Добавить новость
SuSEfirewall2 - Погружение
Шрифт:
admin 21 Января 2010 в 08:55:54
Прежде чем углубиться в параметры конфигурации фаервола, хочу сделать несколько уточнений:
1)В этом скрипте все рулится по-человечески, т.е. в цепочке FORWARD
2)Для большинства переменных нужно указать интерфейсы - т.е. применять к INT - внутреннему, EXT - внешнему, или к DMZ - интерфейам демилитаризованной зоны. Т.е. в терминологии скрипта все делиться на 3 зоны.
3)Скрипт объемный (около 20 страниц), но 95% его составляют комментарии и примеры. Т.е. вполне реально уложиться в 30-35 строк "чистого" кода.
4)В терминологии скрипта все сетевое пространство состоит из этой машины (сервера с фаерволом), доверенных (внутренних) хостов и сетей, и недоверенных (внешних) хостов и сетей (сюда же попадает и интернет).
5)Это вольный перевод фаервола на русский язык, такой, каким я его понимаю. Я постарался сохранить последовательность параметров и оформление. Если заметили неточность - буду рад ее исправить. Пишите на suse@pisem.net
6)Разделы 8, 12, 20, 24 пропущены, т.к. в оригинале их НЕТ! Видимо у немцев это несчастливые числа...
/etc/sysconfig/SuSEfirewall2 - тут лежит сам конфиг фаервола.
for use with /sbin/SuSEfirewall2 version 3.3 - тут лежит демон.
------------------------------------------------------------------------
Пожалуйста, прочтите следующее:
Конфигурирование и использование SuSEfirewall2 не я вляется само по себе гарантией безопасности системы!
Для увеличения безопасности необходимо также:
Защищать все службы, которые работают с небезопасными сетями (напрмер, с Интернетом). Вы можете сделать это с помощью программ, специально разработанных с учетом безопасности (таких ках postfix, vsftpd, ssh), оставьте их со стандартными настройками и молитесь, чтобы они действительно не имели дыр или закладок. SuSEcompartment может помочь в большинстве случаев для определения степени риска.
Не запускать непровереные приложения (Филосовский вопрос: Вы доверяете SuSE или другим дистрибутивам?) (хм, я да прим. пер.)
Регулярно проверяйте уровень безопасности Вашей системы
Если Вы используете эту систему в качестве сервера для выходв в интернет из внутренней сети, попробуйте запустить прокси-сервер и отключить роутинг на этой машине.
Если Вы используете DNS: отключите на фаерволе недоверенные передачи зон и не давайте кнему доступ из интернета.
Удачи!
Ваша, SuSE Security Team
Раздел 1
Помощь в настройке:
Если у Вас возникли какие-нибудь проблемы при редактировании этого файла, взгляните на /usr/share/doc/packages/SuSEfirewall2/EXAMPLES или воспользуйтесь YaST.
Если вы конечный пользователь, не работающий в 2-х сетях (читай: Вы имеете однопользовательскую систему и используете dialup для выхода в интернет) то Вам достаточно настроить (все остальные настройки можно не трогать): раздел 2) и возможно раздел 9).
Если Ваша система используется как server+firewall, который должен выступать как прокси-сервер (т.е. без прямой маршрутизации между внешней и внутренней сетями) или Вы конечный пользователь, использующий интернет и локальную сеть, Вы должны настроить прокси и перенастроить (все остальные настройки можно не трогать): разделы 2), 3), 9) и возможно, разделы 7), 11), 14)
Если Ваша система - сервер, который используется для маршрутизации/маскарадинга между внешней и внутренними сетями, Вы можете настроить (все остальные настройки можно не трогать): разделы 2), 3), 5), 6), 9), и возможно разделы 7), 10), 11), 12), 13), 14)
Если Вы хотите поднять DMZ в любой из трех стандартных настроек, Вы просто должны *донастроить* разделы 4), 9), 12), 13), 18)
Пожалуйста, помните, что если вы используете имена служб, они должны существовать в /etc/services. К примеру, нет службы "dns", она называется "domain"; почтовая служба называется "smtp" и т.д.
------------------------------------------------------------------------
Путь: Network/Firewall/SuSEfirewall2
Описание: Файл конфигурации SuSEfirewall2
Раздел 2
Какой из интерфейсов смотрят во внешнюю сеть? (интернет или небезопасная сеть)
Тип: строковый
Значение по умолчанию: any
Введите все интерфейсы, смотрящие в интернет/небезопасные сети
Формат: список интерфейсов или псевдонимов, разделенный пробелом
Служебное слово "auto" означает использование устройства из маршрута по умолчанию. "auto" нельзя "смешивать" с другими именами интерфейсов.
Служебное слово "any" означает, что пакеты, приходящие на интерфейсы и явно не обозначенные как int, ext or dmz считаються внешними (ext). Примечание: эта настройка работает только для пакетов предназначенных для локальной машины. Если Вы хотите пропускать транзитный или маскарадить траффик, Вы должны добавить внешние интерфейсы индивидуально. "any" в записи может быть совмещен с другими именами интерфейсов.
Примеры:
FW_DEV_EXT="eth-id-00:e0:4c:9f:61:9a", "ippp0 ippp1", "auto", "any dsl0"
Примечание: алиасы интерфейсов (такие как eth0:1) игнорируются.
FW_DEV_EXT="any"
Раздел 3
Какие интерфейсы смотрят во внутреннюю сеть?
Тип: строковый
Введите все доверенные сетевые интерфейсы. Если вы не подключаетесь к доверенной сети (т.е. подключаетесь по выделенному каналу) оставьте этот параметр пустым.
Формат: список интерфейсов или псевдонимов, разделенный пробелом
Примеры:
FW_DEV_INT="eth-id-00:e0:4c:9f:61:9a", "tr0", "eth0 eth1"
FW_DEV_INT=""
Раздел 4
Какие из интерфейсов смотрят в dmz или в подключение по dialup?
Тип: строковый
Укажите все интерфейсы, которые смотрят в dmz/dialup.
"dmz" это особая, отдельная сеть, которая подключается только к фаерволу и открыта со стороны интернета (внешней сети) для таких служб как WWW, Mail, и т.д. (на самом деле для всего открыта прим. пер.) И подвергается угрозе атак со стороны интернета.
В /usr/share/doc/packages/SuSEfirewall2/EXAMPLES вы найдете примеры работы с dmz.
Примечание: Вы можете настроить FW_FORWARD для определения служб которые могут быть доступны для интернета и установить FW_ROUTE в "yes".
Формат: список интерфейсов или псевдонимов, разделенный пробелом
Примеры:
FW_DEV_DMZ="eth-id-00:e0:4c:9f:61:9a", "tr0", "eth0 eth1"
FW_DEV_DMZ=""
Раздел 5
Нужно ли роутить пакеты между интернетом, dmz и внутренней сетью?
Тип: булево (yes/no)
Значение по умолчанию: no
Установите этот параметр в "yes" если хотите маскарадить внутренние компы или разрешить доступ в dmz (или ко внутренним компам, но это плохая идея).
Этот параметр перезаписывается значением IP_FORWARD из /etc/sysconfig/network/options
Включение этой опции само по себе ничего не дает. Также необходимо активировать опцию маскарадинга с помощью FW_MASQUERADE прежде чем маскарадить внутреннюю сеть в интернет или настроить FW_FORWARD для указания того, какие транзитные пакеты нужно пропускать.
Также необходимо определить внутренний интерфейс или интерфейс dmz (FW_DEV_INT или FW_DEV_DMZ).
FW_ROUTE="no"
Раздел 6
Хотите ли Вы маскарадить внутреннюю сеть наружу?
Тип: булево (yes/no)
Значение по умолчанию: no
Требует: FW_DEV_INT или FW_DEV_DMZ, FW_ROUTE, FW_MASQ_DEV
"Маскарадинг" означает то, что все Ваши компы из внутренней сети будут ходить в интернет через это фаервол. Причем снаружи они будет виден только комп, на котором стоит это фаервол. Помните, что более безопасный способ сокрытия компов внутренней сети от внешней - использовать прокси-сервер.
Этот параметр необходим для FW_MASQ_NETS и FW_FORWARD_MASQ.
