33.4.1 Tuzfal beállítása a YaST segítségével

A grafikus konfiguráció YaST párbeszédablaka a YaST vezérloközpontból érheto el. Válassza ki a Biztonság és felhasználók > Tuzfal menüpontot. A beállítások hét részre vannak osztva, amelyek közvetlenül a képernyo bal oldali fastruktúrájában érhetok el.

Indítás

Ebben párbeszédablakban állítható be az indítási viselkedés. Az alapértelmezett telepítés végén a SuSEfirewall2 már fut a frissen telepített rendszeren. Itt indítható el és állítható le a tuzfal. Ha meg kívánja valósítani az új beállításokat a futó tuzfalon, akkor használja a Beállítások mentése és a tuzfal újraindítása most lehetoséget.

Ábra 33-2 A YaST tuzfal beállítása

Csatolók

Itt látható az összes ismert hálózati csatoló. Egy csatoló egy zónából eltávolításához válassza ki a csatolót, nyomja meg a Módosítás gombot, majd válassza ki a ____nincs_zóna____ menüpontot. Egy csatoló zónához adásához válassza ki a csatolót, nyomja meg a Módosítás gombot, majd válassza ki a kívánt zónát a listából. Az Egyéni menüpont segítségével egy saját beállításokkal rendelkezo speciális csatoló is létrehozható.

Engedélyezett szolgáltatások

Itt lehet szolgáltatásokat biztosítani a rendszerrol olyan zónákhoz, amelytol az védve van. A rendszer alapértelmezés szerint csak a külso zónáktól védett. Kifejezetten engedélyezni kell a szolgáltatásokat, amelyeket a külso gépeknek látniuk kell. Aktiválja a megfelelo szolgáltatást, miután az Engedélyezett szolgáltatások a kiválasztott zónához menüpontban kiválasztotta a kívánt zónát.

Álcázás

Az álcázás segítségével a belso hálózat elrejtheto a külso hálózatok (például az internet) elol. Lehetové teszi ugyanakkor, hogy a belso hálózat átlátszó módon elérje a külso hálózatot. A külso hálózatról a belso hálózat felé érkezo kérések blokkolásra kerülnek, a belso hálózat kérései kívülrol nézve pedig úgy tunnek, mintha az álcázó kiszolgálóról érkeznének. Ha egy belso gép speciális szolgáltatásait elérhetové kell tenni a külso hálózat számára, akkor a megfelelo szolgáltatáshoz speciális átirányítási szabályok adhatók meg.

Nyilvános üzenetek

Ebben a párbeszédablakban a nyilvános üzeneteket engedélyezo UDP-portok kerülnek beállításra. A szükséges portszámokat vagy szolgáltatásokat hozzá kell adni a megfelelo zónához, szóközzel elválasztva. Lásd még: /etc/services.

A letiltott nyilvános üzenetek naplózása is itt engedélyezheto. Ez azonban problémát jelenthet, mivel a Windows gépek nyilvános üzeneteket használnak ahhoz, hogy tudjanak egymásról, ami nagyon sok elutasított csomagot eredményez.

IPSec-támogatás

Ebben a párbeszédablakban állítható be, hogy az IPsec-szolgáltatás engedélyezve legyen-e a külso hálózatból. A Részletek pontban állítható be, hogy mely csomagok megbízhatók.

Naplózási szint

Kétféle típusú esemény naplózható: az engedélyezett és az elutasított csomagok. Az elutasított csomagok eldobásra (DROPPED) vagy visszautasításra (REJECTED) kerülnek. A Minden naplózása, Csak a kritikus események naplózása és a Naplózás kikapcsolása lehetoségek közül választhat.

Egyadi szabályok

Itt állíthatók be azok a speciális tuzfalszabályok, amelyek engedélyezik a kapcsolatokat meghatározott speciális feltételek, például a forráshálózat, a használt protokoll, a célport, vagy a forrásport alapján. Ilyen szabályok megadhatók a külso, a belso és a demilitarizált zónára vonatkozóan.

