एक सरल इंटरफ़ेस के साथ लिनक्स फ़ायरवॉल

फ़ायरवॉल एक बैश स्क्रिप्ट है जो उपयुक्त पैकेजों का उपयोग करके निम्नलिखित कार्यों को एकीकृत करती है:

1. बाहरी और आंतरिक फ़ायरवॉल ( iptables पैकेज)।
2. बाहरी और आंतरिक ट्रैफ़िक ( iptables पैकेज) के लिए लेखांकन।
3. स्थानीय क्षेत्र नेटवर्क ( स्क्वीड पैकेज) के लिए प्रॉक्सी सर्वर।
4. स्थानीय नेटवर्क के लिए सामग्री फ़िल्टर ( DansGuardian पैकेज)।
5. स्थानीय क्षेत्र नेटवर्क ( BIND पैकेज) के लिए DNS सर्वर।

स्क्रिप्ट कई वर्षों के काम और सार्वभौमिक होने के दावों का परिणाम है - यह आपको लिनक्स मशीन को एक छोटे से कार्यालय के लिए और एक बड़े उद्यम के लिए एक इंटरनेट गेटवे के रूप में उपयोग करने की अनुमति देता है (वर्तमान में यह पांच उद्यमों में और एक दूरस्थ कार्यालय में उपयोग किया जाता है - हर जगह Centro ) है ।
स्क्रिप्ट को अपने काम के लिए कम से कम दो नेटवर्क इंटरफेस की आवश्यकता होती है - जिनमें से एक बाहरी है , और बाकी आंतरिक माना जाता है। बाहरी इंटरफ़ेस EXTIF चर द्वारा सेट किया गया है और यह चर सेट नहीं होने पर स्वचालित रूप से निर्धारित किया जाता है।
एक और आवश्यकता यह है कि सभी इंटरफेस में स्थैतिक पते होने चाहिए, अर्थात इंटरफेस उन्हें गतिशील रूप से प्राप्त कर सकते हैं, लेकिन पते हमेशा समान होने चाहिए। यह आवश्यकता इस तथ्य से उपजी है कि iptables नियम इंटरफेस के आईपी पते का उपयोग करते हैं। नियम fwtraf fwnormal कमांड के साथ fwtraf.conf कॉन्फ़िगरेशन फ़ाइल के आधार पर उत्पन्न और लागू किए जाते हैं और fwtraf fwsave कमांड के साथ सहेजे जाते हैं । यानी यदि इंटरफेस के आईपी पते बदल गए हैं, तो आपको नियमों को फिर से लागू करने की आवश्यकता होगी (और उन्हें रिबूट के बाद कार्य करने के लिए आवश्यक होने पर उन्हें बचाएं)।

स्रोत NAT और वेब प्रॉक्सी के संचालन के तरीके संयुक्त हो सकते हैं:

• स्रोत NAT: बंद (SNAT = "")
  
• स्रोत NAT: पर (SNAT = "YES")।

• वेब प्रॉक्सी: बंद (WEBPROXY = "")
  
• वेब प्रॉक्सी: स्क्विड (WEBPROXY = "SQUID")।
• वेब प्रॉक्सी: डांसगार्डियन-> स्क्विड (WEBPROXY = "DGSQUID")।

स्क्रिप्ट कई स्थानीय नेटवर्क ( LANS चर) का समर्थन करती है - वे एक स्थान के साथ सूचीबद्ध हैं:
LANS = "192.168.0.0/24 10.0.0.0/8"
दूरस्थ लैन का भी समर्थन किया जाता है - उदाहरण के लिए, वीपीएन तकनीकों ( REMOTE_LANS चर) का उपयोग करके कार्यालय लैन जुड़ा हुआ है:
REMOTE_LANS = "192.168.1.0/24 192.168.3.0/24 192.168.5.0/248

स्क्रिप्ट में एक साधारण कॉन्फ़िगरेशन फ़ाइल है:





यह उपयोगकर्ताओं के स्थिर IP पते और कंप्यूटर नाम दिखाता है जो:

• हल किया गया (" एक विलो के लिए लघु कमांड")
• निषिद्ध ( डी कमांड - " डी एनवाई" के लिए छोटा)

पोर्ट ( PORTS कॉलम):

• एक या अधिक टीसीपी पोर्ट, कॉमा द्वारा अलग किए गए: वेब, एफटीपी ।
  
• सिवाय सभी टीसीपी पोर्ट्स, उदाहरण के लिए, smtp :! smtp ।
• सभी टीसीपी और यूडीपी पोर्ट: सभी ।

यदि एक कंटेंट फिल्टर का उपयोग किया जाता है (WEBPROXY = "DGSQUID") और उपयोगकर्ता को वेब पोर्ट का उपयोग करने की अनुमति दी जाती है , तो उस पर एक वेब एक्सेस ग्रुप (कॉलम डब्ल्यूए - " डब्ल्यू ईब ए सेसेंट") के लिए लागू किया जाता है।

