1 / 18

Linux palomuurina ( iptables ) sekä squid-proxy

Linux palomuurina ( iptables ) sekä squid-proxy. Mikä on palomuuri. Eristävä moniosainen järjestelmä Suodattaa suojattavan verkon ja vaarallisemman verkon välisiä yhteyksiä Voidaan toteuttaa joko ohjelmistolla tai laitteistolla. Linux palomuurien historiaa.

ofira
Download Presentation

Linux palomuurina ( iptables ) sekä squid-proxy

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Linux palomuurina (iptables) sekä squid-proxy

  2. Mikä on palomuuri • Eristävä moniosainen järjestelmä • Suodattaa suojattavan verkon ja vaarallisemman verkon välisiä yhteyksiä • Voidaan toteuttaa joko ohjelmistolla tai laitteistolla

  3. Linux palomuurien historiaa • Ipfwadm oli Linuxin ensimmäinen palomuuritoteutus (Kernel 2.0) • Pakettisuodatus ja maskeeraus • Ipchains (Kernel 2.2) • Uutena portforwarding • Tuki Linuxin Quality of Service ominaisuuksille • Sääntöketjut • Netfilter (Kernel 2.3) • Iptables (Kernel 2.4)

  4. Linux palomuurien historiaa • Iptables • Tilallisuus • Pakettien hallintaan monipuolisemmat kriteerit (TTL (Time to Live), MAC-osoite) • Mahdollisuus tuoda paketteja userspacen puolelle käsiteltäväksi • Ip6tables toiminto, jolla voidaan filteröidä IPv6 liikennettä • Nftables (Kernel 3.13)

  5. Mikä on Iptables? • Linux-kernelin sisäänrakennetun palomuurin, netfilterin käyttöliittymä • Standardinomaisesti mukana kaikissa moderneissa Linux-jakeluissa • Käytetään komentoriviltä, mutta graafisia käyttöliittymiäkin on olemassa. EsimFireStarter

  6. Iptables toiminta • Linuxin kaikki verkkoliikenne kulkee yhden rajapinnan, Netfilterin läpi • Kaikki verkkoliikenteen suodattaminen tapahtuu tämän avulla • Verkkoliikenteen suodattamisen säännöt asetetaan Iptablesilla • Purkaa säännöt ytimestä -> muuttaa tai lisää uusia -> Pakkaa takaisin ytimeen

  7. Iptables toiminta • Koostuu kolmesta osasta • Käskyt(rules) – operaatiot, jotka tehdään paketille • Ketjut(chains) – Kokoelma käskyjä • Taulut(tables) – Kokoelma ketjuja • Kolme erillistä taulua • Filter, NAT ja Mangle • Lisäksi userchain ketju, joka ei kuulu mihinkään tauluun

  8. Filter-taulu • Käytetään perinteisen pakettisuodatuksen toteuttamiseen • Sisältää ketjut • Input – mitkä sisäänpäin tulevat paketit pääsevät reitityksen jälkeen perille • Output – kontrolloi mitkä ulospäin lähtevistä paketeista pääsevät jatkamaan matkaansa • Forward – määrittelee mitkä paketit voivat jatkaa matkaansa verkkojen välillä

  9. NAT-taulu • Keskittyy NAT:iin, paketin lähde- ja kohdeosoitteen muokkaamiseen • Sisältää ketjut • Prerouting – hoidetaan destinationNAT-operaatio, muutetaan paketin kohdeosoitetta ennen sen päätymistä reititettäväksi • Postrouting – suoritetaan sourceNAT-operaatio, eli muutetaan paketin lähdeosoitetta • Output – paikallisesti generoidun liikenteen lähde- ja kohdeosoitteiden muuttaminen

  10. Mangle-taulu • Käytetään pakettien muokkaamiseen • Sisältää ketjut • Input • Output • Prerouting • Postrouting • Forward

  11. Tilallisuus • Iptablesissa on mahdollistettu tarkkojen ns. tilallisten (stateful) palomuurientoteuttaminen. • Pidetään kirjaa muodostetuista TCP- ja UDP-yhteyksistä ja sallitaan vain yhteyteen kuuluvat paketit.

  12. Iptablesin käyttö • Esimerkkikomentoja • Tämänhetkisetpalomuuriasetukset • iptables -L • NAT-taulunasetukset IP-muodossa • iptables -t nat –L • Tulevien pakettien esto • iptables -s osoite -A INPUT -j DROP • Lähtevien pakettien esto • iptables -d osoite -A OUTPUT -j DROP

  13. Squid-proxy • Välitys- javälimuistipalvelu • Tukee mm  http-, https- ja ftp-protokollia • Uusin julkaisu 3.4.2 • Tarkoitettukäytettäväksi Unix-tyylisissäjärjestelmissä. • Windows porttiaylläpidettiinversioon 2.7 saakka • Kattavatyökaluliikenteensuodatukseenjauudelleenohjaukseeniptablesinrinnalla.

  14. Squid-proxy historiaa • Alun perin DuaneWesselsin kehittämä • Forkattu osasta Harvestprojectia, josta myöhemmin tuli NetCache • Squidin versio 1.0.0 julkaistiin kesäkuussa 1996 • Nykyään kehitys tapahtuu lähes kokonaan vapaaehtoisvoimin • Ilmainenjajulkaistu GNU GPLv2:n alaisena.

  15. Squid - välimuisti • Välimuistilla (cache) tarkoitetaanInternetistähaettavantiedontallentamistapaikallisestivälimuistipalveluaajavallepalvelimelle. • Voidaankäyttääesimasiakaspäässäuseinvierailtujensivujentallessapitämiseennopeammansaatavuudentakaamiseksitai sitten palvelinpäässä web-palvelujen kiihdyttäjänä. • Esimwikipedia käyttää squidia

  16. Squid - välityspalvelu • Välityspalvelintoimiivälittäjänäasiakaskoneenjaesimerkiksihaettavan www-sivunpalvelimenvälissä. • Voidaanhalutessaajaakaikkinettiliikennemäärätynvälityspalvelimenläpi. • Tarjoaaosittaisenanonymiteetinulkoverkkoonlähtevänliikenteensuhteen.

  17. Lähteet • http://en.wikipedia.org/wiki/Netfilter • http://fi.wikipedia.org/wiki/Iptables • http://en.wikipedia.org/wiki/Iptables • http://www.linux.fi/wiki/Iptables • http://www.netfilter.org/ • http://www.iptables.info/en/structure-of-iptables.html • http://www.squid-cache.org/ • http://www.linux.fi/wiki/Squid • http://en.wikipedia.org/wiki/Squid_(software)

More Related