Komponenty netfilter a iptables jsou zodpovědné za filtrování a manipulaci s palety a za překlad síťových adres (NAT). Filtrovací kritéria a všechny s nimi spojené akce jsou uloženy v řetězech (chains), se kterými jsou porovnávány všechny příchozí pakety. Řetězy jsou uloženy v tabulkách. Manipulaci s těmito tabulkami a sadami pravidel umožňuje příkaz iptables.

Linuxové jádro si udržuje tři tabulky, každou z nich pro jednu skupinu funkcí paketového filtru:

Obrázek 4.1. iptables: Možné cesty paketu

Výše zmíněné tabulky obsahují několik předdefinovaných řetězů (chains) pro porovnávání s pakety:

Obrázek 4.1 – „iptables: Možné cesty paketu“ znázorňuje cesty, po kterých se v systému může síťový paket pohybovat. Z důvodu jednoduchosti jsou tabulky zobrazeny jako části řetězů, ale ve skutečnosti jsou řetězy umístěny právě v tabulkách.

V nejjednodušším případě dorazí paket určený přímo pro systém na síťové rozhraní eth0. Paket je nejprve postoupen řetězu PREROUTING tabulky mangle, a pak řetězu PREROUTING tabulky nat. Následující krok určí, že cílem paketu je proces na vlastním systému. Po průchodu přes řetězy INPUT tabulek mangle a filtr dosáhne paket konečně svého cíle, pokud ovšem odpovídá pravidlům v tabulce filtr.

Maškaráda je linuxově specifická forma NAT (překladu síťových adres). Lze ji použít k propojení malé lokální sítě LAN (ve které počítače používají IP adresy z privátního rozsahu, viz 18.1.2 – „Síťové masky a směrování“) s Internetem. Aby se mohl počítač z LAN připojit k Internetu, musí být jeho privátní adresa přeložena na veřejnou, používanou v Internetu. O to se stará router (směrovač), který slouží jako brána mezi LAN a Internetem. Princip je jednoduchý — router má více než jedno síťové rozhraní, obvykle síťovou kartu a zvláštní rozhraní pro připojení k Internetu. Zatímco druhé spojuje router s vnějším světem, první, nebo i více takových, spojuje router s počítači v síti LAN. Počítače v síti LAN tak mohou posílat pakety, které nejsou určeny pro lokální síť, na router.

	Použití správné síťové masky
Při nastavení sítě se ujistěte, že oznamovací adresa a maska sítě je nastavena pro všechny počítače stejně. Pokud to tak není, síť nefunguje správně, protože pakety nemohou být správně směrovány.

Kdykoliv počítač v lokální síti LAN pošle paket určený pro internetovou adresu, je poslán na implicitní router. Router však musí být správně nakonfigurován, aby mohl pakety předávat dál. Z bezpečnostních důvodů to SUSE Linux neumožňuje v implicitní instalaci. Chcete-li předávání povolit, nastavte proměnnou IP_FORWARD v souboru /etc/sysconfig/sysctl na IP_FORWARD=yes.

Cílový počítač vidí váš router, ale neví nic o počítači ve vaší interní síti, ze kterého paket pochází. Proto se tato technika nazývá maškaráda. Díky překladu adres je router prvním cílem všech paketů zaslaných jako odpověď. Router musí tyto pakety rozpoznat a přeložit jejich cílovou adresu tak, aby mohly být předány správnému počítači v lokální síti.

Vzhledem k tomu, že směrování příchozích paketů závisí na maškarádové tabulce, neexistuje způsob, jak otevřít přímé spojení s počítačem v lokální síti zvenku. Pro takové spojení není v tabulce žádný zápis. Navíc každé již navázané spojení má v tabulce přiřazený stavový zápis, takže zápis nemůže být použit jiným spojením.

Důsledkem jsou možné problémy s některými komunikačními protokoly, např. ICQ, cucme, IRC (DCC, CTCP) a FTP (PORT režim). Mnoho FTP klientů používá režim PASV. Tento pasivní režim působí při používání maškarády a filtrování paketů podstatně méně problémů.