स्थानीय नेटवर्क (गंतव्य NAT) के आंतरिक आईपी पते के लिए बाहरी इंटरफ़ेस बंदरगाहों के तथाकथित अग्रेषण बहुत सरल है। यह सुविधाजनक है जब SNAT गेटवे पर सक्षम है और इंटरनेट से स्थानीय नेटवर्क उपलब्ध नहीं हैं। उदाहरण के लिए, अपने कंप्यूटर से व्यवस्थापक को इंटरनेट (वेब ​​और ftp ट्रैफ़िक) तक पहुंचने दें और उसे इंटरनेट से RDP के माध्यम से गेटवे के बाहरी IP पते से कनेक्ट करने की अनुमति दें, और गेटवे उसके कंप्यूटर पर ट्रैफ़िक को रीडायरेक्ट करेगा।
192.168.1.240 PC30 0 वेब, ftp, rdp-rdp #Admin
मैं यह भी ध्यान देता हूं कि फॉरवर्ड किए गए पोर्ट्स का मिलान नहीं करना है - उदाहरण के लिए, आप बाहरी आईपी पर 2525 पोर्ट सुन सकते हैं, और इसे स्थानीय नेटवर्क के अंदर स्थित मेल सर्वर के 25 वें पोर्ट पर फॉरवर्ड कर सकते हैं :
192.168.1.2 मेल 0 2525-25 # मेल सर्वर
स्क्रिप्ट भी प्रतिदिन html ट्रैफ़िक रिपोर्ट बनाती है और उन्हें प्रति घंटा अपडेट करती है :




और एक और छोटा बोनस - फ़ायरवॉल को स्थापित करने के बाद, लॉगवॉच की दैनिक रिपोर्ट में IP पते के बारे में प्रविष्टियाँ दिखाई देंगी जो CONN_LIMIT कनेक्शन सीमा से अधिक हैं । इस प्रकार, आप हमेशा इस बात से अवगत रहेंगे कि आपके सर्वर में कौन रुचि बढ़ा रहा है:

- iptables फ़ायरवॉल शुरू ------------------------
इंटरफ़ेस eth0 पर 24 पैकेट लॉग किए
10.7.57.22 से - 21 पैकेट टीसीपी (110)
10.16.63.206 से - 3 पैकेट टीसीपी (110)

इंटरफेस eth1 पर 5367 पैकेट लॉग किए
72.53.179.125 से - 5297 पैकेट्स से tcp (110)
193.255.130.19 - 2 पैकेट से लेकर tcp (25) तक
217.175.23.3 से - 68 पैकेट टीसीपी (25) के लिए

- iptables फ़ायरवॉल एंड -------------------------



स्थापना

1. फ़ायरवॉल स्क्रिप्ट डाउनलोड करें और उसे / bin / में रखें :
wget -no-check-certificate sites.google.com/site/smkuzmin/home/fwtraf/fwtraf -O fwtraf
एमवी fwtraf / बिन /
chmod 755 / बिन / fwtraf
2. फ़ायरवॉल कॉन्फ़िगरेशन फ़ाइल डाउनलोड करें और इसे / etc / fwtraf / में रखें :
wget --no-check-certificate sites.google.com/site/smkuzmin/home/fwtraf/fwtraf.conf -O fwtraf.conf
mkdir / etc / fwtraf
एमवी fwtraf.conf / etc / fwtraf /
3. क्रोन कार्य अनुसूचक के लिए फ़ाइल डाउनलोड करें और इसे /etc/cron.d/ में रखें :
wget -no-check-certificate sites.google.com/site/smkuzmin/home/fwtraf/fwtraf.cron -O fwtraf.cron
mv fwtraf.cron /etc/cron.d/
4. iptables सेवा को बंद करें और प्रत्येक बूट पर फ़ायरवॉल इनिशियलाइज़ेशन जोड़ें:
chkconfig iptables बंद
chkconfig ip6tables बंद
प्रतिध्वनि >> / etc / rc.d / rc.local / bin / fwtraf fwinit
5. फ़ाइल /etc/fwtraf/fwtraf.conf पढ़ें और उसके अनुसार संपादित करें
उनकी जरूरतें।
6. fwtraf.conf के संपादन के बाद , हम फ़ायरवॉल नियम लागू करते हैं:
     fwtraf fwnormal - सामान्य (कामकाजी) मोड।
7. हम फ़ायरवॉल के संचालन की जांच करते हैं, और अगर सब कुछ सूट करता है, तो हम नियमों को बचाते हैं:
    fwtraf fwsave - सभी नियम रिबूट के बाद सहेजे और मान्य हैं।

नियमों के न्यूनतम सेट के साथ एक मोड है:
     fwtraf fwsimple - सरल मोड, व्यक्तिगत नियम लागू नहीं होते हैं, सब कुछ अनुमत है।

शेष आदेश इस तरह से मिल सकते हैं:
fwtraf - कमांड पर मदद।

BIND के साथ काम करने के लिए समर्थन को सक्षम करने के लिए ( नोट: DNS ज़ोन पूर्व-पंजीकृत होंगे! ), बिन / fwtraf में लाइन c " DNSROOTDIR = ..." को हटा दें ।