РЕКЛАМА
ИНФОРМАЦИЯ
Rambler's Top100 Рейтинг@Mail.ru

СЕТИ

LEAF-Bering uClibc: межсетевой экран средствами Linux
Краткое содержание статьи: Создать межсетевой экран и маршрутизатор, обладающий превосходной гибкостью и функциональностью, на базе безбожно устаревшего компьютера - возможно ли такое? Да, и поможет в этом Linux. Насколько производительность брандмауэра/ маршрутизатора под Linux лучше или хуже аппаратных решений? Предлагаем подробный обзор бесплатного ПО LEAF-Bering uClibc, а также тестирование.

LEAF-Bering uClibc: межсетевой экран средствами Linux


Редакция THG,  30 июля 2004
Страница: Назад  1 2 Далее


Введение

Введение

Ни для кого не секрет, что сегодня, подключаясь к Интернету, вы начинаете играть с огнём, - множество опасностей подстерегают на каждом углу. По крайней мере, нам сегодняшние правила игры представляются именно так. Однако, не всё так страшно, возможность защиты от большинства атак из Интернета всё же есть, именно для этого предназначены системы, называемые межсетевыми экранами или брандмауэрами (firewall).

Итак, каким образом они работают? При подключении вашего компьютера к какой-либо компьютерной сети, например, к Интернету, соединение устанавливается между определёнными портами систем. Межсетевой экран в общем виде представляет собой систему, позволяющую ограничивать как входящие, так и исходящие подключения на основе номеров портов. Например, если на вашей машине не запущен web-сервер, то никто не должен иметь возможность установить с ней соединение по 80 порту, таким образом, межсетевой экран должен блокировать такие запросы, но при этом позволять вам использовать Web, читать почту и многое другое.

Иногда в обязанности межсетевого экрана входит нечто большее, чем просто "блокировать ненужный трафик". Например, у вас есть небольшая сеть с подключением к Интернету, используется также Web-сервер, доступный из Интернета. В таком случае брандмауэру придётся выполнять ещё и функции маршрутизатора. Это потребуется для распределения трафика по сети, чтобы доступ к Интернету можно было получить с любого компьютера. Кроме того, потребуется перенаправлять на web-сервер все запросы, поступающие снаружи на 80 порт, и при этом отфильтровывать те из них, которые потенциально опасны. В обязанности брандмауэра/маршрутизатора могут входить и такие функции, как DHCP, DNS, фильтрация содержания, просмотр пакетов, перенаправление трафика, создание туннелей VPN, web-прокси и многие другие, позволяющие обеспечить работу сети и оградить её от злоумышленников.

То, что обычно называют межсетевым экраном, может быть как достаточно простой и дешёвой программой, установленной на компьютер (например ZoneAlarm), так и отдельным устройством, использующим относительно дорогое аппаратное обеспечение и позволяющим применить практически все известные человечеству способы защиты сети. Сегодня мы познакомим вас с лучшим, на наш взгляд, решением, основанным на ПО с открытым кодом, - Open Source LEAF-Bering uClibc для ОС Linux. Недорого. Бесплатно. Надёжно. Функциональность этого решения настолько широка, насколько это необходимо. Для работы нужен лишь компьютер, на который устанавливается необходимое LEAF-Bering uClibc, и который в дальнейшем будет использоваться в качестве брандмауэра маршрутизатора.

Возможности и реализация

LEAF-Bering uClibc является потомком проекта "Linux Router Project". Целью его разработки было создание операционной системы, основанной на Linux, которая не уступала бы по функциональности аппаратному маршрутизатору. LEAF означает "Linux Embedded Appliance Firewall" (межсетевой экран, построенный на базе Linux), ранее существовало (и продолжает существовать) несколько вариантов, из которых Bering uClibc, по всей видимости, развивается наиболее активно, в чём немалая заслуга команды разработчиков (Arne Bernin, Eric de Thouars, Eric Spakman, Luis Correia, KP Kirchdoerfer, Martin Hejl).

LEAF-Bering uClibc (далее будем называть LBU) весьма функционален, совместим с различным аппаратным обеспечением, имеет прекрасные возможности маршрутизации, совместим с IPV6, безопасен, прост и гибок в настройке. Базовая конфигурация LBU включает сервер DHCP, кэширование DNS, SSH и множество других функций.

В LBU, кроме непосредственно ядра Linux, входит межсетевой экран Shorewall, созданный Томом Истепом (Tom Eastep). Shorewall является достаточно функциональным приложением с простыми (и хорошо комментированными) конфигурационными файлами. Межсетевой экран опирается на систему фильтрации пакетов Netfilter ядра Linux, а также может выполнять функции маршрутизатора, включая фильтрацию содержания SPF.

Функциональность LBU не ограничивается базовым набором - дополнительно можно скачать множество добавлений (также бесплатных, с открытым кодом), расширяющих возможности системы. Отметим, что LBU нацелен, в первую очередь, на небольшие сети, хотя, на самом деле, всё зависит только от вашей фантазии.

При запуске LBU в оперативной памяти компьютера создаются виртуальные диски, на которых размещается операционная система. После завершения загрузки физические диски не используются - все необходимые данные хранятся в оперативной памяти. Благодаря подобной реализации система оказалась очень гибкой.

Базовая версия LBU поставляется в виде образа диска объёмом 1680K. Естественно, допускается использование не только дискеты, но и жёсткого диска или CDROM или всего, чего угодно, лишь бы была возможность загрузить компьютер. При желании можно хранить загрузочные файлы на одном диске, а конфигурационные - на другом. Такое решение позволяет обеспечить более высокую надёжность и защищённость системы.