A tuzfal beállításának befejezésekor a Tovább gombbal lépjen ki a párbeszédablakból. Ezután a tuzfalbeállítások zónaorientált összefoglalása jelenik meg. Ebben ellenorizheti a beállításokat. Az összefoglalásban minden engedélyezett szolgáltatás, port és protokoll, valamint minden egyéni szabály megjelenik. A konfiguráció módosításához kattintson a Vissza gombra. A konfiguráció mentéséhez kattintson az Elfogadás gombra.

33.4.2 Kézi beállítás

Az alábbi bekezdésekben megpróbálunk részletes útmutatást adni a tuzfal sikeres beállításához. Minden konfigurációs elem meg van jelölve, hogy a tuzfalhoz vagy az álcázáshoz fontos-e. Ha lehetséges, adjon meg porttartományt (például 500:510). A DMZ-vel (demilitarizált zóna) kapcsolatos szempontokról, amint azt a konfigurációs fájlnál említettük, itt nem lesz szó. Ezek jellemzoen nagyobb szervezetek (vállalati hálózatok) összetettebb hálózati csatolóira alkalmazhatók és alkalmazandók, amelyek részletes beállításokat és a témával kapcsolatos alapos tudást igényelnek.

Eloször a YaST Rendszerszolgáltatások (futási szint) modulja segítségével engedélyezze a SuSEfirewall2-t az adott futási szinten (ez általában 3 vagy 5). Ekkor beállításra kerülnek az /etc/init.d/rc?.d/ könyvtárakban a SuSEfirewall2_* parancsfájlok megfelelo szimbolikus láncai.

FW_DEV_EXT (tuzfal, álcázás)

Az internetre csatlakoztatott eszköz. Modemes csatlakozás esetén a ppp0, ISDN kapcsolat esetén az ippp0, DSL kapcsolatok esetén a dsl0 értéket adja meg. Az alapértelmezett útvonalnak megfelelo csatoló használatához auto értéket adjon meg.

FW_DEV_INT (tuzfal, álcázás)

A belso, privát hálózatra csatlakoztatott eszköz (például az eth0). Hagyja üresen, ha nincs belso hálózat és a tuzfal csak azokat a gépeket védi, amelyen fut.

FW_ROUTE (tuzfal, álcázás)

Ha szükség van az álcázási funkcióra, akkor állítsa yes értékre. A belso gépek nem láthatók kívülrol, mivel magán hálózati címüket (például 192.168.x.x) az internetes útválasztók figyelmen kívül hagyják.

Álcázás nélküli tuzfal esetén akkor állítsa yes értékre, ha engedélyezni kívánja a hozzáférést a belso hálózathoz. A belso gépeknek ebben az esetben hivatalosan bejegyzett IP-címeket kell használniuk. Normális esetben nem szabad engedélyezni a belso hálózat kívülrol történo korlátlan elérését.

FW_MASQUERADE (álcázás)

Ha szükség van az álcázási funkcióra, akkor állítsa yes értékre. A belso gépek számára virtuálisan közvetlen kapcsolatot biztosít az internethez. Biztonságosabb, ha a belso hálózat gépei és az internet között van proxykiszolgáló. A proxykiszolgáló által biztosított szolgáltatásokhoz nincs szükség álcázásra.

FW_MASQ_NETS (álcázás)

Adja meg az álcázandó gépeket vagy hálózatokat, az egyedi bejegyzések között szóközt hagyva. Például:

FW_MASQ_NETS="192.168.0.0/24 192.168.10.1"

FW_PROTECT_FROM_INT (tuzfal)

A tuzfalgép a belso hálózatból érkezo támadások elleni védelme érdekében állítsa ezt yes értékre. A szolgáltatások csak akkor állnak a belso hálózat rendelkezésére, ha kifejezetten engedélyezve vannak. Lásd még: FW_SERVICES_INT_TCP és FW_SERVICES_INT_UDP.

FW_SERVICES_EXT_TCP (tuzfal)

Adja meg az elérhetové tenni kívánt TCP-portokat. Szokásos otthoni munkaállomás esetén, amelyik nem nyújt szolgáltatásokat, hagyja üresen.

FW_SERVICES_EXT_UDP (tuzfal)

Hagyja üresen, hacsak nem futtat UDP-szolgáltatást és nem kívánja kívülrol elérhetové tenni. UDP-t használó szolgáltatások: DNS-kiszolgálók, IPSec, TFTP, DHCP és egyebek. Ebben az esetben adja meg a használandó UDP-portokat.

FW_SERVICES_ACCEPT_EXT (tuzfal)

Az internet felol engedélyezett szolgáltatásokat sorolja fel. Ez egy általánosabb formája a FW_SERVICES_EXT_TCP és FW_SERVICES_EXT_UDP beállításoknak, de specifikusabb, mint a FW_TRUSTED_NETS. A jelölés a hálózat,protokoll[,célport][,forrásport] szóközzel elválasztott listája, tehát például 0/0,tcp,22.

FW_SERVICES_INT_TCP (tuzfal)

Ezzel a változóval lehet megadni a belso hálózat számára rendelkezésre álló szolgáltatásokat. A jelölés ugyanaz mint FW_SERVICES_EXT_TCP esetén, de a beállítások a belso hálózatra érvényesek. A változót csak akkor kell beállítani, ha a FW_PROTECT_FROM_INT értéke yes.

FW_SERVICES_INT_UDP (tuzfel)

Lásd: FW_SERVICES_INT_TCP.

FW_SERVICES_ACCEPT_INT (firewall)

A belso gépek felol engedélyezett szolgáltatásokat sorolja fel. Lásd: FW_SERVICES_ACCEPT_EXT.

FW_SERVICES_ACCEPT_RELATED_* (tuzfal)

A SuSEfirewall2 egy kicsit másképp muködik az olyan csomagokat illetoen, amelyeket a netfilter RELATED-nek (kapcsolódónak) tekint.

Például annak érdekében, hogy finomabban lehessen szurni a Samba broadcast-csomagjait, a RELATED csomagokat már nem fogadja el a tuzfal feltétel nélkül. Az FW_SERVICES_ACCEPT_RELATED_-del kezdodo nevu új változók pontosan azért lettek bevezetve, hogy lehessen korlátozni a RELATED csomagokat meghatározott hálózatokra, protokollokra és portokra.

Ez azt jelenti, hogy a kapcsolatköveto (conntrack) modulok hozzáadása az FW_LOAD_MODULES-hoz nem eredményezi a modulok által megjelölt csomagok automatikus elfogadását. Ezenfelül az FW_SERVICES_ACCEPT_RELATED_-del kezdodo nevu változókat is be kell állítani egy megfelelo értékre.

A tuzfal beállítása után tesztelje az eredményt. A tuzfalszabályhalmazok akkor jönnek létre, amikor a root felhasználó kiadja a SuSEfirewall2 start parancsot. Ezután próbálja ki például a telnet parancsot egy külso géprol, hogy a kapcsolat valóban le van-e tiltva. Majd tekintse meg a /var/log/messages könyvtárat, amelyben az alábbihoz hasonlót kell látnia:

Mar 15 13:21:38 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 
OUT= MAC=00:80:c8:94:c3:e7:00:a0:c9:4d:27:56:08:00 SRC=192.168.10.0 
DST=192.168.10.1 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=15330 DF PROTO=TCP 
SPT=48091 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0 
OPT (020405B40402080A061AFEBC0000000001030300)

A tuzfal tesztelésére szolgáló csomag az nmap és a nessus. A megfelelo csomag telepítése után az nmap dokumentációja az /usr/share/doc/packages/nmap, a nessus dokumentációja pedig az /usr/share/doc/packages/nessus-core könyvtárban található.