Новые книги
Операционная система UNIX
Книга посвящена семейству операционных систем UNIX и содержит информацию о принципах организации, идеологии и архитектуре, объединяющих различные версии этой операционной системы.

В книге рассматриваются: архитектура ядра UNIX (подсистемы ввода/вывода, управления памятью и процессами, а также файловая подсистема), программный интерфейс UNIX (системные вызовы и основные библиотечные функции), пользовательская среда (командный интерпретатор shell, основные команды и утилиты) и сетевая поддержка в UNIX (протоколов семейства TCP/IP, архитектура сетевой подсистемы, программные интерфейсы сокетов и TLI).

Для широкого круга пользователей
Программирование КПК и смартфонов на .NET Compact Framework
Мобильные устройства все активнее вторгаются в нашу жизнь. Карманные компьютеры и смартфоны давно утратили статус дорогих игрушек и перекочевали в разряд необходимых устройств. Значит, для них необходимо создавать программное обеспечение. Так почему вы должны оставаться в стороне?

Прочитав эту книгу, вы получите знания, которые позволят вам уверенно создавать программы для карманных компьютеров и смартфонов. А огромное количество разнообразных примеров поможет быстро совершенствоваться и развиваться, обогащая свой опыт работы.

Книга предназначена для начинающих программистов.

What Is IP Filtering?
Версия для печати

Linux Network Administrators Guide
Назад Глава 9. TCP/IP Firewall Вперед

Что такое IP Filtering?

IP filtering простой механизм, который решает какие IP-пакеты будут обработаны, а какие будут отброшены. "Отброшены" означает, что пакет удаляется и полностью игнорируется, как будто его никогда не было. Вы можете применять много различных критериев, чтобы определить, какие пакеты Вы желаете фильтровать. Некоторые примеры:

  • Типы протоколов: TCP, UDP, ICMP и т.д.

  • Номера портов (для TCP/UPD)

  • Типы пакетов: SYN/ACK, data, ICMP Echo Request и т.д.

  • Откуда пришел пакет

  • Куда идет пакет

Важно понять, что IP-фильтрация является средством сетевого уровня. Это означает, что она не понимает ничего относительно прикладной программы, использующей сетевые подключения, а понимает только что-то непосредственно относительно подключений. Например, Вы можете отвергать доступ пользователей к Вашей внутренней сети через telnet-порт, но если Вы полагаетесь ТОЛЬКО на IP-фильтрацию, Вы не сможете запретить использование программы telnet с портом, с которого Вы позволяете передавать пакеты через Ваш firewall. Вы можете предотвращать эти проблемы, используя прокси-сервер для каждого сервиса, проходящего через firewall. Прокси-серверы понимают прикладную программу, под которую они были разработаны, и предотвращают злоупотребления типа использования программы telnet, чтобы обойти firewall через порт для World Wide Web. Если Ваш firewall поддерживает прокси для World Wide Web, telnet будет всегда соединяться только с ним, и проходить будут только HTTP-запросы. Есть много прокси-серверов, как коммерческих, так и свободных. Они хорошо рассмотрены в Firewall-HOWTO.

Набор правил IP-фильтрации задает много правил. Например, допустим, что Вы позволяете пользователям World Wide Web в сети Virtual Brewery network обращаться только к другим web-серверам в Internet. Настройте Ваш firewall на пропуск пакетов:

  • С исходными адресами сети Virtual Brewery network, любым сайтом назначения и портом назначения 80 (WWW)

  • С адресом назначения в сети Virtual Brewery network и портом назначения 80 (WWW) с любого исходного адреса.

Здесь использованы два правила фильтрации. Мы должны позволить нашим данным выходить, но также должны позволить возвращаться ответам на запросы. На деле Linux упрощает это и позволяет нам определять эти правила в одной команде.

Назад Глобальное оглавление Вперед
Что такое Firewall? Локальное оглавление Настройка Firewall в Linux