The wikis are now using the new authentication system.
If you did not migrate your account yet, visit https://idp-portal-info.suse.com/

SuSEfirewall2

Μετάβαση σε: πλοήγηση, αναζήτηση

Σχετικά

Το SuSEfirewall2 είναι ένα δυνατό διαδικτυακό φίλτρο πακέτων γνωστό ως τείχος προστασίας (firewall). Είναι ένα script που εξάγει iptables κανόνες από ρύθμιση που υπάρχει στο φάκελο /etc/sysconfig/SuSEfirewall2. Το SuSEfirewall2 προστατεύει από διαδικτυακές επιθέσεις, απορρίπτοντας ή εγκαταλείποντας ορισμένα ανεπιθύμητα πακέτα που φτάνουν στο δίκτυό σας.

Για προχωρημένες ρυθμίσεις, το τείχος προστασίας προσφέρει τρεις διαφορετικές ζώνες τις οποίες μπορείτε να αναθέσετε το δίκτυό σας. Αυτό αφήνει το SuSEfirewall2 να δρα και ως δρομολογητής μεταξύ τριών διαφορετικών συνδέσεων ή ως πάροχος τοπικού δικτύου που παρέχει προστασία στο Internet (ή σε άλλο δίκτυο).

 +---------------------+
 | Κάθε ζώνη Firewall  |
 +----------+----------+
            |
            +--> [ Έχουν ανατεθεί τα Network interfaces ]
            |
            +--> [ Έχουν οριστεί οι επιτρεπόμενες υπηρεσίες ]

Κείμενο με πλάγιους χαρακτήρες

Ρύθμιση

Για να ρυθμίσετε ένα SuSEfirewall2 είτε

  • επεξεργαστείτε το φάκελο /etc/sysconfig/SuSEfirewall2 και καλέστε το
 /sbin/SuSEfirewall2

ή

  • χρησιμοποιείστε το YaST για να ρυθμίσετε το YaST_Firewall

Σημείωση, αυτό το YaST_Firewall δεν δείχνει ούτε σε αφήνει να ρυθμίσεις όλες τις επιλογές από το τοίχος προστασίας. Αυτό περιλαμβάνει τουλάχιστον απόρριψη της διαμόρφωσης (τουλάχιστον ενεργοποιημένο από προεπιλογή).

Χαρακτηριστικά

Αν και το SuSEfirewall2 έχει πολλά χαρακτηριστικά, το YaST δεν μπορεί να τα ρυθμίσει όλα. Το αρχείο ρυθμίσεων απο μόνο του παρέχει ότι χρειάζεστε για κάθε χαρακτηριστικό.

Εάν μια μεταβλητή επιτρέπει να βάλετε πολλές εγγραφές, πρέπει να είναι χωρισμένες από ένα κενό.

 Παράδειγμα:
 FW_VARIABLE="value1 value2 value3,με,πολλούς,παραμέτρους."

Ζώνες του Τοίχους προστασίας (Firewall Zones)

Το SuSEfirewall2 έχει τρείς διαφορετικές ζώνες από προεπιλογή:

  • EXT - Εξωτερική Ζώνη (μη έμπιστη, Internet)
  • INT - Εσωτερική Ζώνη (έμπιστη, καθόλου filtering, LAN)
  • DMZ - Demilitarized Zone (for servers that should be reachable from the Internet)

Network interface can be assigned to zones by adding the interface name to the of the FW_DEV_zone variables where zone is one of the configured zones.

 Παραδείγματα:
 FW_DEV_EXT="dsl0"
 FW_DEV_EXT="any wlan0"
 FW_DEV_INT="eth0 wlan1"

Το any χρησημοποιείτε για να πεί στο SuSEfirewall να δώσει σε όλες τις διεπαφές που δεν είναι στη λίστα στη συγκεκριμένη ζώνη. Απο προεπιλογή όλες οι διεπαφές που δεν είναι στη λίστα αυτόματα μπαίνουν στην εξωτερική ζώνη.

