Tilgangur með þessu skjali er eingöngu til fróðleiks fyrir lesendur. Höfundur tekur enga ábyrgð á notkun þess og er ekki ábyrgur fyrir mistökum sem notendur geta gert eftir lestur þess. Allar beiðnir um aðstoð varðandi efni þess eru afþakkaðar með öllu.
Ef þið finnið villur í greininni þá skuluð þið láta mig vita með því að skrá athugasemdir við greinina og ég mun laga hana eftir því.
Jæja, þá höldum við áfram með eldvegginn eftir nokkuð hlé.
Eins og áður hefur verið sagt þá er tölvan okkar með 65.535 dyr og internettengingin er heimreiðin að henni.
Þar sem að við viljum ekki að hver sem er komist inn í tölvuna okkar þurfum við að ráða dyraverði og úthluta þeim “gestalistum” sem tilgreinir hverjir mega koma inn til okkar.
Þessi gestalisti er kallaður “reglur”, eldveggur er í raun bara sett af reglum sem nettengingin verður að hlýða. Einfaldasta reglan sem til er segir einfaldlega, ekki hleypa neinum inn. Sú regla, þrátt fyrir að vera nokkuð örugg, býður ekki upp á mikinn sveigjanleika og er nokkuð heftandi fyrir netnotkun nútímans.
Iptables
Ég hef ákveðið að dyraverðirnir í þessum eldvegg komi frá “fyrirtæki” sem kallast <a href="http://netfilter.samba.org“>Iptables</a>.
Iptables eru nýtt reglusett, sem komu með kernel 2.4 og eru margfalt öflugri en Ipchains, sem hingað til hafa verið ráðandi í Linux eldveggjum.
Fyrir þá sem þekkja til Ipchains ætti flutningurinn yfir í Iptables ekki að vera erfiður og fyrir þá sem eru nýir í bransanum ættu ekki að eiga í miklum vandræðum með að skilja kerfið, ef þeir skilja hvað þeir eru að gera á annað borð :)
Iptables vinnur á svokölluðum ”fyrstir koma, fyrstir fá“ grundvelli, það er að segja, pakkarnir eru bornir saman við reglulistann og fyrsta reglan sem passar við pakkan er látin ráða. Það er semsagt ekki gott að byrja listann á því að banna allt.
Annað mikilvægt atriði varðandi Iptables er að innan þess kerfis eru 3 undirkerfi. Þau kallast Input, Output og Forward. Nöfnin eru nokkuð lýsandi, Input fyrir það sem kemur inn, Output fyrir það sem fer út og Forward fyrir þá pakka sem á að flytja áfram á aðrar vélar.
Á ”aulamáli“ myndi einföld regla sem leyfir aðgang að vefþjóni hljóða nokkuð líkt þessu:
”Ég ætla að bæta við regluna INPUT því að TCP pakkar á port 80 megi koma inn“
eða á Iptables formi:
iptables -A INPUT -p tcp 80 -j ACCEPT
Að sama skapi er hægt að neita pökkum með því að skipta út ACCEPT fyrir DENY eða DROP. Deny sendir til baka pakka sem segir frá því að lokað sé á þetta port en DROP bara lokar og segir engum frá því.
Það er langt frá því að hægt sé að segja frá Iptables í svona stuttu riti, og er það alls ekki tilgangurinn og bendi ég á <a href=”http://netfilter.samba.org/unreliable-guides/"> þessar hjálparskrár</a>, sem eru í stöðugri þróun samhliða kerfinu.
Inn og út
Hægt er að negla niður áður en að eldveggurinn er smíðaður hvað við viljum áorka með honum. Það er gert með einföldum lista sem gæti verið svona.
Ég vil hleypa mínu heimaneti áfram út á internetið.
Ég vil hleypa inn pökkum sem vélar á minu heimaneti hafa beðið um.
Ég vil hafa opið fyrir vefþjón (port 80)
Ég vil hafa opið fyrir SSH til mín (port 22)
Ég vil hafa opið fyrir identd fyrir IRC, og einskorða það við þann ircþjón sem ég nota.
Ég vil loka á allt annað.
Ef um aðrar sérþarfir er um að ræða (póstur, ftp eða þannig) þá er gott að muna eftir þeim núna.
Einnig er hægt að loka fyrir “Ping”, sem er mjög gagnlegt tól en því miður oft misnotað í svokölluðum Ping Floods.
ICMP ping kallast réttu nafni ICMP echo request (bergmálsbeiðni). Þegar tekið er við slíkri beiðni sendir tölvan þín svar (ICMP echo reply). Með því að loka fyrir að tölvan þín sendir svar við Pingi er verið að minnka pingflood um 50%. Það eru til góð rök fyrir því að gera þetta ekki en það verður hver og einn að vega og meta. Ég er með lokað á echo reply út og echo request inn.
Svo má einnig af öryggisástæðum loka sérstaklega á ákveðin port út. Eins og til dæmis 137 - 139, sem eru þau port sem Windows sharing notar (EKKI góð hugmynd að hleypa slíku út á Internetið) og þau port sem algengir Trójuhestar eins og BackOrifice og Netbus nota, því allur er varinn góður.
Ég biðst afsökunar á því að vaða úr einu í annað, en þetta er skrifað á Sunnudagsmorgni :)
Þar til síðar….
JReykdal
Hugi notar vefkökur til að bæta notendaupplifun á vefsíðunni og greina umferð um hana.
Einnig hefur Hugi uppfært persónuverndarstefnu sína.