Firewall je běžně používaný termín pro mechanizmus zajišťující propojení sítí a kontrolující přenos dat mezi nimi. Přesně řečeno, mechanizmus popsaný v této části se jmenuje paketový filtr. Paketový filtr řídí datový tok podle určitých kritérií, jako je komunikační protokol, porty a IP adresy. To umožňuje zablokovat pakety, které by, vzhledem ke svým adresám, neměly být do vaší sítě doručeny. Pokud chcete povolit veřejný přístup k vašemu webserveru, musíte explicitně otevřít příslušný port. Paketový filtr nicméně nezkoumá obsah paketů s legitimními adresami, jako například paketů pro webserver. I když by příchozí pakety byly například zaslány za účelem nabourání CGI programu na webserveru, paketový filtr je nechá normálněprojít.

Efektivnější ale složitější mechanizmus je kombinace několika typů systémů, jako například paketový filtr spolupracující s aplikační bránou nebo proxy. V takovém případě paketový filtr odmítá všechny pakety určené pro zakázané porty. Přijaty jsou pouze pakety určené pro aplikační bránu. Tato brána nebo proxy předstírá, že je klientem. V jistém smyslu lze takovou proxy považovat za maškarádu na úrovni protokolu používaného aplikací. Takovou proxy je například Squid, HTTP proxy server. Aby prohlížeč mohl využít proxy, musí být patřičně nakonfigurován. Všechny HTTP požadavky jsou obsluhovány proxy s využitím cache (vyrovnávací paměti) a stránky, které se v cache nenalézají, jsou staženy proxy z Internetu. Dalším příkladem je SUSE proxy-suite (proxy-suite), která poskytuje proxy pro protokol FTP.

Následující část se zabývá paketovým filtrem dodávaným se systémem SUSE Linux. Další informace o filtrování paketů a firewallu naleznete v dokumentu Firewall HOWTO obsaženém v balíčku howto. Pokud je tento balíček nainstalovaný, můžete si dokument přečíst pomocí příkazu less /usr/share/doc/howto/en/Firewall-HOWTO.gz.

Skript SuSEfirewall2 čte proměnné z /etc/sysconfig/SuSEfirewall2 a generuje sadu iptables pravidel. SuSEfirewall2 definuje tři bezpečnostní zóny:

Jakýkoliv síťový provoz, který není explicitně povolen filtračním pravidlem, je pomocí iptables zakázán. Proto musí být každé síťové rozhraní umístěno do jedné ze tří zón. Pro každou zónu je třeba určit, které služby a protokoly jsou povoleny. Pravidla jsou používána jen na pakety pocházející ze vzdálených počítačů. Lokálně generované pakety nejsou firewallem zachycovány.

Konfiguraci lze provést pomocí nástroje YaST (viz 4.1.4.1 – „Konfigurace pomocí YaST“). Lze ji provést i ručně v dobře okomentovaném souboru /etc/sysconfig/SuSEfirewall2. Navíc je řada příkladů nastavení dostupná v /usr/share/doc/packages/SuSEfirewall2/EXAMPLES.

4.1.4.1. Konfigurace pomocí YaST

Automatické nastavení firewallu

YaST automaticky spouští firewall na všech nakonfigurovaných rozhraních. Pokud je na systému nakonfigurován a aktivován server a v dialozích pro nastavení serveru použijete volbu Na zvolených portech a rozhraních otevřít firewall nebo Na zvolených portech otevřít firewall, YaST automaticky upraví konfiguraci firewallu. Dialogy některých serverových modulů mají tlačítko Doladění firewallu pomocí kterého lze aktivovat další služby a porty. Modul YaST pro firewall se používá pouze k aktivaci, deaktivaci či rekonfiguraci firewallu.

