Настройка межсетевого экрана в Linux с помощью Arno-Iptables-Firewall

Привет, друзья, в этой статье мы с вами очень просто настроим фаерволл на операционной системе Линукс . Кто хоть как-то касался этого вопроса знает что такое iptables и для чего он, собственно, служит. Для тех, кто не знает я поясню, IPTables представляет собой утилиту для командной строки Linux, которая также является основным интерфейсом управления межсетевым экраном в ОС Linux.

Firewall linux

Еще многие IT спецы говоря или упоминая утилиту IPTables на самом деле имеют ввиду брандмауэр NETfilter, который присутствует в ядре Линукс начиная с версии 2.4. Так вот, чтобы настроить межсетевой экран нужно как минимум знать и представлять себе как организованны таблицы и группы цепочек правил, что для новичков не очень то и понятно. Кстати сказать, непонятно потому что надо много читать и разбираться в вопросе устройства межсетевого экрана, да и вообще сетей, но если времени нет или просто лень, то для таких людей и придумали Arno Iptables Firewall. .

Arno-Iptables-Firewall

Arno-Iptables-Firewall – представляет собой скрипт для настройки межсетевого экрана в Linux, с помощью данного скрипта можно довольно легко и быстро настроить межсетевой экран. Данный скрипт в автоматическом режиме формирует правила для настраиваемого фаерволла, тем самым позволяя быстро и без ошибок настроить почти все что нужно, например закрыть все порты на вашем компьютере от внешнего мира, настроить Nat, тем самым дать возможность ходить в интернет вашей локальной сети или нескольким компьютерам в сети. Все зависит от конфигурации, также можно открыть определенные порты и пробросить их на компьютеры в локальной сети. Этим мы сегодня и займемся, установим и настроим межсетевой экран в Linux с помощью Arno-Iptables-Firewall.  

Сетевые интерфейсы

В моей ситуации имеется три сетевых интерфейса один из которых виртуальный создаваемый PPPoE соединением.

Eth0 – Смотрит в хаб провайдера Eth1 – Смотрит в локальную сеть PPP0 – Виртуальный интерфейс 192.168.3.0/24 – Локальная подсеть

192.168.1.0/24 – Сеть провайдера (Вобще там dhcp но на моей сетевой карте по-видимому глюк и она не работает посредство dhcp поэтому там настроен статичный ip адрес. ) ifconfig Ну а с PPP0 все и так понятно я думаю :-) Я привел конфигурацию сетевых карт не случайно, а потому что кое-где в настройках придется указывать адресацию сетей, все просто для того, чтобы вы не путались повторяя то же самое когда будете настраивать. Я почему-то посчитал что новичкам так будет проще разобраться, чем читать воду как в других подобных статьях в интернете. В моём случае мне нужно закрыть всячески доступ от сетей провайдера, то есть, закрыться извне и дать интернет другим компьютерам в локальной сети c помощью Nat.

Установка и настройка Arno-Iptables-Firewall

Для того, чтобы установить скрипт настройки межсетевого экрана откройте консоль и напечатайте следующую команду:

aptitude install arno-iptables-firewall

Данной командой мы начнем установку скрипта, о котором говорилось выше, после того как все скачалось, начнётся настройка межсетевого экрана. При первом запуске вы увидите примерно вот такое окошко, в котором вас спросят: управлять ли межсетевыми настройками с помощью debconf? Отвечаем утвердительно и наживаем Клавишу Enter.

Arno-iptables-firewall1

Следующим шагом нужно будет указать внешние сетевые интерфейсы (если вы уже запутались посмотрите в самое начало статьи и сразу станет все понятно). В моём случае внешними сетевыми интерфейсами являются eth0 и ppp0, как я уже и говорил первый смотрит в сеть провайдера, а второй виртуальный. Указываем их следующим образом, через пробел.

