Мы работаем  БЕЗ ВЫХОДНЫХ и выезжаем по всему ставропольскому краю.

СКАЧАТЬ БЕСПЛАТНО ПОПУЛЯРНЫЕ ПРОГРАММЫ:
(8652) 90-40-50
ВЫ    НАХОДИТЕСЬ   НА  САЙТЕ КОМПЬЮТЕРНОЙ  ПОМОЩИ В СТАВРОПОЛЕ!
Всегда можно получить качественную консультацию у нашего специалиста по  вопросам, связанным с ремонтом компьютеров, ремонтом ноутбуков, настройкой сетей, всем видам компьютерной помощи, позвонив по нашему телефону в городе Ставрополе
90-40-50
Компьютерная помощь и ремонт компьютеров у нас – всегда лучшее решение!
Copyright   © 2009 - 2013

  
  
  
      

  


отзывы и предложения
Любое цитирование и перепечатка информации разрешается и приветствуется при указании активной ссылки на сайт komp26.ru
Невозможное - возможно: недорого, недолго, нестрашно
Анекдоты о компьютерах и компьютерщиках  1..2..3..4..5...6...7...8...9...10

Создание наборов правил для IP-фильтрации

Часто при реализации IP-фильтрации труднее всего решить, чего вы действительно от нее хотите. Можно ли разрешить беспрепятственное установление исходящих соединений? Следует ли разрешить перемещение пакетов ICMP? Какие сервисы UDP требуются? Что нужно регистрировать в журналах? Большая проблема при создании правил фильтрации связана с тем, что большинству пользователей непривычно думать на языке адресов, протоколов и номеров портов. Мы чаще думаем в терминах приложений и конечных пользователей. Чтобы строить правила фильтрации, нужно научиться переводить наши требования на высоком уровне в детали низкого уровня, на котором действует фильтрация. Некоторое понимание того, как работают сервисы, которыми вы управляете с помощью IP-фильтрации, просто необходимо.


В первую очередь нужно знать, какой из протоколов TCP или UDP использует сервис и на каком порте. В файле /etc/services можно часто найти много нужной информации. Например, при поиске в этом файле smtp вы обнаружите tcp/25, что говорит об использовании протоколом SMTP порта TCP с номером 25. Аналогично при поиске DNS можно найти две записи, в одной из которых указано udp/53, а в другой - tcp/53; это означает, что сервис использует порт 53 как с протоколом TCP, так и с протоколом UDP. У некоторых протоколов, например FTP, есть две различных записи в /etc/services. Как говорилось выше, FTP использует один порт для передачи команд (tcp/21) и другой - для передачи данных (tcp/20). К сожалению, клиенты и серверы FTP могут выбирать любые порты для передачи данных, поэтому FTP представляет собой некоторую проблему для правил фильтрации.


К счастью, netfilter обеспечивает помощь благодаря функции, называемой отслеживанием состояния соединения (connection tracking), и вспомогательному модулю, ориентированному на сервис FTP. Благодаря этому необходимо создать правило только для передачи команд FTP, a netfilter автоматически найдет и разрешит работу соединения, осуществляющего передачу данных. Если информации в /etc/services окажется недостаточно, можно почитать соответствующий документ RFC, в котором описывается протокол, используемый службой. Обычно о сервисе требуется знать лишь то, какие протоколы и порты он использует, что можно легко выяснить в RFC.