды iptables сами. Автор рассматривает модуль конфигурации брандмауэра YaST в SUSE и утилиту system-config-securitylevel, входящую в Fedora.
В приложении к уроку показано на практике предотвращение при помощи netfilter скрытого сканирования (FIN-сканирования), осуществляемого Nmap.