Arno-iptables-firewall2

Когда все готово опять нажимаем клавишу Enter для того, чтобы перейти к следующему шагу. На следующем шаге нас спросят будем ли мы использовать DHCP на внешних сетевых интерфейсах, в моём случае я отвечаю утвердительно. Но если вы ответите отрицательно то межсетевой экран будет блокировать весь трафик по DHCP.

Arno-iptables-firewall3

Выбираем ответ и нажимаем клавишу Enter чтобы перейти к следующему шагу. На следующем шаге нам надо выбрать какие порты мы будем открывать внешнему миру, в данной конфигурации никакие, так как нам в текущее время они не нужны.

Arno-iptables-firewall4

Жмем клавишу Enter. PS: Тот же шаг выполняется и для UDP-портов, поэтому делаем то же самое.

Arno-iptables-firewall5

На следующем шаге нас спросят, а должен ли компьютер пинговаться извне, я не параноик поэтому выбираю что должен. Так как в дальнейшем мне это понадобится.

Arno-iptables-firewall6

Следующим вопросом будет какой интерфейс смотрит в локальную сеть, в моём случае это eth1, вписываем и нажимаем Enter.

Arno-iptables-firewall7

Ну вот, дело дошло и до подсетей, как я и предупреждал в начале статьи, на этом шаге нас спросят про внутренние подсети, указываем их как показано на скриншоте.

Arno-iptables-firewall8

А теперь главный в моем случае шаг, когда нас спрашивают нужен ли NAT внутренним подсетям, то есть, другими словами, если включить Nat, то у внутренней сети будет интернет. Я выбираю включить, ведь по большому счету, для этого все и задумывалось :-).

Arno-iptables-firewall9

Следующим шагом нам предстоит рассказать скрипту каким подсетям или компьютерам мы будем давать интернет. Можно написать через пробел ip-компьютеров вашей сети, а можно одной записью разрешить пользоваться всей сети.

Arno-iptables-firewall10

На этом настройка закончена и последним шагом будет перезапуск сетевого экрана, для того, чтобы настройки вступили в силу.

Arno-iptables-firewall11

  Просто, неправда ли? Всего каких-то 10 шагов и вы настроили межсетевой экран на Linux. А уже в следующей статье я расскажу, как пробросить порты из локальной сети наружу.

Похожие записи

Приложение Вконтакте для Android
Приложение Вконтакте для Android

Приложения для устройств на платформе Android, которое позволяет вам оставаться на связи со своими друзьями в самой посещаемой социальной сети России и СНГ. Приложение Вконтакте имеет тот же функц...

История о настройке Squid на ALT Linux junior в школе
История о настройке Squid на ALT Linux junior в школе

Предыстория Привет, как-то раз я вызвался помочь одной школе в настройке  никак не поддающегося линукса. При первом разговоре директор  это самой школы не смог ничего толком объяснить, то есть ...

Контент фильтр на linux
Контент фильтр на linux

Как то раз обратился ко мне один знакомый предприниматель с просьбой ограничить нехорошее в интернете , ссылаясь на то что его коллеги уделяют много времени просмотру клубнички . Я сказал что поду...

Обзор телефона Explay Sky Plus
Обзор телефона Explay Sky Plus

От остальных бюджетных смартфонов Explay Sky Plus отличает разве что наличие аналогового ТВ приемника. Не так давно подобная функция присутствовала практически в каждом устройстве, если вы любител...

Интегрированная система разработки (IDE)
Интегрированная система разработки (IDE)

Прежде, чем двигаться дальше, нам необходимо ознакомиться с интегрированной системой разработки для микроконтроллеров PIC. IDE позволяет осуществлять разработку и написание программ как на языке ...

Доступ к сайтам только в определенное время
Доступ к сайтам только в определенное время

В прошлом посте мы с вами устанавливали и немножко настраивали squid. В этом посте мы рассмотрим, как разрешить работу с сайтами только в определенное время, с помощью прокси-сервера squid. Наприм...