71374

Засоби фільтрації пакетів та брандмауери (IPFW)

Лабораторная работа

Информатика, кибернетика и программирование

У відповідності з варіантом побудувати ланцюжок правил IPFW для stateless фільтрації, яка дозволяє проходження трафіку (тобто повноцінне функціонування) сервісів клієнтської і серверної частин вузла і особливого трафіку. Весь інший трафік повинен бути заборонений.

Украинкский

2014-11-06

189.6 KB

0 чел.

Лабораторна робота № 6

Засоби фільтрації пакетів та брандмауери (IPFW)

Завдання на роботу

1. У відповідності з варіантом побудувати ланцюжок правил IPFW для stateless фільтрації, яка дозволяє проходження трафіку (тобто повноцінне функціонування) сервісів клієнтської і серверної частин вузла і особливого трафіку. Весь інший трафік повинен бути заборонений. Клієнтська частина є ініціатором з'єднань до мережевих сервісів, а серверна - приймачем з’єднань. Список портів і протоколів, пов'язаних з мережевими сервісами знаходиться у файлі /etc/services.

2. Налаштувати підрахунок заданого за варіантом трафіку.

3. Перевірити працездатність брандмауера.

Варіанти заідань:

варіанту

Клієнтська частина

Серверна частина

Особливий трафік

Рахувати

1

SSH, HTTP до вузла 10.18.49.10

FTP

ICMP echo request,

ICMP echo reply

TCP

2

SMTP до вузла

10.18.49.10, HTTP

SSH

ICMP в/із мережі

10.18.51.0/24

UDP до вузла

10.18.49.102

3

FTP, HTTP в мережу

10.18.49.0/24

POP3

ICMP вихідний

ICMP вхідний

ICMP

4

POP3 до вузла

10.18.49.10, SMTP

IMAP

ICMP

TCP syn, TCP fin

5

FTP в мережу

10.18.49.0/24, POP3

SMTP

IP в/із мережі

10.18.48.0/24

вхідний TCP

6

SSH, HTTP до вузла

10.18.49.10

Telnet

ICMP від/до вузла

10.18.49.1

вихідний UDP

на порт 53

7

IMAP, FTP до вузла

10.18.49.10

HTTP

IP від/до вузла

10.18.51.1

ICMP echo reply

8

SMTP в мережу

10.0.0.0/8, SSH, DNS

FTP

ICMP echo request

вихідний TCP

на 25 порт

9

POP3, SMTP до вузла 10.18.49.10

SSH вихідний

ICMP вихідний

TCP

10

SMTP, HTTP SMTP до вузла

10.18.49.10

IMAP

IP в/із мережі

10.18.51.0/24

вихідний UDP

на порт 53

11

FTP, HTTP в мережу

10.0.0.0/8

Telnet

ICMP echo request,

ICMP echo reply

TCP ack

12

FTP в мережу

10.18.49.0/24, POP3

HTTP

IP від/до вузла

10.18.48.1

TCP

13

DNS, SSH в мережу

10.18.49.0/24

SMTP

ICMP вхідний

ICMP

14

IMAP, FTP до вузла

10.18.49.3

POP3

ICMP в/із мережі

10.18.48.0/24

ICMP echo reply

15

SSH, HTTP до вузла 10.18.49.10

FTP

ICMP від/до вузла

10.18.48.1

UDP від/до вузла

10.18.49.102

16

DNS, SSH в мережу 10.18.49.0/24

FTP

ICMP в/із мережі

10.18.48.0/24

ICMP echo reply

17

SMTP до вузла

10.18.49.10, HTTP

SSH

ICMP від/до вузла

10.18.48.1

UDP від/до вузла

10.18.49.102

18

FTP, HTTP в мережу

10.18.49.0/24

POP3

ICMP вхідний

ICMP

19

POP3 до вузла

10.18.49.10, SMTP

IMAP

IP від/до вузла

10.18.48.1

TCP

20

FTP в мережу

10.18.49.0/24, POP3

SMTP

ICMP echo request,

ICMP echo reply

TCP ack

21

SSH, HTTP до вузла

10.18.49.10

Telnet

IP в/із мережі

10.18.51.0/24

вихідний UDP

на порт 53

22

IMAP, FTP до вузла

10.18.49.10

HTTP

ICMP вихідний

TCP

23

SMTP в мережу

10.0.0.0/8, SSH, DNS

FTP

ICMP echo request

вихідний TCP

на 25 порт

24

POP3, SMTP до вузла 10.18.49.10

SSH вихідний

IP від/до вузла

