Czasy nieprzystępności Linuksa na dobre odeszły do lamusa. Efektem wyścigu w budowaniu przyjaznej użytkownikowi dystrybucji jest obszerna grupa mechanizmów i aplikacji ułatwiających pracę w systemie. Wieloletni proces "oswajania Pingwina" zaowocował także opracowaniem aplikacji ułatwiających konfigurację systemowego firewalla. Dzięki programom takim jak Firestarter przeciętny Kowalski może zabezpieczyć swój komputer przed wieloma zagrożeniami czyhającymi w Internecie. Nie musi przy tym znać sposobu działania, parametrów konfiguracyjnych ani składni linuksowego Netfiltra. Niektóre dystrybucje Linuksa mają własne narzędzia służące do konfiguracji firewalla - przykładem może być SuSE, gdzie funkcję swoistego centrum zarządzania pełni YAST. Dzięki niemu za pomocą myszy "wyklikamy" także konfigurację zabezpieczeń sieciowych naszego komputera. Użytkownicy o większym stopniu znajomości zasad zarządzania ruchem sieciowym mogą sięgnąć po nieco bardziej zaawansowane mechanizmy konfiguracyjne - dobrym przykładem jest reklamujący się maksymą "iptables made easy" projekt Shorewall. W naszym artykule postaramy się poszerzyć zakres poruszanej już na naszych łamach tematyki, pokazując mniej znane, a warte uwagi i przydatne opcje Netfiltra.

Samemu najlepiej

Korzystając z programów ułatwiających zarządzanie filtrem pakietów, musimy mieć na uwadze ich ograniczoną funkcjonalność. Posługując się Firestarterem, Shorewallem czy innym konfiguratorem, nie skorzystamy ze wszystkich możliwości, jakie oferuje iptables. W celu stworzenia zaawansowanego firewalla chroniącego sieć w naszej organizacji, urzędzie czy firmie warto skorzystać z "tradycyjnej" metody jego obsługi i konfiguracji - z poziomu systemowej konsoli - lub w sposób automatyczny, za pomocą skryptów. Rozwiązanie to, choć wymaga przynajmniej podstawowej znajomości zasad działania i składni Netfiltra, odznacza się największą elastycznością i przejrzystością reguł (konfiguratory generują często duże ilości nie zawsze zrozumiałych i łatwych do rozszyfrowania reguł). W wypadku samodzielnego tworzenia reguł dla iptables dokładnie wiemy, co dzieje się z pakietami przychodzącymi chociażby do danego komputera, przekazywanymi do sieci wewnętrznej lub strefy zdemilitaryzowanej (ang. demilitarized zone - DMZ).

Ułatwienia w skryptach

Jedną z najważniejszych czynności poprzedzających budowę linuksowego firewalla jest opracowanie koncepcji skryptów inicjujących reguły filtrowania. Większość dystrybucji systemu z pingwinem w herbie wyposażonych jest we właściwe skrypty startowe. Ich zadaniem jest wczytywanie z określonej lokalizacji dysku twardego parametrów definiujących zasady postępowania z ruchem sieciowym.

[...]

Autor jest administratorem w Centrum Badań Kosmicznych PAN w Warszawie.