FW_MASQUERADE="no"
Раздел 6a
Вы также должны указать, на каких интерфейсах маскарадить траффик.
Тип: строковый
Значение по умолчанию: $FW_DEV_EXT
Эти интерфейсы обычно являються внешними. В большинстве случаев можно оставить по умолчанию.(по умолчанию как раз и забита переменная, обозначающая внешние интерфейсы, прим. пер.)
Примеры:
FW_MASQ_DEV="ippp0", "$FW_DEV_EXT"
FW_MASQ_DEV="$FW_DEV_EXT"
Раздел 6б
Каким внутренним компам/сетям разрешен доступ в интернет (внешнюю сеть) через маскарадинг (не через прокси)?
Тип: строковый
Значение по умолчанию: 0/0
Формат: список разделленных пробелом значений
<сеть источник>[,<сеть приемник>,<протокол>[,порт[:порт]]
Если протокол icmp то порт интерпретируется по icmp типу
Примеры:
FW_MASQ_NETS="0/0"
неограниченный доступ в интернет
FW_MASQ_NETS="10.0.0.0/8"
позволить неограниченый доступ из сети 10.0.0.0
FW_MASQ_NETS="10.0.1.0/24,0/0,tcp,80 10.0.1.0/24,0/0,tcp,21"
разрешить сети 10.0.1.0 использовать www/ftp службы в интернете.
FW_MASQ_NETS="10.0.1.0/24,0/0,tcp,1024:65535 10.0.2.0/24"
сети 10.0.1.0/24 разрешен доступ в интернет по непривелигированным портам (1024-65535), в то время как сети 10.0.2.0/24 разрешен полный доступ.
FW_MASQ_NETS="0/0"
Раздел 7
Защищать фаервол из внутренней сети?
Тип: булево (yes/no)
Значение по умолчанию: no
Требует: FW_DEV_INT
Если указать "yes", компы из внутренней сети смогут подключаться только к тем службам, которые были явно открыты на фаерволе. Если указать "no", тогда любые внутренние пользователи смогут подключиться (и атаковать) к любой службе на фаерволе.
см. также FW_REJECT_INT
FW_PROTECT_FROM_INT="no"
Раздел 9
Какие TCP службы на фаерволе будут доступны из небезопасных сетей (интернета)?
Тип: строковый
Введите все порты или псевдонимы портов, разделенных пробелом.
TCP службы (такие как SMTP, WWW) должны быить указаны в FW_SERVICES_*_TCP, UDP службы (такие как syslog) должны быить указаны в FW_SERVICES_*_UDP. Например, если к веб-серверу на фаерволе разрешен доступ из интернета, то:
FW_SERVICES_EXT_TCP="www"
Еще пример. Если на фаерволе разрешено получение сообщений syslog из dmz:
FW_SERVICES_DMZ_UDP="syslog"
Для IP протоколов (таких как GRE для PPTP, или OSPF для маршрутизации) необходимо указать FW_SERVICES_*_IP с именем или номером протокола (вместо * нужно указать интерфейс EXT,INT или DMZ прим. пер.). Номера протоколов можно узнать в /etc/protocols
Формат: список портов, диапазонов портов или имен служб (см. /etc/services) разделенных пробелом
Примеры: "ssh", "123 514", "3200:3299", "ftp 22 telnet 512:514"
FW_SERVICES_EXT_TCP="80"
Какие UDP службы должны быть доступны на фаерволе из небезопасных сетей (интернета)?
Тип: строковый
см. описание FW_SERVICES_EXT_TCP
Пример:
FW_SERVICES_EXT_UDP="53"
FW_SERVICES_EXT_UDP=""
Какие IP службы должны быть доступны на фаерволе из небезопасных сетей (интернета)?
Тип: строковый
Обычно для VPN/роутинга дописывается в конец фаервола
Пример:
FW_SERVICES_EXT_IP="esp"
FW_SERVICES_EXT_IP=""
Какие RPC службы должны быть доступны на фаерволе из небезопасных сетей (интернета)?
Тип: строковый
Номера портов RPC служб динамически добавляются портмаппером (portmapper). Таким образом для указанных здесь служб команда "rpcinfo -p localhost" будет автоматически использовать текущие порты, определенные "сейчас"
Необходимо указать имена служб.
ИСПОЛЬЗУЙТЕ ЭТОТ ПАРАМЕТР ОСТОРОЖНО!
Обычные пользователи могут щарегестрировать здесь rpc службы и таким образом открывать через SuSEfirewall2 произвольные порты.
Пример:
FW_SERVICES_EXT_RPC="mountd nfs"
FW_SERVICES_EXT_RPC=""
Какие службы должны быть доступны на фаерволе из небезопасных сетей (интернета)?
Тип: строковый
Устанавливаемые пакеты могут перезаписать настройки конфигурационного файла, в котором определены все необходимые порты /usr/share/SuSEfirewall2/services Это удобно для служб которые требуют множество портов или протоколов.
Введите список загружаемых конфигурационных файлов, разделенных пробелом.
Пример:
FW_CONFIGURATIONS_EXT="samba-server nfs-server"
FW_CONFIGURATIONS_EXT=""
Тип: строковый
см. описание FW_SERVICES_EXT_TCP
FW_SERVICES_DMZ_TCP=""
Тип: строковый
см. описание FW_SERVICES_EXT_UDP
FW_SERVICES_DMZ_UDP=""
Тип: строковый
см. описание FW_SERVICES_EXT_IP
FW_SERVICES_DMZ_IP=""
Тип: строковый
см. описание FW_SERVICES_EXT_RPC
FW_SERVICES_DMZ_RPC=""
Тип: строковый
см. описание FW_CONFIGURATIONS_EXT
FW_CONFIGURATIONS_DMZ=""
Тип: строковый
см. описание FW_SERVICES_EXT_TCP
FW_SERVICES_INT_TCP=""
Тип: строковый
см. описание FW_SERVICES_EXT_UDP
FW_SERVICES_INT_UDP=""
Тип: строковый
см. описание FW_SERVICES_EXT_IP
FW_SERVICES_INT_IP=""
Тип: строковый
см. описание FW_SERVICES_EXT_RPC
FW_SERVICES_INT_RPC=""
Тип: строковый
см. описание FW_CONFIGURATIONS_EXT
FW_CONFIGURATIONS_INT=""
Пакеты, которые будут отбрасываться без записи в лог.
Тип: строковый
Формат: список сеть,протокол[,порт][,порт-источник] разделенный пробелом
Пример:
FW_SERVICES_DROP_EXT="0/0,tcp,445 0/0,udp,4662"
Спец. значение _rpc_ определяет протокол и означает что порт-назначение (dport прим. пер.) интерпретируется с помощью службы rpc. См. FW_SERVICES_EXT_RPC для уточнения.
FW_SERVICES_DROP_EXT=""
Пакеты, которые необходимо отклонять без записи в лог.
Тип: строковый
Значение по умолчанию: 0/0,tcp,113
Обычно указывается TCP 113-й порт, который необходимо отбрасывать по причине большого таймаута при отправлении писем или при подключении к IRC серверу. Т.е. пакеты, которые нет смысла писать в лог.
Формат: список, состоящий из значений
сеть,протокол[,порт-назначение][,порт-источник] разделенный пробелом
Пример:
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
Спец. значение _rpc_ определяет протокол и означает что порт-назначение (dport прим. пер.) интерпретируется с помощью службы rpc. См. FW_SERVICES_EXT_RPC для уточнения.
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
Разрешенные службы.
Тип: строковый
Это наиболее общая форма FW_SERVICES_{IP,UDP,TCP} и более спецефичная, чем FW_TRUSTED_NETS
Формат: список, состоящий из
сеть,протокол[,порт-назначение[,порт-источник[,флаги]]] разделенный пробелом
Пример:
FW_SERVICES_ACCEPT_EXT="0/0,tcp,22"
Поддерживаемые флаги
hitcount=число : ipt_recent --счетчик
blockseconds=число : ipt_recent --таймер
recentname=имя : ipt_recent --имя службы
Пример: Разрешить не более трех ssh подключений в одну минуту с одного и того же IP адреса:
FW_SERVICES_ACCEPT_EXT="0/0,tcp,22,,hitcount=3,blockseconds=60,recentname=ssh"
Спец. значение _rpc_ определяет протокол и означает что порт-назначение (dport прим. пер.) интерпретируется с помощью службы rpc. См. FW_SERVICES_EXT_RPC для уточнения.
