Межсетевые экраны

Установка Turtle Firewall

Установка и начальная настройка Turtle Firewall очень проста, так как используется модуль администрирования Webmin, доступный на большинстве платформ Linux.

1. Если вы не установили модуль администрирования Webmin при установке ОС, следует сделать это сейчас, так как он необходим для Turtle Firewall. Найдите и запустите RPM, который должен быть на большинстве дисков с дистрибутивами Linux. Щелкните на файле RPM мышью, и он установится автоматически.
2. Когда это будет сделано, вы получите возможность входа в программу настройки межсетевого экрана, вводя его IP-адрес в окне навигатора и нажимая клавишу ввода.
3. Теперь все готово к установке Turtle Firewall. Загрузите упакованный дистрибутив с http://www.turtlefirewall.com или возьмите его с компакт-диска, прилагаемого к книге, и распакуйте.
4. Перейдите в каталог turtlefirewall и наберите

   ./setup

   Запустится командный файл установки, который поместит модули Perl и другие необходимые файлы в нужные места.
5. Используя Web-навигатор, войдите на сервер Webmin, указав его IP-адрес или имя хоста. Отобразится интерфейс Webmin.
6. Щелкните мышью на вкладке Module Index, и в окне отобразится основной экран Turtle Firewall (рис. 3.2).
   

   
   Рис. 3.2. Основной экран Turtle Firewall
7. Щелкните мышью на иконке Firewall Items, чтобы начать конфигурирование межсетевого экрана. Сначала вам придется задать основные сведения о нем (рис. 3.3). В Turtle Firewall применяется концепция зон для определения доверенных и недоверенных сетей. Доверенная зона связывается с сетью, где работают люди, которым принято доверять (пример - ваша внутренняя сеть). Недоверенная зона - это сеть, в которой может работать кто угодно, от сотрудников до заказчиков, продавцов или даже злоумышленников. В Turtle они называются "good" и "bad", но это по сути то же самое, что доверенная и недоверенная.
   

   
   Рис. 3.3. Конфигурирование Turtle Firewall

   В Turtle предусмотрен также элемент для демилитаризованной зоны (dmz), в которой располагают серверы со свободным доступом для недоверенной зоны. Задайте интерфейсы для доверенной, недоверенной и демилитаризованной (если таковая имеется) зон.
8. Затем в блоке Net следует задать адреса внутренней сети. Укажите диапазон IP-адресов с маской подсети для внутренней сети, которая будет защищаться межсетевым экраном, в предоставленном поле (рис. 3.3).
9. После этого задайте все хосты во внутренней сети и демилитаризованной зоне, требующие специального рассмотрения (пример - почтовый или Web-сервер). Сделайте это в блоке Hosts (рис. 3.3).
10. Наконец, в области Group можно определить все специальные хосты, к которым желательно подходить особым образом (пример - машины администраторов). Теперь ваш межсетевой экран готов к работе в базовом режиме.

Вероятно, вы захотите добавить некоторые дополнительные ограничения или разрешения, например, возможность кому-то извне использовать для входа SSH. Это можно сделать, написав правило под вкладкой Firewall Rules. Щелкните на ней мышью, и с вами начнут графический диалог для написания нового правила. Вы обнаружите сходство структуры диалога с форматами инструкций Iptables (рис. 3.4).

Рис. 3.4. Правила Turtle Firewall

Если вы хотите реализовать функцию маскарада Iptables, используя собственные IP-адреса для вашей внутренней сети, щелкните мышью на иконке "NAT and Masquerading" на основном экране. Вы сможете специфицировать, какая зона будет подвергаться маскараду (рис. 3.5). Обычно это доверенный интерфейс. Здесь же можно задать хосты, сетевые адреса которых будут транслироваться. Хост, заданный в качестве виртуального, будет служить фасадом реального хоста, и межсетевой экран будет переправлять все пакеты реальному хосту через виртуальный. Это создает дополнительный защитный рубеж для внутренних серверов.

Рис. 3.5. Трансляция сетевых адресов и маскарад в Turtle Firewall