Новые книги
Экстремальное программирование
Эта книга об экстремальном программировании. Экстремальное программирование, часто обозначаемое аббревиатурой «XP» – это упрощенная методика организации производства для небольших и средних по размеру команд разработчиков, занимающихся разработкой программного продукта в условиях неясных или быстро меняющихся требований. Данная книга предназначена для того, чтобы помочь вам определить, оправдано ли применение XP в вашей ситуации...
Windows 10. Секреты и устройство
Книга, которая покорила интернет-сообщество полнотой изложения, количеством материала, а также профессионализмом. После чтения данной книги вы станете профессионалом работы на компьютере на Windows 10! Вы узнаете все тонкости и секреты новой операционной системы, поймете, как обезопасить себя при работе в Интернете, узнаете, что такое пароль, который НЕ ВЗЛОМАТЬ, поймете, почему компьютеры одних пользователей работают намного быстрее других. В конце книги вас ждет приятный бонус.

What Is IP Filtering?
Версия для печати

Linux Network Administrators Guide
Назад Глава 9. TCP/IP Firewall Вперед

Что такое IP Filtering?

IP filtering простой механизм, который решает какие IP-пакеты будут обработаны, а какие будут отброшены. "Отброшены" означает, что пакет удаляется и полностью игнорируется, как будто его никогда не было. Вы можете применять много различных критериев, чтобы определить, какие пакеты Вы желаете фильтровать. Некоторые примеры:

  • Типы протоколов: TCP, UDP, ICMP и т.д.

  • Номера портов (для TCP/UPD)

  • Типы пакетов: SYN/ACK, data, ICMP Echo Request и т.д.

  • Откуда пришел пакет

  • Куда идет пакет

Важно понять, что IP-фильтрация является средством сетевого уровня. Это означает, что она не понимает ничего относительно прикладной программы, использующей сетевые подключения, а понимает только что-то непосредственно относительно подключений. Например, Вы можете отвергать доступ пользователей к Вашей внутренней сети через telnet-порт, но если Вы полагаетесь ТОЛЬКО на IP-фильтрацию, Вы не сможете запретить использование программы telnet с портом, с которого Вы позволяете передавать пакеты через Ваш firewall. Вы можете предотвращать эти проблемы, используя прокси-сервер для каждого сервиса, проходящего через firewall. Прокси-серверы понимают прикладную программу, под которую они были разработаны, и предотвращают злоупотребления типа использования программы telnet, чтобы обойти firewall через порт для World Wide Web. Если Ваш firewall поддерживает прокси для World Wide Web, telnet будет всегда соединяться только с ним, и проходить будут только HTTP-запросы. Есть много прокси-серверов, как коммерческих, так и свободных. Они хорошо рассмотрены в Firewall-HOWTO.

Набор правил IP-фильтрации задает много правил. Например, допустим, что Вы позволяете пользователям World Wide Web в сети Virtual Brewery network обращаться только к другим web-серверам в Internet. Настройте Ваш firewall на пропуск пакетов:

  • С исходными адресами сети Virtual Brewery network, любым сайтом назначения и портом назначения 80 (WWW)

  • С адресом назначения в сети Virtual Brewery network и портом назначения 80 (WWW) с любого исходного адреса.

Здесь использованы два правила фильтрации. Мы должны позволить нашим данным выходить, но также должны позволить возвращаться ответам на запросы. На деле Linux упрощает это и позволяет нам определять эти правила в одной команде.

Назад Глобальное оглавление Вперед
Что такое Firewall? Локальное оглавление Настройка Firewall в Linux