Вход:  Пароль:  
FreeSource: AltLinux/Sisyphus/admin/etcnet/firewall ...
Free Source | Каталог | Изменения | НовыеКомментарии | Пользователи | Регистрация |
Это старая версия AltLinux/Sisyphus/admin/etcnet/firewall за 2006-05-04 02:01:32..

Настройка сетевого экрана в /etc/net?

Начиная с версии 0.7.9 etcnet содержит поддержку управления сетевым экраном (firewall). В данный момент поддерживается только iptables. Реализация основана на группировке таблиц и цепочек в таблицах. Таблицы могут быть только системные, цепочки же, кроме системных, могут быть заданы пользователем.

Системные таблицы и возможные системные цепочки в них

ТаблицаЦепочки
filterINPUT FORWARD OUTPUT
natPREROUTING OUTPUT POSTROUTING
manglePREROUTING INPUT FORWARD OUTPUT POSTROUTING
rawPREROUTING OUTPUT

(схема прохождения пакетов


(диаграмма красивая, но неправильная: куда делся nat output ? ;)

Используемые файлы и каталоги

/etc/net/ifaces/default/fw/options — файл с настройками сетевого экрана по-умолчанию:


/etc/net/ifaces/default/fw/iptables/filter, /etc/net/ifaces/default/fw/iptables/nat, /etc/net/ifaces/default/fw/iptables/mangle — каталоги, соответствующие таблицам iptables. В каталогах создаются файлы, соответствующие необходимым системным или пользовательским цепочкам, в которых уже и прописываются сами правила iptables.


/etc/net/ifaces/default/fw/iptables/loadorder, /etc/net/ifaces/default/fw/tablename/loadorder — если такой существует и он не пустой, то обработка таблиц и/или цепочек в таблице происходит в том порядке, который указан в файле (по одному значению на строку). Все таблицы и цепочки, которые не указаны, обрабатываться не будут.
/etc/net/ifaces/default/fw/iptables/modules — список модулей ядра, которые необходимо загрузить перед запуском сетевого экрана. При остановке эти модули выгружаются
/etc/net/ifaces/default/fw/iptables/syntax — описание замен при использовании «читабельного» синтаксиса правил iptables


Алгоритм работы сетевого экрана

  1. При запуске службы network, виртуальный интерфейс default:
    1. Если опция CONFIG_FW (в файле /etc/net/ifaces/default/options) не установлена в yes, то ничего не делает и происходит выход из процедуры запуска сетевого экрана; иначе переходим к следующему пункту
    2. Считывается файл настроек /etc/net/ifaces/default/fw/iptables/options
    3. До настройки любого интерфейса и обработки значений sysctl устанавливаются действия по-умолчанию (policy) для системных цепочек таблицы filter
    4. Считывается файл со списком модулей ядра /etc/net/ifaces/default/fw/iptables/modules и все указанные там модули (по одному на строку) загружаются; при отсутствии файла никакие модули не загружаются
    5. Создаются все пользовательские цепочки во всех таблицах (пользовательскими считаются все цепочки, не указанные в переменной IPTABLES_SYSTEM_CHAINS)
    6. Считывается файл /etc/net/ifaces/default/fw/iptables/loadorder и в указанном в нем порядке происходит обработка таблиц iptables; при отсутствии файла обработка происходит в соответствии с сортировкой названий таблиц по имени
    7. Считывается файл /etc/net/ifaces/default/fw/iptables/tablename/loadorder в каждой обрабатываемой таблице и происходит обработки и загрузка правил для каждой цепочки в порядке, указанном в файле; при отсутствии файла обработка опять же происходит в соответствии с сортировкой по имени
    8. Если опция IPTABLES_HUMAN_SYNTAX установлена в yes, то считывается и обрабатывается файл с «синтаксисом» /etc/net/ifaces/default/fw/iptables/syntax
    9. Файл с правилами обрабатывает построчно (одно правило на строку); если указана опция IPTABLES_HUMAN_SYNTAX, то правило обрабатывается интерпретатором в соответствии с синтаксисом и превращается в реальные опции для команды iptables, после чего запускается iptables с этими параметрами; иначе правило без обработки передается iptables
  2. При «поднятии» любого интерфейса, кроме default:
    1. Выполняются все подпункты пунка 1, только все файлы и каталоги ищутся в каталоге текущего интерфейса
  3. При «опускании» любого интерфейса, кроме default:
    1. Все подпункты пункта 1 выполняются в обратном порядке, все правила удаляются из цепочек в обратном порядке, все модули ядра выгружаются в обратном порядке; все файлы и каталоги ищутся в каталоге текущего интерфейса
  4. При остановке службы network, виртуальный интерфейс default:
    1. Все подпункты пункта 1 выполняются в обратном порядке, все правила из всех цепочек удалются командой iptables -F, все модули выгружаются в обратном порядке, все пользовательские цепочки удаляются
    2. Действия по-умолчанию (policy) для системных цепочек устанавливается в ACCEPT

Примечания


Примеры

/etc/net/ifaces/eth0/fw/options

/etc/net/ifaces/eth0/fw/iptables/filter/INPUT

/etc/net/ifaces/eth0/fw/iptables/filter/FORWARD

/etc/net/ifaces/eth0/fw/iptables/mangle/PREROUTING

/etc/net/ifaces/eth0/fw/iptables/nat/POSTROUTING

Утилиты


На 03/05/2006 он умеет пока только угадывать опции (если их не передали в комстроке) и действия: start,stop,load,unload


P.S.

Весь этот текст относится к версии etcnet >=0.8.0


 
Файлов нет. [Показать файлы/форму]
Комментариев нет. [Показать комментарии/форму]