A Linux beállítása tűzfalnak 1. Egyszerű csomagszűrő tűzfal: ipchains 2004 óta nem ajánlott, a disztribúciók nem támogatják 2. Állapot alapú tűzfal: iptables A v2.4. kernel óta támogatott: a szabványos fejléc-mezőkön felül figyeli a kezdeményezett kapcsolatokat, és azok állapotát is. Pl. csak akkor engedélyez bejövő csomagokat, ha a kapcsolatot belülről kezdeményezték.

A kernel beállítása Korábban a rendszergazda maga fordított kernelt, amelyben beállította a szükséges funkciókat. Újabb disztribúciók megfelelő moduláris szerkezetben alapértelmezésben tartalmazzák ezeket, tehát csak a tűzfal beállítását kell elvégezni.

Iptables http://www.netfilter.org A disztribúciók alapértelmezetten tartalmazzák Felépítés: egymást követő szabályok, az első illeszkedő érvényesül A csomagok táblákon haladnak át, láncokon keresztül. Mangle tábla: a fejléceket módosíthatjuk, vagy megjelölhetjük Nat tábla: a forrás- és célcímek módosítására szolgál Filter tábla: korlátozhatjuk a gépünkhöz való hozzáférést

Üres tűzfal: a filter tábla mindent átenged: root@sirius:/boot# iptables -t filter -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) Chain OUTPUT (policy ACCEPT)

Paranoid tűzfal: a filter tábla mindent tilt: root@sirius:/boot# iptables -t filter -L -n Chain INPUT (policy DROP) target prot opt source destination Chain FORWARD (policy DROP) Chain OUTPUT (policy DROP) Minden hálózati forgalom tiltott...

A tűzfal általában shell script formájában készül. Alapértelmezett interfész és saját IP-cím meghatározása: default_interface=`route | grep default | awk '{print $8}'` my_ip=`ifconfig $default_interface | grep inet | awk '{print $2}' | cut -d: -f2`

Magyarázat: root@sirius:/boot# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default ntszki.local 0.0.0.0 UG 0 0 0 wlan0 link-local * 255.255.0.0 U 1000 0 0 wlan0 192.168.1.0 * 255.255.255.0 U 0 0 0 wlan0 root@sirius:/boot# ifconfig wlan0 | grep inet inet addr:192.168.1.67 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fe80::1e65:9dff:fe7a:2814/64 Scope:Link root@sirius:/boot# ifconfig wlan0 | grep inet|awk ' {print $2}' addr:192.168.1.67 addr: