A tűzfal engedélyezése:
$ sudo ufw enable
A különböző portok megnyitásához, engedélyezéséhez az allow utasítás szükséges:
$ sudo ufw allow 80 – a http port engedélyezése
A deny parancsal lehet a nyitott portot bezárni:
$ sudo ufw deny 80 – a http port tiltása
A tűzfal szabályokat számozott rendben is föl tudjuk venni:
$sudo ufw insert 1 allow 631/tcp – nyomtató megosztás
A tűzfal szabály eltávolításához a delete parancs szükséges:
$ sudo ufw delete deny 80
Engedélyezni lehet egy adott hálózatról vagy kiszolgálóról a hozzáférést egy porthoz. Az
alábbi példával megadjuk az SSH hozzáférést a 192.168.1.10 IP-című gép számára bármely
IP-címhez ezen a kiszolgálón:
$ sudo ufw allow proto tcp from 192.168.1.10 to any port 22
Engedélyezhető az SSH hozzáférés egy teljes alhálózatból is:
$ sudo ufw allow proto tcp from 192.168.1.0/24 to any port 22
NAT
93
10.3. A NAT telepítése és konfigurálása
Az IP álcázás célja, hogy a privát, nem közvetíthető IP címekkel rendelkező gépek elérjék az
internetet az álcázást végző gépen keresztül. A magánhálózatból az internetre irányuló
forgalmat úgy kell módosítani, hogy visszairányítható legyen a kérést küldő gépre. Ehhez a
kernelnek módosítania kell minden csomag forrás IP címét, hogy a válaszok hozzá legyenek
visszairányítva, a kérést küldő gép IP címe helyett, különben a válaszok nem érkeznének meg.
A Linux a kapcsolatkövetést (conntrack) használja a gépek és a hozzájuk tartozó kapcsolatok
nyilvántartására, és a visszaküldött csomagok ennek megfelelő átirányítására. A hálózatát
elhagyó forgalom így „álcázva” lesz, mintha az átjáró gépről indult volna.
Az IP álcázást ufw szabályok segítségével valósítjuk meg. Ezek aszerint vannak két
állományra különválasztva, hogy a parancssori ufw szabályok előtt (before.rules) vagy
után (after.rules) kerülnek-e végrehajtásra.
Első lépésként engedélyezzük a csomagtovábbítást. Ehhez nyissuk meg szerkesztésre a
/etc/default/ufw állományt:
$ sudo nano /etc/default/ufw
A fájlban a
DEFAULT FORWARD POLICY=”DROP”
beállítást cseréljük
DEFAULT FORWARD POLICY=”ACCEPT”
-ra, és mentsük az állományt. Ezt követően nyissuk meg szerkesztésre a
/etc/ufw/sysctl.conf állományt,
$ sudo mcedit /etc/ufw/sysctl.conf
vegyük ki a megjegyzésből a net/ipv4/ip_forward=1 sort. Amennyiben az IPv6
csomagtovábbítást is engedélyezni kívánjuk, akkor a
net/ipv6/conf/default/forwarding=1 sort is vegyük ki megjegyzésből. Mentsük
az állományt.
Második lépésként konfigurálnunk kell a nat táblát, mivel alapértelmezés szerint csak a
filter tábla konfigurált. Ehhez nyissuk meg szerkesztésre a
/etc/ufw/before.rules állományt
$ sudo mcedit /etc/ufw/before.rules
A bevezető megjegyzés (#) sorokat követően helyezzük el az alábbiakat
# nat tábla szabályai
*nat 10. A hálózati címfordítás (NAT) megvalósítása
(Göcs László)
94
:POSTROUTING ACCEPT [0:0]
# Továbbítsa az eth1-ről érkező forgalmat az eth0-n keresztül
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
Utolsó lépésként letiltjuk, és újra engedélyezzük az ufw szoftver működését
$ sudo ufw disable
$ sudo ufw enable
Nincsenek megjegyzések:
Megjegyzés küldése