Например, как только вы полностью сконфигурировали систему, можно установить защиту от записи на дискете с LBU или вообще убрать её - тогда даже в случае взлома брандмауэра (что практически невозможно) всё, что вам потребуется, - просто перезагрузить систему.

Установка и настройка

Мы устанавливали LEAF-Bering uClibc 2.1.1 на две разные системы:

  • старый ПК Dell PII 500 со 128 Мбайт RAM, интегрированным сетевым адаптером 100BaseTX, и двумя адаптерами PCI 100BaseTX;
  • ещё более старый Compaq P100 с 56 Мбайт RAM, двумя адаптерами PCI 100BaseTX и одним адаптером ISA 10BaseT.

Обе системы мы подключали почти одинаково. Одна сетевая карта (внешний интерфейс) подключалась к кабельному модему для обеспечения доступа к Интернету, вторая - к локальной сети (к концентратору или коммутатору) и, наконец, третья (DMZ) при помощи кросс-кабеля подключалась непосредственно к web-серверу.

Очевидно, что наш новый межсетевой экран LBU должен был разрешать пользователям локальной сети доступ в Интернет, перенаправлять запросы снаружи к локальному web-серверу и блокировать доступ злоумышленников. Кроме того, нам были нужны ещё несколько служб в нашей сети, типа сервера DHCP и кэширующего сервера DNS. К счастью, LBU поддерживает всё это (и кое-что ещё) уже в базовой комплектации.

Одним из наиболее значимых плюсов LBU и Shorewall является наличие прекрасной документации. Поскольку LEAF-Bering uClibc является наследником старого доброго LEAF-Bering, то вся документация представлена в виде базовой документации по установке LEAF-Bering и руководства пользователя, а также отдельного руководства по установке LBU и руководства пользователя, в которых обозначены нововведения и изменения.

Непременно прочитайте эти руководства (можно даже распечатать) перед тем, как приняться за дело, а можно даже обратиться и к рассылке LEAF. Также не помешает заглянуть в подробную документацию Shorewall, особенно в руководство по быстрой настройке. После того, как загрузка с дискеты LBU выполнена, вы увидите следующую текстовую утилиту конфигурирования.

Установка и настройка

Рис. 1. Меню настройки.

Кроме той документации, о которой мы только что упомянули, есть также краткий справочник, доступ к которому можно получить непосредственно из утилиты, как показано ниже.

Установка и настройка

Рис. 2. Меню помощи.

Первое, что нужно сделать, - настроить интерфейсы. Это может оказаться одной из самых сложных частей всей установки. Необходимо знать, какие сетевые адаптеры установлены и какой драйвер следует использовать для каждого из них. Кстати, если приходится иметь дело с модемом, то отметим, что LBU поддерживает и коммутируемый доступ.

Решить проблемы с настройкой "железа" лучше всего помогут команда "cat /proc/pci" и поисковые серверы типа Google. Загрузив необходимые модули, следует разобраться, какому интерфейсу присвоено имя eth0, какому - eth1, и так далее. Иногда это может оказаться не так просто, как вы могли подумать. Наконец, когда вопрос с интерфейсами разрешился, остаётся настроить всё остальное. Конечно, утилита конфигурирования LBU полезна, но она просто опирается на конфигурационные файлы и переключает вас в текстовый редактор, показанный ниже.

Установка и настройка

Рис. 3. Утилита конфигурирования.

Как видите, выглядит всё это не совсем привлекательно, особенно для тех, кто привык только щёлкать мышкой, но это всё же межсетевой экран, а не очередная стратегия. Как мы уже упоминали, большинство конфигурационных файлов подробно закомментированы, поэтому с учётом руководств, о которых мы уже успели написать, базовая настройка системы покажется вам вполне понятной. Не забывайте регулярно сохранять сделанные изменения.

Установка и настройка

Рис. 4. Сохранение конфигурации.

Поскольку мы не испытываем особого доверия к дискетам, мы решили установить LBU на жёсткий диск. Конечно, в таком случае пришлось добавлять модули для поддержки дисков IDE и переносить всё на раздел MSDOS. Но и здесь проблем не возникло - в документации LBU всё это подробно описано.

Следующий плюс LBU - это доступность дополнительных модулей. Если вам не нравится стандартный сервер DHCP, можно использовать другой, если необходимо использовать сервер NTP или настроить туннель VPN, то можно просто скачать новый модуль и установить его, так же просто можно и расстаться с ним.
Страница: Назад  1 2 Далее


СОДЕРЖАНИЕ

Обсуждение в Клубе Экспертов THG Обсуждение в Клубе Экспертов THG


РЕКЛАМА
РЕКОМЕНДУЕМ ПРОЧЕСТЬ!

История мейнфреймов: от Harvard Mark I до System z10 EC
Верите вы или нет, но были времена, когда компьютеры занимали целые комнаты. Сегодня вы работаете за небольшим персональным компьютером, но когда-то о таком можно было только мечтать. Предлагаем окунуться в историю и познакомиться с самыми знаковыми мейнфреймами за последние десятилетия.

Пятнадцать процессоров Intel x86, вошедших в историю
Компания Intel выпустила за годы существования немало процессоров x86, начиная с эпохи расцвета ПК, но не все из них оставили незабываемый след в истории. В нашей первой статье цикла мы рассмотрим пятнадцать наиболее любопытных и памятных процессоров Intel, от 8086 до Core 2 Duo.

ССЫЛКИ
Реклама от YouDo
Услуги курьерской доставки, метро Парк Победы на http://courier.youdo.com/courier-services/geo/parkpobedi/.
Компьютерная помощь: http://pc.youdo.com/windows/7/price/: подробное описание.