FW_SERVICES_ACCEPT_EXT=""
Раздел 10
Какие службы доступны с 'доверенных'(внутренних) хостов или сетей?
Тип: строковый
Определяет доверенные хосты или сети (не важно внутренние они или внешние) и службы (tcp,udp,icmp), разрешенные для у\\использования. Они могут быть использованы вместо FW_SERVICES_* для последующего ограничения доступа. Замечу, что это не отменяет аутентификацию например по IP адресу, т.к. может быть подделано. Также замечу, что доверенным хостам/сетям запрещено пинговать фаервол(т.е. этот комп) пока Вы явно не разрешите icmp.
Формат: список, состоящий из записей вида сеть[,протокол[,порт]]
в случае icmp протокола, port определяет icmp. (Т.е. порт не указываем прим. пер.)
Пример:
FW_TRUSTED_NETS="172.20.1.1 172.20.0.0/16 1.1.1.1,icmp 2.2.2.2,tcp,22"
FW_TRUSTED_NETS=""
Раздел 11
Определяет, с каких портов возможен доступ к непрвелигированным портам (>1023)
Тип: строковый
Формат: yes, no или список портов, разделенный пробелом
Вы также можете разрешить всем обращаться на непривелигированные порты ("yes"), запретить всем ("no"), разрешить всем, кто стучиться с определенного порта (номер или имя порта). Помните, что это довольно легко обойти!
Лучший выбор - оставить этот параметр в 'no'
По умолчанию "no" если не указан (правильный выбор)
Примечание: Использование этого параметра не рекомендуется и в следующих версиях он будет удален. Если вы считаете что это пораметр нужно сохранить, отпишитесь на http://forge.novell.com/modules/xfmod/project/?susefirewall2
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
Тип: строковый
См. описание FW_ALLOW_INCOMING_HIGHPORTS_TCP (тоже самое, только для udp)
По умолчанию "no" если не указан (правильный выбор)
Примечание: Использование этого параметра не рекомендуется и в следующих версиях он будет удален. Если вы считаете что это пораметр нужно сохранить, отпишитесь на http://forge.novell.com/modules/xfmod/project/?susefirewall2
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
Раздел 13
Какие службы или сети разрешено роутить сквозь фаервол, вне зависисмости от того в какую зону(интерфейс) они направляются?
Тип: строковый
Требует: FW_ROUTE
Этот параметр дает Вам доступ, например, к Вашему почтовому серверу. Компы должны иметь валидный, "белый" (реальный) IP адрес который дан Вам Вашим првайдером. Этот параметр открывает дорогу (я бы сказал автобан прим. пер.) на указанную сеть, так что дважды подумайте перед использованием этого параметра!
Формат: список значений следующего вида, разделенный пробелами
<сеть источник>,<сеть назначения>[,протокол[,порт[,флаги]]]
Если протокол icmp - то порт не указываем.
Сейчас поддерживается только флаг 'ipsec', поэтому эти пакеты могут прийти только из IPsec туннеля.
Примеры:
FW_FORWARD="1.1.1.1,2.2.2.2"
разрешить хосту 1.1.1.1 доступ к любым службам на хосте 2.2.2.2
FW_FORWARD="3.3.3.3/16,4.4.4.4/24"
позволить сети 3.3.3.3/16 доступ к службам сети 4.4.4.4/24
FW_FORWARD="5.5.5.5,6.6.6.6,igmp"
разрешить роутинг IGMP сообщений из 5.5.5.5 в 6.6.6.6
FW_FORWARD="0/0,0/0,udp,514"
всегда разрешать через 514-й udp порт проходить сквозь фаервол
FW_FORWARD="192.168.1.0/24,10.10.0.0/16,,,ipsec 10.10.0.0/16,192.168.1.0/24,,,ipsec"
запретить траффик с 192.168.1.0/24 в 10.10.0.0/16 и наоборот, разрешить обеим сетям соединяться между собой через IPsec туннель.
FW_FORWARD=""
Раздел 14
Какие службы, доступные из интернета, должны маскарадится сервером (во внутреннюю сеть или dmz)?
Тип: строковый
Требует: FW_ROUTE
Этот параметр разрешает доступ извне, например, к Вашему почтовому серверу. Хост должен быть в сегменте, который маскарадится и может не иметь белого IP адреса! Подсказка: если FW_DEV_MASQ повешен на внешний интерфейс Вы можете установить FW_FORWARD из внутренней сети в DMZ для служб также хорошо как и доступ из внутренней сети!
Помните, что это лучше не использовать по причине безопасности! Т.к. Вы откроете дыру во внутренней сети. Например, если веб-сервер будет скомпрометирован - вся Ваша внутрення сеть тоже будет скомпрометирована!
Формат: список параметров, разделенный пробелом
<сеть источник>,,<протокол>,<порт>[,порт пересылки (redirect прим. пер.),[ip адрес назначения]]
Протокол может быть только tcp или udp
Примеры:
FW_FORWARD_MASQ="4.0.0.0/8,10.0.0.10,tcp,80"
форвардить все tcp запросы пришедшие на 80-й порт из сети 4.0.0.0/8 на внутренний сервер 10.10.0.10
FW_FORWARD_MASQ="4.0.0.0/8,10.0.0.10,tcp,80,81"
форвардить все tcp запросы пришедшие на 80-й порт из сети 4.0.0.0/8 на внутренний сервер 10.10.0.10 на 81-й порт
FW_FORWARD_MASQ="200.200.200.0/24,10.0.0.10,tcp,80,81,202.202.202.202"
сеть 200.200.200.0/24 пытающаяся стучаться на адрес 202.202.202.202 на 80-й порт должна форвардиться на внутренний сервер 10.0.0.10 на 81-й порт.
Примечание: из-за несовершенства iptables разрешены только номера портов, а не имена служб (https://bugzilla.netfilter.org/bugzilla/show_bug.cgi?id=273)
FW_FORWARD_MASQ=""
Раздел 15
Какой доступ к службам должен перенаправляться на локальный порт фаерволла?
Тип: строковый
Этот параметр может заставить всех внутренних пользователей лазить по интернету через прокси-сервер squid, или прозрачно перенаправлять входящий веб-траффик на безопасный сервер.
Формат: список <сеть источник>[,<сеть назначение>,<протокол>[,порт назначения[:локальный порт]]
Где протокол может быть только tcp или udp. Протокол-назначение (dport) настоящий порт назначения и локальный порт (lport) - это порт на локальной машине, куда будет перенаправляться траффик.
Восклицательный знак перед источником или сетью предназначения означает все КРОМЕ указанной сети
Пример:
FW_REDIRECT="10.0.0.0/8,0/0,tcp,80,3128 0/0,172.20.1.1,tcp,80,8080"
Примечание: в отличие от предыдущих версий SuSEfirewall2 нет необходимости предварительно открывать локальный порт.
FW_REDIRECT=""
Раздел 16
Какой тип пакетов необходимо заносить в лог?
Тип: булево (yes/no)
Значение по умолчанию: yes
Если установить "yes", aпакеты будут отбрасываться и наиболее критичные будут записываться в лог. Такими пакетами будут, например, spoof-пакеты, tcp соединения, требующие ответа и определенные icmp пакеты.
FW_LOG_DROP_CRIT="yes"
Тип: булево (yes/no)
Значение по умолчанию: no
Все отброшенные пакеты будут заноситься в лог.
Примечание: для записи в лог броадкаста также необходимо установить FW_IGNORE_FW_BROADCAST_* в 'no'
FW_LOG_DROP_ALL="no"
Тип: булево (yes/no)
Значение по умолчанию: yes
Если установить "yes", то критические пакеты будут заноситься в лог. Такими пакетами, например, являються запросы tcp соединений, запросы rpc соединений, запросы доступа на "высокие" udp/tcp порты и транзитные пакеты.
FW_LOG_ACCEPT_CRIT="yes"
Тип: булево (yes/no)
Значение по умолчанию: no
Заносить все разрешенные пакеты в лог.
Примечание: установив это параметр в 'yes' Вы рискуете быстро забить все свободное место на диске логами. Этот параметр также отключит FW_LOG_LIMIT
FW_LOG_ACCEPT_ALL="no"
Тип: строковый
Сколько пакетов в минуту нужно логировать для каждого правила лога. Пустое значение означает 3 пакета в минуту, и используется для предотвращения сканирования портов и флуда.
Для обычного десктопа здравой мыслью будет поставить ограничение, хотя если Вы часто используете утилиты для анализа логов, лучше отключить этот параметр.
Установите в 'no' для отключения лимита. Установка FW_LOG_ACCEPT_ALL в 'yes' также отключит эту опцию.
Формат: число и суффикс вида /second, /minute, /hour или /day
FW_LOG_LIMIT=""
Тип: строковый
Функция логгирования iptables. В конце должен быть префикс --log-prefix
Вы должны указать альтернативную цель с помощью ключа "-j ".
Например
FW_LOG="-j ULOG --ulog-prefix SFW2"
Изменяйте этот параметр только если знаете, что делаете!
FW_LOG=""
Раздел 17
Вы хотите включить в ядре дополнительные возможности TCP/IP безопасности?
Тип: булево (yes/no)
Значение по умолчанию: yes
Если установите в "yes" то станут доступны следующие параметры. (icmp_ignore_bogus_error_responses, icmp_echoreply_rate, icmp_destunreach_rate, icmp_paramprob_rate, icmp_timeexeed_rate, ip_local_port_range, log_martians, rp_filter, routing flush, bootp_relay, proxy_arp, secure_redirects, accept_source_route icmp_echo_ignore_broadcasts, ipfrag_time)
Подсказка: Установите параметр в "no" на время отладки этой конфигурации. Затем установите его в "yes", все должно работать (По идее)
Варианты: "yes" или "no", если не указан, то по умолчанию "yes"
FW_KERNEL_SECURITY="yes"
Раздел 18
Оставить роутинг включенным, если остальные правила фаервола незагружены?
Тип: булево (yes/no)
Значение по умолчанию: no
Требует: FW_ROUTE
Варианты: "yes" или "no", если не указано, то "no"
FW_STOP_KEEP_ROUTING_STATE="no"
Раздел 19
Разрешить фаерволу отвечать на icmp-эхо запросы
Тип: булево (yes/no)
Значение по умолчанию: yes
FW_ALLOW_PING_FW="yes"
Раздел 19a
Разрешать внутренним и внешним хостам пинговать хосты из dmz?
Тип: булево (yes/no)
Значение по умолчанию: no
Требует: FW_ROUTE
По умолчанию "no" если не присвоен.
FW_ALLOW_PING_DMZ="no"
Раздел 19b
Разрешать внешним хостам пинговать внутренние хосты и хосты из dmz?
Тип: булево (yes/no)
Значение по умолчанию: no
Требует: FW_ROUTE
По умолчанию "no" если не присвоен.
FW_ALLOW_PING_EXT="no"
Конец /etc/sysconfig/SuSEfirewall2
-------------------------------------------------------------------------
Расширенные настройки - не изменяйте их, если Вы не эксперт!
-------------------------------------------------------------------------
Раздел 21
Разрешить подавление ICMP пакетов от провайдера?
Тип: булево (yes/no)
Значение по умолчанию: yes
Если установить в "yes", фаервол будет защищен от атак типа DoS (отказ в обслуживании).
Значение по умолчанию "yes" если не указано.
FW_ALLOW_FW_SOURCEQUENCH=""
Раздел 22
Разрешать IP броадкасты (широковещательные запросы)?
Тип: булево(yes,no)
Широковещательные запросы используються в таких службах, как Netbios/Samba, RIP, OSPF.
Если Вы хотите игнорировать броадкасты - установите параметр FW_IGNORE_FW_BROADCAST_* в "yes".
Если Вы разрешили броадкасты на определенные порты, они не будут отброшенны.
Формат:
"yes", "no" или список udp портов
Примеры:
FW_ALLOW_FW_BROADCAST_EXT="631 137"
разрешить широковещательные пакеты на порты 631 и 137, широковещательные пакеты на другие порты - отбрасывать
FW_ALLOW_FW_BROADCAST_EXT="yes"
не использовать других правил для широковещательных пакетов Они будут свободно проходить.
FW_ALLOW_FW_BROADCAST_EXT="no"
отбрасывать все широковещательные пакеты, до применения любых других правил.
Значение по умолчанию "no" если не указано.
FW_ALLOW_FW_BROADCAST_EXT="no"
Тип: строковый
см. описание FW_ALLOW_FW_BROADCAST_EXT
FW_ALLOW_FW_BROADCAST_INT="no"
Тип: строковый
см. описание FW_ALLOW_FW_BROADCAST_EXT
FW_ALLOW_FW_BROADCAST_DMZ="no"
Не заносить отброшенные широковещательные пакеты в лог.
Тип: булево(yes,no)
Используйте этот параметр, если не хотите логировать броадкасты на внутреннем интерфейсе.
Эта настройка позволяет работать только с пакетами, которые не были разрешены благодоря параметру FW_ALLOW_FW_BROADCAST_*
Формат:
"yes", "no" или список udp портов Примеры:
FW_IGNORE_FW_BROADCAST_EXT="631 137"
отбрасывет широковещательные пакеты, идущие на порты 631 и 137 без записи в лог.
FW_IGNORE_FW_BROADCAST_EXT="yes"
не записывает в лог отброшенные броадкасты
FW_IGNORE_FW_BROADCAST_EXT="no"
записывает в лог отброшенные броадкасты
Значение по умолчанию "no" если не указано.
FW_IGNORE_FW_BROADCAST_EXT="no"
Тип: строковый
см. описание FW_IGNORE_FW_BROADCAST_EXT
FW_IGNORE_FW_BROADCAST_INT="no"
Тип: строковый
см. описание FW_IGNORE_FW_BROADCAST_EXT
FW_IGNORE_FW_BROADCAST_DMZ="no"
Раздел 23
Разрешать какую-либо маршрутизацию по умолчанию?
Тип: булево(yes,no)
Значение по умолчанию: no
Требует: FW_ROUTE
Вы хотите разрешить маршрутизацию между сетевыми интерфейсами (например, между всеми внешними интерфейсами или всеми внутренними инетрфейсами) по умолчанию (без необходимости включения параметра FW_FORWARD)?
Варианты: "yes" или "no", если не указан, по умолчанию "no"
FW_ALLOW_CLASS_ROUTING=""
Раздел 25
Вы хотите подгружать свои правила iptables из файла?
Тип: строковый
Эта опция только для экспертов. По этому параметру нет помощи! Заполнить его можно только заня iptables.
Пример есть в /etc/sysconfig/scripts/SuSEfirewall2-custom
FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"
FW_CUSTOMRULES=""
Раздел 26
Вы хотите отклонять пакеты вместо отбрасывания?
Тип: булево(yes,no)
Значение по умолчанию: no
Отбрасывание (используется по умолчанию) делает сканирование портов и атаки очень медленными, т.к. ответ о отбросе пакета не отсылается. Отклонение означает, что для каждого "отброшенного" пакета будет отправляться ответ о том что пает отклонен.
Варианты: "yes" или "no", если не установлен, то по умолчанию "no"
Вы можете перекрыть действие этого параметра для каждой зоны, используя переменную FW_REJECT_DMZ="yes"
FW_REJECT=""
Тип: булево(yes,no)
Значение по умолчанию: no
См. описание FW_REJECT
По умолчанию параметр установлен в "yes" благодоря чему сканипрование портов проходит крайне медленно. Для внутренней зоны нет смысла устанавливать этот параметр, только если Вы хотите защитить себя от внутренней сети.
FW_REJECT_INT="yes"
Раздел 27
Вы хотите нарезать исходящий траффик шейпером HTB (Hierarchical Token Bucket)
Тип: строковый
Описание HTB см. на сайте http://www.lartc.org
Если Ваши закачки занимают весь канал и тормозят аплоад, то этот параметр поможет Вам исправить ситуацию. Он управляет Вашим каналом, регулируя канал download и upload для спец. пакетов, таких как TCP ACK пакеты или интеркативный SSH.
Это список устройств и максимальной толщины канала в kbit/s для каждого. Например, в Германии TDSL дает 128kbit/s на аплоад и 768kbit/s на даунлоад. Мы можем регулировать только аплоад.
Пример:
Если Вы хотите настроить 128kbit/s аплоад на DSL-подключении, таком как TDSL в Германии, укажите следующее:
FW_HTB_TUNE_DEV="dsl0,125"
где dsl0 Ваш pppoe-интерфейс и 125 это канал аплоада в 125kbit/s. Т.е. для скачивания остается канал в 3kbit/s.
Вы можете спросить, почему мы указали 125kbit/s а не 128kbit/s. На практике, Вы получите большую производительность, если оставите пару процентов от канала, для предотвращения ожидания DSL-модемом запрошенного траффика в буффер. (Т.е. модем запросит гораздо больше чем сможет получить и интернет будет тупить, прим. пер.)
Так, для канала в 256kbit:
FW_HTB_TUNE_DEV="dsl0,250"
будет лучше, чем "dsl0,256". Нет однозначной идеальной величины, на которую нужно уменьшать аплоад. Эта величина зависит от вида траффика в канале, но в люом случае 5% от максимально возможного канала аплоада отдать на даунлоад Является хорошей идеей.
За более подробной информацией обращайтесь на сайт http://tldp.org/HOWTO/ADSL-Bandwidth-Management-HOWTO/
FW_HTB_TUNE_DEV=""
Раздел 28
Что делать с IPv6 пакетами?
Тип: список(no,drop,reject)
Значение по умолчанию: drop
На старых ядрах ip6tables не устанавливались, так что не представляется возможным включить все опции в IPv4 на таких компах. Поэтому выбирать приходиться из 3-х вариантов:
no: не устанавливать никаких правил для IPv6 пакетов. Т.е. разрешены все IPV6 пакеты, пока вы не укажете свои собственные правила.
drop: отбрасывать все IPv6 пакеты.
reject: отбрасывать все IPv6 пакеты. Если не выбрано, то по умолчанию используется это значение.
Запрет IPv6 может привести к большому времени подключения к IPv6-адресам. Для предотвращения этого см. FW_IPv6_REJECT_OUTGOING
Оставьте пустым этот параметр для определения, поддерживает ли ядро эту опцию или нет.
FW_IPv6=""
Раздел 28a
Отклонять исходящие IPv6 пакеты?
Тип: булево(yes,no)
Значение по умолчанию: yes
Установите в "yes" для предотвращения таймаутов при подключении к IPv6 адресам. Этот параметр имеет смысл, только если FW_IPv6 не равен "no" Значение по умолчанию "yes".
FW_IPv6_REJECT_OUTGOING=""
Раздел 29
Уровень доверия к IPsec пакетам.
Тип: Список(yes,no,int,ext,dmz)
Значение по умолчанию: no
Нет необходимости изменять этот параметр, если вы не используете службы, требующие работы в IPsec туннеле.
Параметр определяет, насколько можно доверять IPsec пакетам. 'int', 'ext' или 'dmz' - зоны (интерфейсы) фаервола.
'yes' тоже самое что и 'int. 'no' означает, что IPsec пакеты принадлежат той же зоне куда они приходят.
Пример:
FW_IPSEC_TRUST="int"
FW_SERVICES_EXT_IP="esp"
FW_SERVICES_EXT_UDP="isakmp"
FW_PROTECT_FROM_INT="no"
FW_IPSEC_TRUST="no"
Раздел 30
Определяет дополнительные зоны фаервола.
Тип: строковый
Основноые зоны INT, EXT и DMZ не должны здесь указываться. Имена дополнительных зон могут состоять из ascii символов в нижнем регистре. При определении правил для дополнительных зон, берутся соответствующие переменные и параметры из основных INT/EXT/DMZ зон с именем доп. зоны.
Пример:
FW_ZONES="wlan"
FW_DEV_wlan="wlan0"
FW_SERVICES_wlan_TCP="80"
FW_ALLOW_FW_BROADCAST_wlan="yes"
FW_ZONES=""
Раздел 31
Определяет использование iptables-batch
Тип: список(yes,no,auto,)
iptables-batch содержит все правила в единой структуре подобно iptables-restore. Это предотвращает лишние вызовы iptables.
Варианты:
yes: использовать iptables-batch если возможно и предупреждать если нет.
no: не использовать iptables-batch
auto: использовать iptables-batch если возможно, если невозможно - возвращаться к использованию iptables.
По умолчанию "auto" если не указано.
FW_USE_IPTABLES_BATCH=""
Раздел 32
Какие дополнительные модули ядра подгружать при загрузке системы?
Тип: строковый
Пример:
FW_LOAD_MODULES="ip_conntrack_ftp ip_nat_ftp"
FW_LOAD_MODULES=""
Раздел 33
Бриджевать интерфейсы без IP адресов
Тип: строковый
Траффик на бриджевых интерфейсах, используемых например xen позволяет отдавать и получать траффик в тот же самый интерфейс. Добавьте такие интерфейсы, если хотите указать особые правила для них.
Формат: список интефейсов разделенный пробелом.
Пример:
FW_FORWARD_ALWAYS_INOUT_DEV="xenbr0"
FW_FORWARD_ALWAYS_INOUT_DEV="xenbr0"
FW_SERVICES_ACCEPT_INT=""
FW_SERVICES_ACCEPT_DMZ=""
1)В этом скрипте все рулится по-человечески, т.е. в цепочке FORWARD
2)Для большинства переменных нужно указать интерфейсы - т.е. применять к INT - внутреннему, EXT - внешнему, или к DMZ - интерфейам демилитаризованной зоны. Т.е. в терминологии скрипта все делиться на 3 зоны.
3)Скрипт объемный (около 20 страниц), но 95% его составляют комментарии и примеры. Т.е. вполне реально уложиться в 30-35 строк "чистого" кода.
4)В терминологии скрипта все сетевое пространство состоит из этой машины (сервера с фаерволом), доверенных (внутренних) хостов и сетей, и недоверенных (внешних) хостов и сетей (сюда же попадает и интернет).
5)Это вольный перевод фаервола на русский язык, такой, каким я его понимаю. Я постарался сохранить последовательность параметров и оформление. Если заметили неточность - буду рад ее исправить. Пишите на suse@pisem.net
6)Разделы 8, 12, 20, 24 пропущены, т.к. в оригинале их НЕТ! Видимо у немцев это несчастливые числа...
/etc/sysconfig/SuSEfirewall2 - тут лежит сам конфиг фаервола.
for use with /sbin/SuSEfirewall2 version 3.3 - тут лежит демон.
------------------------------------------------------------------------
Пожалуйста, прочтите следующее:
Конфигурирование и использование SuSEfirewall2 не я вляется само по себе гарантией безопасности системы!
Для увеличения безопасности необходимо также:
Защищать все службы, которые работают с небезопасными сетями (напрмер, с Интернетом). Вы можете сделать это с помощью программ, специально разработанных с учетом безопасности (таких ках postfix, vsftpd, ssh), оставьте их со стандартными настройками и молитесь, чтобы они действительно не имели дыр или закладок. SuSEcompartment может помочь в большинстве случаев для определения степени риска.
Не запускать непровереные приложения (Филосовский вопрос: Вы доверяете SuSE или другим дистрибутивам?) (хм, я да прим. пер.)
Регулярно проверяйте уровень безопасности Вашей системы
Если Вы используете эту систему в качестве сервера для выходв в интернет из внутренней сети, попробуйте запустить прокси-сервер и отключить роутинг на этой машине.
Если Вы используете DNS: отключите на фаерволе недоверенные передачи зон и не давайте кнему доступ из интернета.
Удачи!
Ваша, SuSE Security Team
Раздел 1
Помощь в настройке:
Если у Вас возникли какие-нибудь проблемы при редактировании этого файла, взгляните на /usr/share/doc/packages/SuSEfirewall2/EXAMPLES или воспользуйтесь YaST.
Если вы конечный пользователь, не работающий в 2-х сетях (читай: Вы имеете однопользовательскую систему и используете dialup для выхода в интернет) то Вам достаточно настроить (все остальные настройки можно не трогать): раздел 2) и возможно раздел 9).
Если Ваша система используется как server+firewall, который должен выступать как прокси-сервер (т.е. без прямой маршрутизации между внешней и внутренней сетями) или Вы конечный пользователь, использующий интернет и локальную сеть, Вы должны настроить прокси и перенастроить (все остальные настройки можно не трогать): разделы 2), 3), 9) и возможно, разделы 7), 11), 14)
Если Ваша система - сервер, который используется для маршрутизации/маскарадинга между внешней и внутренними сетями, Вы можете настроить (все остальные настройки можно не трогать): разделы 2), 3), 5), 6), 9), и возможно разделы 7), 10), 11), 12), 13), 14)
Если Вы хотите поднять DMZ в любой из трех стандартных настроек, Вы просто должны *донастроить* разделы 4), 9), 12), 13), 18)
Пожалуйста, помните, что если вы используете имена служб, они должны существовать в /etc/services. К примеру, нет службы "dns", она называется "domain"; почтовая служба называется "smtp" и т.д.
------------------------------------------------------------------------
Путь: Network/Firewall/SuSEfirewall2
Описание: Файл конфигурации SuSEfirewall2
Раздел 2
Какой из интерфейсов смотрят во внешнюю сеть? (интернет или небезопасная сеть)
Тип: строковый
Значение по умолчанию: any
Введите все интерфейсы, смотрящие в интернет/небезопасные сети
Формат: список интерфейсов или псевдонимов, разделенный пробелом
Служебное слово "auto" означает использование устройства из маршрута по умолчанию. "auto" нельзя "смешивать" с другими именами интерфейсов.
Служебное слово "any" означает, что пакеты, приходящие на интерфейсы и явно не обозначенные как int, ext or dmz считаються внешними (ext). Примечание: эта настройка работает только для пакетов предназначенных для локальной машины. Если Вы хотите пропускать транзитный или маскарадить траффик, Вы должны добавить внешние интерфейсы индивидуально. "any" в записи может быть совмещен с другими именами интерфейсов.
Примеры:
FW_DEV_EXT="eth-id-00:e0:4c:9f:61:9a", "ippp0 ippp1", "auto", "any dsl0"
Примечание: алиасы интерфейсов (такие как eth0:1) игнорируются.
FW_DEV_EXT="any"
Раздел 3
Какие интерфейсы смотрят во внутреннюю сеть?
Тип: строковый
Введите все доверенные сетевые интерфейсы. Если вы не подключаетесь к доверенной сети (т.е. подключаетесь по выделенному каналу) оставьте этот параметр пустым.
Формат: список интерфейсов или псевдонимов, разделенный пробелом
Примеры:
FW_DEV_INT="eth-id-00:e0:4c:9f:61:9a", "tr0", "eth0 eth1"
FW_DEV_INT=""
Раздел 4
Какие из интерфейсов смотрят в dmz или в подключение по dialup?
Тип: строковый
Укажите все интерфейсы, которые смотрят в dmz/dialup.
"dmz" это особая, отдельная сеть, которая подключается только к фаерволу и открыта со стороны интернета (внешней сети) для таких служб как WWW, Mail, и т.д. (на самом деле для всего открыта прим. пер.) И подвергается угрозе атак со стороны интернета.
В /usr/share/doc/packages/SuSEfirewall2/EXAMPLES вы найдете примеры работы с dmz.
Примечание: Вы можете настроить FW_FORWARD для определения служб которые могут быть доступны для интернета и установить FW_ROUTE в "yes".
Формат: список интерфейсов или псевдонимов, разделенный пробелом
Примеры:
FW_DEV_DMZ="eth-id-00:e0:4c:9f:61:9a", "tr0", "eth0 eth1"
FW_DEV_DMZ=""
Раздел 5
Нужно ли роутить пакеты между интернетом, dmz и внутренней сетью?
Тип: булево (yes/no)
Значение по умолчанию: no
Установите этот параметр в "yes" если хотите маскарадить внутренние компы или разрешить доступ в dmz (или ко внутренним компам, но это плохая идея).
Этот параметр перезаписывается значением IP_FORWARD из /etc/sysconfig/network/options
Включение этой опции само по себе ничего не дает. Также необходимо активировать опцию маскарадинга с помощью FW_MASQUERADE прежде чем маскарадить внутреннюю сеть в интернет или настроить FW_FORWARD для указания того, какие транзитные пакеты нужно пропускать.
Также необходимо определить внутренний интерфейс или интерфейс dmz (FW_DEV_INT или FW_DEV_DMZ).
FW_ROUTE="no"
Раздел 6
Хотите ли Вы маскарадить внутреннюю сеть наружу?
Тип: булево (yes/no)
Значение по умолчанию: no
Требует: FW_DEV_INT или FW_DEV_DMZ, FW_ROUTE, FW_MASQ_DEV
"Маскарадинг" означает то, что все Ваши компы из внутренней сети будут ходить в интернет через это фаервол. Причем снаружи они будет виден только комп, на котором стоит это фаервол. Помните, что более безопасный способ сокрытия компов внутренней сети от внешней - использовать прокси-сервер.
Этот параметр необходим для FW_MASQ_NETS и FW_FORWARD_MASQ.
FW_MASQUERADE="no"
Раздел 6a
Вы также должны указать, на каких интерфейсах маскарадить траффик.
Тип: строковый
Значение по умолчанию: $FW_DEV_EXT
Эти интерфейсы обычно являються внешними. В большинстве случаев можно оставить по умолчанию.(по умолчанию как раз и забита переменная, обозначающая внешние интерфейсы, прим. пер.)
Примеры:
FW_MASQ_DEV="ippp0", "$FW_DEV_EXT"
FW_MASQ_DEV="$FW_DEV_EXT"
Раздел 6б
Каким внутренним компам/сетям разрешен доступ в интернет (внешнюю сеть) через маскарадинг (не через прокси)?
Тип: строковый
Значение по умолчанию: 0/0
Формат: список разделленных пробелом значений
<сеть источник>[,<сеть приемник>,<протокол>[,порт[:порт]]
Если протокол icmp то порт интерпретируется по icmp типу
Примеры:
FW_MASQ_NETS="0/0"
неограниченный доступ в интернет
FW_MASQ_NETS="10.0.0.0/8"
позволить неограниченый доступ из сети 10.0.0.0
FW_MASQ_NETS="10.0.1.0/24,0/0,tcp,80 10.0.1.0/24,0/0,tcp,21"
разрешить сети 10.0.1.0 использовать www/ftp службы в интернете.
FW_MASQ_NETS="10.0.1.0/24,0/0,tcp,1024:65535 10.0.2.0/24"
сети 10.0.1.0/24 разрешен доступ в интернет по непривелигированным портам (1024-65535), в то время как сети 10.0.2.0/24 разрешен полный доступ.
FW_MASQ_NETS="0/0"
Раздел 7
Защищать фаервол из внутренней сети?
Тип: булево (yes/no)
Значение по умолчанию: no
Требует: FW_DEV_INT
Если указать "yes", компы из внутренней сети смогут подключаться только к тем службам, которые были явно открыты на фаерволе. Если указать "no", тогда любые внутренние пользователи смогут подключиться (и атаковать) к любой службе на фаерволе.
см. также FW_REJECT_INT
FW_PROTECT_FROM_INT="no"
Раздел 9
Какие TCP службы на фаерволе будут доступны из небезопасных сетей (интернета)?
Тип: строковый
Введите все порты или псевдонимы портов, разделенных пробелом.
TCP службы (такие как SMTP, WWW) должны быить указаны в FW_SERVICES_*_TCP, UDP службы (такие как syslog) должны быить указаны в FW_SERVICES_*_UDP. Например, если к веб-серверу на фаерволе разрешен доступ из интернета, то:
FW_SERVICES_EXT_TCP="www"
Еще пример. Если на фаерволе разрешено получение сообщений syslog из dmz:
FW_SERVICES_DMZ_UDP="syslog"
Для IP протоколов (таких как GRE для PPTP, или OSPF для маршрутизации) необходимо указать FW_SERVICES_*_IP с именем или номером протокола (вместо * нужно указать интерфейс EXT,INT или DMZ прим. пер.). Номера протоколов можно узнать в /etc/protocols
Формат: список портов, диапазонов портов или имен служб (см. /etc/services) разделенных пробелом
Примеры: "ssh", "123 514", "3200:3299", "ftp 22 telnet 512:514"
FW_SERVICES_EXT_TCP="80"
Какие UDP службы должны быть доступны на фаерволе из небезопасных сетей (интернета)?
Тип: строковый
см. описание FW_SERVICES_EXT_TCP
Пример:
FW_SERVICES_EXT_UDP="53"
FW_SERVICES_EXT_UDP=""
Какие IP службы должны быть доступны на фаерволе из небезопасных сетей (интернета)?
Тип: строковый
Обычно для VPN/роутинга дописывается в конец фаервола
Пример:
FW_SERVICES_EXT_IP="esp"
FW_SERVICES_EXT_IP=""
Какие RPC службы должны быть доступны на фаерволе из небезопасных сетей (интернета)?
Тип: строковый
Номера портов RPC служб динамически добавляются портмаппером (portmapper). Таким образом для указанных здесь служб команда "rpcinfo -p localhost" будет автоматически использовать текущие порты, определенные "сейчас"
Необходимо указать имена служб.
ИСПОЛЬЗУЙТЕ ЭТОТ ПАРАМЕТР ОСТОРОЖНО!
Обычные пользователи могут щарегестрировать здесь rpc службы и таким образом открывать через SuSEfirewall2 произвольные порты.
Пример:
FW_SERVICES_EXT_RPC="mountd nfs"
FW_SERVICES_EXT_RPC=""
Какие службы должны быть доступны на фаерволе из небезопасных сетей (интернета)?
Тип: строковый
Устанавливаемые пакеты могут перезаписать настройки конфигурационного файла, в котором определены все необходимые порты /usr/share/SuSEfirewall2/services Это удобно для служб которые требуют множество портов или протоколов.
Введите список загружаемых конфигурационных файлов, разделенных пробелом.
Пример:
FW_CONFIGURATIONS_EXT="samba-server nfs-server"
FW_CONFIGURATIONS_EXT=""
Тип: строковый
см. описание FW_SERVICES_EXT_TCP
FW_SERVICES_DMZ_TCP=""
Тип: строковый
см. описание FW_SERVICES_EXT_UDP
FW_SERVICES_DMZ_UDP=""
Тип: строковый
см. описание FW_SERVICES_EXT_IP
FW_SERVICES_DMZ_IP=""
Тип: строковый
см. описание FW_SERVICES_EXT_RPC
FW_SERVICES_DMZ_RPC=""
Тип: строковый
см. описание FW_CONFIGURATIONS_EXT
FW_CONFIGURATIONS_DMZ=""
Тип: строковый
см. описание FW_SERVICES_EXT_TCP
FW_SERVICES_INT_TCP=""
Тип: строковый
см. описание FW_SERVICES_EXT_UDP
FW_SERVICES_INT_UDP=""
Тип: строковый
см. описание FW_SERVICES_EXT_IP
FW_SERVICES_INT_IP=""
Тип: строковый
см. описание FW_SERVICES_EXT_RPC
FW_SERVICES_INT_RPC=""
Тип: строковый
см. описание FW_CONFIGURATIONS_EXT
FW_CONFIGURATIONS_INT=""
Пакеты, которые будут отбрасываться без записи в лог.
Тип: строковый
Формат: список сеть,протокол[,порт][,порт-источник] разделенный пробелом
Пример:
FW_SERVICES_DROP_EXT="0/0,tcp,445 0/0,udp,4662"
Спец. значение _rpc_ определяет протокол и означает что порт-назначение (dport прим. пер.) интерпретируется с помощью службы rpc. См. FW_SERVICES_EXT_RPC для уточнения.
FW_SERVICES_DROP_EXT=""
Пакеты, которые необходимо отклонять без записи в лог.
Тип: строковый
Значение по умолчанию: 0/0,tcp,113
Обычно указывается TCP 113-й порт, который необходимо отбрасывать по причине большого таймаута при отправлении писем или при подключении к IRC серверу. Т.е. пакеты, которые нет смысла писать в лог.
Формат: список, состоящий из значений
сеть,протокол[,порт-назначение][,порт-источник] разделенный пробелом
Пример:
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
Спец. значение _rpc_ определяет протокол и означает что порт-назначение (dport прим. пер.) интерпретируется с помощью службы rpc. См. FW_SERVICES_EXT_RPC для уточнения.
FW_SERVICES_REJECT_EXT="0/0,tcp,113"
Разрешенные службы.
Тип: строковый
Это наиболее общая форма FW_SERVICES_{IP,UDP,TCP} и более спецефичная, чем FW_TRUSTED_NETS
Формат: список, состоящий из
сеть,протокол[,порт-назначение[,порт-источник[,флаги]]] разделенный пробелом
Пример:
FW_SERVICES_ACCEPT_EXT="0/0,tcp,22"
Поддерживаемые флаги
hitcount=число : ipt_recent --счетчик
blockseconds=число : ipt_recent --таймер
recentname=имя : ipt_recent --имя службы
Пример: Разрешить не более трех ssh подключений в одну минуту с одного и того же IP адреса:
FW_SERVICES_ACCEPT_EXT="0/0,tcp,22,,hitcount=3,blockseconds=60,recentname=ssh"
Спец. значение _rpc_ определяет протокол и означает что порт-назначение (dport прим. пер.) интерпретируется с помощью службы rpc. См. FW_SERVICES_EXT_RPC для уточнения.
FW_SERVICES_ACCEPT_EXT=""
Раздел 10
Какие службы доступны с 'доверенных'(внутренних) хостов или сетей?
Тип: строковый
Определяет доверенные хосты или сети (не важно внутренние они или внешние) и службы (tcp,udp,icmp), разрешенные для у\\использования. Они могут быть использованы вместо FW_SERVICES_* для последующего ограничения доступа. Замечу, что это не отменяет аутентификацию например по IP адресу, т.к. может быть подделано. Также замечу, что доверенным хостам/сетям запрещено пинговать фаервол(т.е. этот комп) пока Вы явно не разрешите icmp.
Формат: список, состоящий из записей вида сеть[,протокол[,порт]]
в случае icmp протокола, port определяет icmp. (Т.е. порт не указываем прим. пер.)
Пример:
FW_TRUSTED_NETS="172.20.1.1 172.20.0.0/16 1.1.1.1,icmp 2.2.2.2,tcp,22"
FW_TRUSTED_NETS=""
Раздел 11
Определяет, с каких портов возможен доступ к непрвелигированным портам (>1023)
Тип: строковый
Формат: yes, no или список портов, разделенный пробелом
Вы также можете разрешить всем обращаться на непривелигированные порты ("yes"), запретить всем ("no"), разрешить всем, кто стучиться с определенного порта (номер или имя порта). Помните, что это довольно легко обойти!
Лучший выбор - оставить этот параметр в 'no'
По умолчанию "no" если не указан (правильный выбор)
Примечание: Использование этого параметра не рекомендуется и в следующих версиях он будет удален. Если вы считаете что это пораметр нужно сохранить, отпишитесь на http://forge.novell.com/modules/xfmod/project/?susefirewall2
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
Тип: строковый
См. описание FW_ALLOW_INCOMING_HIGHPORTS_TCP (тоже самое, только для udp)
По умолчанию "no" если не указан (правильный выбор)
Примечание: Использование этого параметра не рекомендуется и в следующих версиях он будет удален. Если вы считаете что это пораметр нужно сохранить, отпишитесь на http://forge.novell.com/modules/xfmod/project/?susefirewall2
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
Раздел 13
Какие службы или сети разрешено роутить сквозь фаервол, вне зависисмости от того в какую зону(интерфейс) они направляются?
Тип: строковый
Требует: FW_ROUTE
Этот параметр дает Вам доступ, например, к Вашему почтовому серверу. Компы должны иметь валидный, "белый" (реальный) IP адрес который дан Вам Вашим првайдером. Этот параметр открывает дорогу (я бы сказал автобан прим. пер.) на указанную сеть, так что дважды подумайте перед использованием этого параметра!