Dialogy pro nastavení firewallu v grafickém prostředí jsou dostupné v nástroji YaST zvolením položek Bezpečnost a uživatelé+Firewall. Konfigurace je rozdělena do sedmi částí, ke kterým lze přistupovat přímo stromové struktury vlevo.

Začátek

V tomto dialogu můžete nastavit spouštění firewallu. Ve výchozím nastavení se SuSEfirewall2 spouští automaticky. Můžete ho ale spustit nebo zastavit v tomto dialogu ručně. Chcete-li použít svá nová nastavení, stiskněte Uložit nastavení a restartovat firewall.

Obrázek 4.2. YaST: Konfigurace firewallu

Rozhraní

Seznam v tomto dialogu obsahuje všechna známá rozhraní. Chcete-li rozhraní odebrat ze zóny, klikněte na něj, stiskněte tlačítko Změnit a vyberte Není přiřazena žádná zóna. Chcete-li rozhraní přiřadit zóně, stiskněte Změnit a vyberte některou z dostupných zón. Můžete také vytvořit zvláštní rozhraní s vlastním nastavením pomocí Vlastní.

Povolené služby

Toto nastavení potřebujete pouze, pokud chcete aby systém nabízel služby dostupné ze zóny, proti které je chráněn. Ve výchozím nastavení je systém chráněn pouze proti vnějším zónám. Explicitně povolte služby, které mají být počítačům ve vnější síti dostupné. Nejprve v nabídce Povolené služby pro vybranou zónu zvolte zónu, pak přidejte služby, které pro ni mají být povoleny.

Maškaráda

Maškaráda skrývá vnitřní síť před vnějšími sítěmi, jako je Internet, ale umožňuje počítačům z vnitřní sítě transparentně přistupovat k vnější síti. Požadavky z vnější do vnitřní sítě jsou zablokovány a požadavky z vnitřní sítě z vnějšku vypadají, jako by je vydával maškarádující server. Pokud mají být ve vnější síti dostupné služby stroje ve vnitřní síti, přidejte pro službu zvláštní přesměrovávací pravidlo.

Broadcast

V tomto dialogu nastavte UDP porty, na kterých je povolen příjem broadcast paketů. K žádané zóně přidejte požadované porty nebo služby oddělené mezerami. Viz také /etc/services.

Lze zde také zapnout zaznamenávání nepřijatých broadcast paketů. To může působit problémy, neboť počítače s Windows generují velké množství broadcast paketů, kterým si o sobě dávají vědět. Jsou-li v síti takové počítače, mohou záznamy narůstat do velkých rozměrů.

Podpora IPsec

V tomto dialogu nastavte, zda má být z vnější sítě dostupná služba IPsec. Po stisknutí tlačítka Podrobnosti můžete nastavit, jak se má IPsec paketům důvěřovat.

Úroveň logování

Existují dvě pravidla pro logování: zaznamenávání přijatých a nepřijatých paketů. Pro každou z obou skupin můžete zvolit mezi Zaznamenávat vše, Zaznamenávat pouze kritické a Nezaznamenávat nic.

Po ukončení konfigurace pokračujte stisknutím tlačítka Další. Otevře se shrnutí nastavení konfigurace firewallu. V něm zkontrolujte všechna nastavení, služby, porty a protokoly, které byly povoleny. Chcete-li konfiguraci změnit, použijte tlačítko Zpět. Tlačítkem Přijmout konfiguraci uložíte.

Mar 15 13:21:38 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0
OUT= MAC=00:80:c8:94:c3:e7:00:a0:c9:4d:27:56:08:00 SRC=192.168.10.0
DST=192.168.10.1 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=15330 DF PROTO=TCP
SPT=48091 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0
OPT (020405B40402080A061AFEBC0000000001030300)

Aktuální informace a další dokumentaci o balíčku SuSEfirewall2 naleznete v /usr/share/doc/packages/SuSEfirewall2. Domovská stránka projektů netfilter a iptables na adrese http://www.netfilter.org poskytuje velké množství dokumentace v různých jazycích.