10.18.51.1

ICMP echo reply

25

SMTP, HTTP SMTP до вузла

10.18.49.10

IMAP

ICMP від/до вузла

10.18.49.1

вихідний UDP

на порт 53

26

FTP, HTTP в мережу

10.0.0.0/8

Telnet

IP в/із мережі

10.18.48.0/24

вхідний TCP

27

FTP в мережу

10.18.49.0/24, POP3

HTTP

ICMP

TCP syn, TCP fin

28

DNS, SSH в мережу

10.18.49.0/24

SMTP

ICMP вихідний

ICMP вхідний

ICMP

29

IMAP, FTP до вузла

10.18.49.3

POP3

ICMP в/із мережі

10.18.51.0/24

UDP до вузла

10.18.49.102

30

DNS, SSH в мережу 10.18.49.0/24

FTP

ICMP echo request

DNS, SSH в мережу 10.18.49.0/24

Приклад виконання 30-го варіанта

  1.  Підтримку файрвола в ядрі було включено в лабораторній роботі 2. Якщо цього не було зроблено файрвол можна підключити динамічно як модуль для цього треба виконати команду kldload ipfw.
  2.  Налаштування файлу rc.conf для дозволу використання IPFW.

#ee /etc/rc.conf

firewall_enable=”YES

firewall_script=”/etc/rc.firewall”

  1.  Перемістимо стандартний конфігураційний скрипт:

#mv /etc/rc.firewall /etc/rc.firewall.old

  1.  Створемо новий скрипт і задамо в нього параметри відповідно варіанту завдань:

#touch /etc/rc.firewall

#ee /etc/rc.firewall

#!/bin/sh

# для початку вводимо змінні - для зручності, щоб не

# вводити по сотні разів одне й те ж, а потім шукати чому не працює,

# і в підсумку з'ясовувати, що помилився IP адресою в одному з правил

FwCMD="/sbin/ipfw" # власне де лежить бінарники ipfw

Lan="em2"                   # інтерфейс

Ip="10.18.51.1"           # IP адреса машини

NetMask="16"             # маска мережі

# Скидаємо всі правила:

${FwCMD} -f flush

# Перевіряємо - чи відповідає пакет динамічним правилами:

${FwCMD} add check-state

# Виконання завдання

${FwCMD} add 100 allow tcp from any to 10.18.49.0/24 53 in

${FwCMD} add 101 allow tcp from any to 10.18.49.0/24 22 in

${FwCMD} add 102 allow tcp from me to any 21 out

${FwCMD} add 103 count tcp from any to any

#Надамо права DHCP серверу і клієнтам

${FwCMD} add 104 allow udp from any to any 67

${FwCMD} add 104 allow udp from any 67 to any

#SSH

${FwCMD} add 105 allow tcp from any to 192.168.56.0/24 22 in

${FwCMD} add 106 allow tcp from me to any out

#Заборонемо все лишнє

${FwCMD} add 65534 deny all from any to any

Номера ACL задають порядок роботи брандмауера, якщо першим буде ACL з номером 65535, то він заблокує проходження всього трафіку.

  1.  Необхідно перезавантажити віртуальну машину та переконатись за допомогою команди ipfw list або ipfw show, що брандмауер включено та відповідні ACL створено.
  2.  

  1.  Для перевірки працездатності правил можна використати генератор пакетів pktbuilder, або в ланцюг IPFW додати unreach правила, і за допомогою команди ping отримати повертаємий код.

Контрольні питання:

1. На яких рівнях еталонної моделі OSI може виконуватися фільтрація в IPFW?

2. Переваги і недоліки різних типів брандмауерів.

3. З якою метою можуть використовуватися ключові слова in і out в IPFW?

4. Яким чином в IPFW реалізується фільтр, що враховує стан?

5. Чи може пакету відповідати кілька правил в IPFW?

6. З якою метою в IPFW вводиться правило з номером 65535?

7. Які дії можуть виконуватися над пакетом в правилі IPFW?

8. Типи брандмауерів та їх особливості.

9. Обробка пакетів в IPFW.

Література

1. Чепмен Дэвид, Фокс Энди. Брандмауэры Cisco Secure PIX.: Пер. с англ. – М.: Издательский дом

«Вильямс», 2003. – 384 с.: ил.

2. http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html

3. http://www.lissyara.su/doc/docs/handbook_-_ipfw/

4. http://www.lissyara.su/articles/freebsd/tuning/ipfw/

5. http://www.opennet.ru/docs/RUS/ipfw_rus/


 

А также другие работы, которые могут Вас заинтересовать

80890. Процесс управления муниципальными услугами 44.09 KB
  К муниципальным услугам относится весь комплекс жилищнокоммунальных транспортных в пределах территории поселения бытовых торговых образовательных медицинских культурных досуговых и других услуг. К муниципальным услугам следует относить и такие как обеспечение общественного порядка обустройство и содержание территории обеспечение ее экологического и санитарного благополучия и т. Даже то что мы называем комплексным социальноэкономическим развитием МО означает не что иное как целенаправленное изменение ситуации в сторону...
80891. Организация и планирование работы местной администрации 43.83 KB
  Основным документом определяющим организацию деятельности местной администрации является ее регламент утверждаемый главой администрации. Наряду с регламентом работы администрации важную роль в организации ее деятельности играют нормативные документы регламентирующие деятельность отдельных структурных подразделений и исполнителей. В соответствии с положениями и профилем своей работы структурные подразделения администрации: курируют работу подведомственных предприятий организаций и учреждений; осуществляют сбор информации анализ...
80893. Муниципальное управление охраной здоровья населения 43.99 KB
  Муниципальная система здравоохранения МСЗ включает в себя располагающиеся на территории МО лечебнопрофилактические и иные учреждения системы здравоохранения находящиеся в муниципальной государственной или частной собственности а также органы муниципального управления охраной здоровья населения. Главная цель муниципальная система здравоохранения удовлетворение потребностей населения в услугах сферы здравоохранения отнесенных к предметам ведения местного самоуправления на уровне не ниже государственных минимальных социальных...
80894. Разработка прогноза социально-экономического развития муниципального образования 43.62 KB
  Система планирования комплексного социальноэкономического развития муниципального образования включает в себя прогнозирование текущее и стратегическое планирование. Бюджетный кодекс РФ 2004 года предусматривает обязательную разработку перспективного финансового плана развития муниципального образования на трехлетний среднесрочный период. Этот план разрабатывается на основе прогноза социальноэкономического развития территории на тот же период.
80895. Стратегическое планирование в Муниципальном Образовании 44.44 KB
  Недостаток опыта стратегического планирования комплексного подхода к определению целей и приоритетов перспективного развития муниципальных образований приводит к тому что разработанные концепции и стратегические планы иногда носят декларативный характер отсутствуют механизмы их реализации. В зависимости от стоящих задач концепции и стратегические планы бывают среднесрочные 3 5 лет и долгосрочные до 10 15 лет. Основные этапы разработки концепции комплексного социальноэкономического развития муниципального образования...
80896. Основные направления по противодействию коррупции государственных и муниципальных органах власти 45.12 KB
  Коррупция - злоупотребление служебным положением, дача взятки, получение взятки, злоупотребление полномочиями, коммерческий подкуп либо иное незаконное использование физическим лицом своего должностного положения вопреки законным интересам общества и государства в целях получения выгоды в виде денег, ценностей, иного имущества или услуг имущественного характера, иных имущественных прав для себя или для третьих лиц либо незаконное предоставление такой выгоды указанному лицу другими физическими лицами;
80897. Информационное обеспечение муниципального управления 45.52 KB
  Распоряжения главы администрации и его заместителей протоколы заседаний коллегии ведомости учета изданных мун. Население выражает свое отношение к дти мун. Общественные объединения граждан выражают отношение к деятельности мун.
80898. Сущность и содержание муниципального управления 43.04 KB
  Местное самоуправление в РФ форма осуществления народом своей власти обеспечивающая в пределах установленных Конституцией РФ федеральными законами а в случаях установленных федеральными законами законами субъектов РФ самостоятельное и под свою ответственность решение населением непосредственно и или через органы местного самоуправления вопросов местного значения исходя из интересов населения с учетом исторических и иных местных традиций . Дана характеристика основных признаков местного самоуправления отличающих его от...