Linux - Friheden til sikkerhed på internettet: Version 2.9.20060510 - 2020-12-31 | ||
---|---|---|
forrige | Kapitel 6. Firewall på Linux | næste |
Netfilter er en række faciliteter til at filtrere og berarbejde de pakker, som kommer igennem din Linux box.
Den mest almindelige anvendelse af netfilter er at bruge din Linux box som firewall, der beskytter et lokalt netværk mod internettet. Den type firewall, som denne kerne supporterer, kaldes et pakkefilter, hvilket betyder, at den kan afvise individuelle pakker baseret på type, afsenderadresse, modtager etc. Den anden slags firewall er "proxy-baseret", den er mere sikker men mere besværlig at sætte op. Den inspicerer netværkstrafikken meget mere i detailler, modificerer den og har viden om de højere protokol-lag, som et pakkefilter ikke ved noget om. Endvidere kræver proxy'er ofte ændringer i de programmer, som kører på den lokale klient. Proxy baserede firewalls har ikke brug for support i kernen, men de er ofte kombineret med et pakkefilter, som kun virker, hvis du siger Y (Yes, ja) her.
Du bør sige Y her, hvis du har tænkt dig at bruge Linux som en gateway til internettet for et lokalt netværk af maskiner uden globalt gyldige IP-adresser. Dette kaldes masquerading: Hvis en af dine lokale maskiner ønsker at sende noget til verden udenfor, kan din box "forklæde sig" (maskere sig) som den maskine, d.v.s. den videresender pakkerne til den angivne ydre destination, men modificerer pakkerne, så de ser ud, som om de kommer fra firewall-boxen selv. Det fungerer begge veje: Hvis hosten udenfor svarer, vil linuxboxen uden yderligere kommentarer sende pakkerne videre til den rigtige lokale computer. På denne måde er maskinerne på indersiden af firewallen fuldstændig usynlige for verden udenfor, selv om de kan nå udenfor og får svar. Det er endog muligt at køre globalt synlige servere inde fra et masqueraded lokal netværk ved at anvende en mekanisme, som kaldes port-forwarding. Masquerading kaldes også ofte NAT (Network Address Translation)[1].
En anden anvendelse er transparent proxy-ing. Hvis en maskine på lokalnettet prøver at få skabe forbindelse til en maskine udenfor, kan Linux-boxen uden at det mærkes sende pakkerne til en lokal host, som typisk vil være en caching server.
Der er forskellige moduler, som erstatter tidligere masquerading (ipmasquadm), packet filtering, transparent proxying og portforwarding mekanismer. Se venligst ~kernel/Documentation/Changes for placeringen af af disse pakker.
Vær sikker på at svare N til "Fast switching" nedenfor, hvis du siger ja til netfilter her, eftersom "Fast switching" i den aktuelle version laver bypass på netfilter.
Du bør nok sige Y her, hvis du oversætter en kerne, som skal fungere som router, og N, hvis det er til en almindelig host. Hvis du er usikker, så svar Y.
[Oversætterens anmærkning: Det er i dag bedst at sige Y til netfilter, idet man også på et lokalnet kan have fordel af at kunne spærre af for uønskede pakker udefra. De store distributioner har det altid med.]
[1] |
NAT bruges dog oftest om en gateway, som har flere IP adresser, som den kan bruge for mapning af de lokale maskiner. Det er som regel nok med 2 - 3 stykker, idet man sjældent løber tør for portnumre som jo er en 16-bit størrelse. Masquerading har yderligere den egenskab, at det oftest kan sættes op til at ske automatisk på et dynamisk tildelt IP-nummer for en klient, som fx. benytter PPP på en modem-linje. |