NEXT 4/2008 - Wyklikać reguły zapory

Ograficznych nakładkach na linuksowe zapory internetowe wspomnieliśmy w poradzie o konfiguracji iptables w NEXT 3/2007, str. 134. Są to programy, które pozwalają komfortowo ustawić firewall nawet mało doświadczonym użytkownikom. Ich obsługa zwykle niewiele różni się od popularnych aplikacji do Windows, więc znajomość zasad tworzenia reguł iptables czy ipfw praktycznie nie jest konieczna. Jedną z ciekawszych nakładek na zaporę jest testowany KMyFirewall.

Jeden program, dwie wersje

Aplikacja umożliwia działanie w dwóch trybach: podstawowym oraz powiązanym z iptables, będącym jedyną zaporą, dla której reguły można wygenerować. Pierwszy z nich prezentuje przejrzysty interfejs użytkownika z kilkoma modułami odpowiedzialnymi za poszczególne funkcje zapory. W głównym, My Network, należy ustawić adresy/nazwy hostów lub stref, dla których mają być tworzone reguły, albo kliknąć przycisk automatycznej generacji, jeśli firewall ma chronić tylko macierzysty komputer. Głównych ustawień dokonuje się w module Access Control. Prezentuje on listę kilkudziesięciu protokołów, które wystarczy zaznaczyć, aby zezwolić lub zablokować na nich ruch, w zależności od wybranego trybu. Można oczywiście dodać własne porty, np. dla klientów sieci BitTorrent.

Kolejne moduły to Special Hosts pozwalający tworzyć reguły filtrowania ruchu z/do konkretnych maszyn; ICMP Options, za pomocą którego można określić reakcję komputera na pakiety ICMP, np. redukując maksymalną liczbę pakietów echo-reply, co zabezpiecza przed atakiem typu DoS; NAT Configuration, umożliwiający jednym kliknięciem konfigurację pakietu iptables do pełnienia roli bramki dla lokalnej sieci.

Najciekawszym narzędziem jest jednak mało rzucająca się w oczy funkcja modułu My Network, dotycząca hostów i stref. Za jej pomocą można określić np. jednolite reguły dla wielu maszyn znajdujących się w jednej sieci. Wystarczy ustawić zakres adresów IP strefy na odpowiadający np. podległej komputerowi sieci NAT, po czym jednym kliknięciem wysłać przez protokół SSH wygenerowany skrypt do określonej maszyny (oczywiście, jeśli działa na niej Linux z zaporą iptables).

Zupełnie inaczej wygląda interfejs programu w trybie iptables, który można określić jako dość precyzyjną wizualizację reguł. Użytkownik może wybrać z przybornika, którą tabelę – FILTER, NAT czy MANGLE – chce edytować, po czym wszelkie operacje dotyczą już bezpośrednio modyfikacji odpowiednich łańcuchów. Dostępne jest np. ustawienie globalnych reguł (DROP, ACCEPT etc.) dla łańcuchów, a wszelkie konkretne opcje filtrowania ruchu należy ustawić ręcznie, dodając kolejne reguły.

Poznać iptables z KMyFirewall...

Pomoc aplikacji w trybie iptables polega głównie na podpowiedziach nazw dostępnych usług czy interfejsów, choć nie tylko. Wyświetlanie w oknach dialogowych reguł takich opcji jak Fragments czy Type Of Service (TOS) przypomina administratorowi o zaawansowanych funkcjach iptables, o których często zapomina, że istnieją. To wbrew pozorom spory zaleta programu, bo pomaga średnio doświadczonym użytkownikom łatwo zaznajomić się ze szczegółowymi funkcjami iptables. Szkoda, że funkcji tej nie uzupełnia pomoc w programie – po prostu jej brak. Mimo to warto tę funkcję wypróbować, zwłaszcza że w każdej chwili, w obu trybach, można podejrzeć wygenerowany skrypt i ręcznie dokonać w nim zmian.

Ocena:    (aby ocenić, musisz się zalogować w serwisie)

 del.icio.us |  Wykop mnie |  Digg this story |  dodajdo.com

• Filtrowanie pakietów »
  konfiguracja firewalla w Linuksie
• Cały ten soft »
  zestawienia produktów
• Opera i Internet Explorer w jednym »
  AVANT BROWSER 11.5
• Bezpieczny pecet »
  OUTPOST SECURITY SUITE 2008
• Którą pocztę wybrać? »
  Outlook 2007 kontra Thunderbird 2.0