H μεταβλητή FW_ZONES μπορεί να χρησημοποιηθεί για να ορίσει επιπλέον ζώνες. Για παράδειγμα, εαν δεν θέλετε αυστηρό φιλτράρισμα στην εξωτερική ζώνη στο ασύρματο δίκτυο, αλλα επίσης δεν εμπιστεύεστε το δίκτυο αυτό και δεν μπορείτε να χρησημοποιήσετε την εσωτερική ζώνη, μπορείτε να ορίσετε μια νέα ζώνη:

 FW_ZONES="wlan"
 FW_DEV_wlan="ra0"

Επιτρέποντας την πρόσβαση στις Υπηρεσίες

Κάθε ζώνη του τοίχους προστασίας επιτρέπει τέσσερους τύπους υπηρεσιών

  • TCP - FW_SERVICES_EXT_TCP, FW_SERVICES_INT_TCP, FW_SERVICES_DMZ_TCP
  • UDP - FW_SERVICES_EXT_UDP, FW_SERVICES_INT_UDP, FW_SERVICES_DMZ_UDP
  • RPC - FW_SERVICES_EXT_RPC, FW_SERVICES_INT_RPC, FW_SERVICES_DMZ_RPC
  • IP - FW_SERVICES_EXT_IP, FW_SERVICES_INT_IP, FW_SERVICES_DMZ_IP

Οι TCP και UDP υπηρεσίες μπορούν να ορισθούν με τον αριθμό της port, όνομα port (η τωρινή ρύθμιση μπορεί να βρεθεί στο φάκελο /etc/services στο σύστημά σας) ή σε ένα port range ορισμένο σαν 2 αριθμούς port με ένα pipe ανάμεσα.

 Παραδείγματα:
 FW_SERVICES_EXT_TCP="ssh"
 FW_SERVICES_EXT_TCP="ftp 22 telnet 512:514"
 FW_SERVICES_EXT_UDP="631 400:405"

Εναλλακτικά πακέτα μπορούν να παρέχουν ένα αρχείο ρυθμίσεων που περιγράφει ποιές ports χρειάζετε να είναι ανοιχτές για να τρέξει μία συγκεκριμένη υπηρεσία, δείτε SuSEfirewall2/Service_Definitions_Added_via_Packages. Είναι πιο εύκολο χρησιμοποιώντας αυτή τη μέθοδο ειδικά εάν μια υπηρεσία χρειάζετε πολλές ports.

Μάσκα Δικτύου

... Παράδειγμα:

  • Επιτρέψτε στο δίκτυο στην εσωτερική διεπαφή να έχει πρόσβαση στο διαδίκτυο.
  • Επιτρέψτε το DMZ δίκτυο πρόσβαση στο διαδίκτυο.
 FW_MASQ_NETS="10.1.1.0/24 192.168.1.0/24"

Forwarding to Masqueraded Hosts

...

Διαφανής Ανακατεύθυνση Transparent Redirection

...

Καταγραφή

...

HTB - Ρυθμίζοντας την ταχύτητα Ανεβάσματος

...

IPv6

Η ρύθμιση του πρωτοκόλλου ίντερνετ έκδοση 6 (IPv6) έχει έχει τα ακόλουθα στοιχεία:

  • IPv6 υποστήριξη - FW_IPv6 (ναι/όχι)
  • IPv6 εξερχόμενη διαμόρφωση - FW_IPv6_REJECT_OUTGOING ([ναι]/όχι/αγνόησε)
 Παραδείγματα:
 FW_IPv6=""
 FW_IPv6_REJECT_OUTGOING="no"
  • FW_IPv6 προεπιλεγμένη η υποστήριξη ipv6 από τον πυρήνα όταν η επιλογή είναι κενή.
  • FW_IPv6_REJECT_OUTGOING προεπιλεγμένη ρύθμιση είναι "ναι" (απορρίπτει).

Αντικείμενα που δεν δουλεύουν

  • Το SuSEfirewall2 δεν υποστηρίζει όλα τα χαρακτηριστηκά του IPv6.
  • Λίστα από λέξεις-κλειδιά που δεν δουλεύουν:
    • FW_TRUSTED_NETS
    • FW_SERVICES_ACCEPT_EXT
    • ... (Προσθέστε περισσότερα)