Формат: список значений следующего вида, разделенный пробелами
<сеть источник>,<сеть назначения>[,протокол[,порт[,флаги]]]
Если протокол icmp - то порт не указываем.
Сейчас поддерживается только флаг 'ipsec', поэтому эти пакеты могут прийти только из IPsec туннеля.
Примеры:
FW_FORWARD="1.1.1.1,2.2.2.2"
разрешить хосту 1.1.1.1 доступ к любым службам на хосте 2.2.2.2
FW_FORWARD="3.3.3.3/16,4.4.4.4/24"
позволить сети 3.3.3.3/16 доступ к службам сети 4.4.4.4/24
FW_FORWARD="5.5.5.5,6.6.6.6,igmp"
разрешить роутинг IGMP сообщений из 5.5.5.5 в 6.6.6.6
FW_FORWARD="0/0,0/0,udp,514"
всегда разрешать через 514-й udp порт проходить сквозь фаервол
FW_FORWARD="192.168.1.0/24,10.10.0.0/16,,,ipsec 10.10.0.0/16,192.168.1.0/24,,,ipsec"
запретить траффик с 192.168.1.0/24 в 10.10.0.0/16 и наоборот, разрешить обеим сетям соединяться между собой через IPsec туннель.
FW_FORWARD=""
Раздел 14
Какие службы, доступные из интернета, должны маскарадится сервером (во внутреннюю сеть или dmz)?
Тип: строковый
Требует: FW_ROUTE
Этот параметр разрешает доступ извне, например, к Вашему почтовому серверу. Хост должен быть в сегменте, который маскарадится и может не иметь белого IP адреса! Подсказка: если FW_DEV_MASQ повешен на внешний интерфейс Вы можете установить FW_FORWARD из внутренней сети в DMZ для служб также хорошо как и доступ из внутренней сети!
Помните, что это лучше не использовать по причине безопасности! Т.к. Вы откроете дыру во внутренней сети. Например, если веб-сервер будет скомпрометирован - вся Ваша внутрення сеть тоже будет скомпрометирована!
Формат: список параметров, разделенный пробелом
<сеть источник>,,<протокол>,<порт>[,порт пересылки (redirect прим. пер.),[ip адрес назначения]]
Протокол может быть только tcp или udp
Примеры:
FW_FORWARD_MASQ="4.0.0.0/8,10.0.0.10,tcp,80"
форвардить все tcp запросы пришедшие на 80-й порт из сети 4.0.0.0/8 на внутренний сервер 10.10.0.10
FW_FORWARD_MASQ="4.0.0.0/8,10.0.0.10,tcp,80,81"
форвардить все tcp запросы пришедшие на 80-й порт из сети 4.0.0.0/8 на внутренний сервер 10.10.0.10 на 81-й порт
FW_FORWARD_MASQ="200.200.200.0/24,10.0.0.10,tcp,80,81,202.202.202.202"
сеть 200.200.200.0/24 пытающаяся стучаться на адрес 202.202.202.202 на 80-й порт должна форвардиться на внутренний сервер 10.0.0.10 на 81-й порт.
Примечание: из-за несовершенства iptables разрешены только номера портов, а не имена служб (https://bugzilla.netfilter.org/bugzilla/show_bug.cgi?id=273)
FW_FORWARD_MASQ=""
Раздел 15
Какой доступ к службам должен перенаправляться на локальный порт фаерволла?
Тип: строковый
Этот параметр может заставить всех внутренних пользователей лазить по интернету через прокси-сервер squid, или прозрачно перенаправлять входящий веб-траффик на безопасный сервер.
Формат: список <сеть источник>[,<сеть назначение>,<протокол>[,порт назначения[:локальный порт]]
Где протокол может быть только tcp или udp. Протокол-назначение (dport) настоящий порт назначения и локальный порт (lport) - это порт на локальной машине, куда будет перенаправляться траффик.
Восклицательный знак перед источником или сетью предназначения означает все КРОМЕ указанной сети
Пример:
FW_REDIRECT="10.0.0.0/8,0/0,tcp,80,3128 0/0,172.20.1.1,tcp,80,8080"
Примечание: в отличие от предыдущих версий SuSEfirewall2 нет необходимости предварительно открывать локальный порт.
FW_REDIRECT=""
Раздел 16
Какой тип пакетов необходимо заносить в лог?
Тип: булево (yes/no)
Значение по умолчанию: yes
Если установить "yes", aпакеты будут отбрасываться и наиболее критичные будут записываться в лог. Такими пакетами будут, например, spoof-пакеты, tcp соединения, требующие ответа и определенные icmp пакеты.
FW_LOG_DROP_CRIT="yes"
Тип: булево (yes/no)
Значение по умолчанию: no
Все отброшенные пакеты будут заноситься в лог.
Примечание: для записи в лог броадкаста также необходимо установить FW_IGNORE_FW_BROADCAST_* в 'no'
FW_LOG_DROP_ALL="no"
Тип: булево (yes/no)
Значение по умолчанию: yes
Если установить "yes", то критические пакеты будут заноситься в лог. Такими пакетами, например, являються запросы tcp соединений, запросы rpc соединений, запросы доступа на "высокие" udp/tcp порты и транзитные пакеты.
FW_LOG_ACCEPT_CRIT="yes"
Тип: булево (yes/no)
Значение по умолчанию: no
Заносить все разрешенные пакеты в лог.
Примечание: установив это параметр в 'yes' Вы рискуете быстро забить все свободное место на диске логами. Этот параметр также отключит FW_LOG_LIMIT
FW_LOG_ACCEPT_ALL="no"
Тип: строковый
Сколько пакетов в минуту нужно логировать для каждого правила лога. Пустое значение означает 3 пакета в минуту, и используется для предотвращения сканирования портов и флуда.
Для обычного десктопа здравой мыслью будет поставить ограничение, хотя если Вы часто используете утилиты для анализа логов, лучше отключить этот параметр.
Установите в 'no' для отключения лимита. Установка FW_LOG_ACCEPT_ALL в 'yes' также отключит эту опцию.
Формат: число и суффикс вида /second, /minute, /hour или /day
FW_LOG_LIMIT=""
Тип: строковый
Функция логгирования iptables. В конце должен быть префикс --log-prefix
Вы должны указать альтернативную цель с помощью ключа "-j ".
Например
FW_LOG="-j ULOG --ulog-prefix SFW2"
Изменяйте этот параметр только если знаете, что делаете!
FW_LOG=""
Раздел 17
Вы хотите включить в ядре дополнительные возможности TCP/IP безопасности?
Тип: булево (yes/no)
Значение по умолчанию: yes
Если установите в "yes" то станут доступны следующие параметры. (icmp_ignore_bogus_error_responses, icmp_echoreply_rate, icmp_destunreach_rate, icmp_paramprob_rate, icmp_timeexeed_rate, ip_local_port_range, log_martians, rp_filter, routing flush, bootp_relay, proxy_arp, secure_redirects, accept_source_route icmp_echo_ignore_broadcasts, ipfrag_time)
Подсказка: Установите параметр в "no" на время отладки этой конфигурации. Затем установите его в "yes", все должно работать (По идее)
Варианты: "yes" или "no", если не указан, то по умолчанию "yes"
FW_KERNEL_SECURITY="yes"
Раздел 18
Оставить роутинг включенным, если остальные правила фаервола незагружены?
Тип: булево (yes/no)
Значение по умолчанию: no
Требует: FW_ROUTE
Варианты: "yes" или "no", если не указано, то "no"
FW_STOP_KEEP_ROUTING_STATE="no"
Раздел 19
Разрешить фаерволу отвечать на icmp-эхо запросы
Тип: булево (yes/no)
Значение по умолчанию: yes
FW_ALLOW_PING_FW="yes"
Раздел 19a
Разрешать внутренним и внешним хостам пинговать хосты из dmz?
Тип: булево (yes/no)
Значение по умолчанию: no
Требует: FW_ROUTE
По умолчанию "no" если не присвоен.
FW_ALLOW_PING_DMZ="no"
Раздел 19b
Разрешать внешним хостам пинговать внутренние хосты и хосты из dmz?
Тип: булево (yes/no)
Значение по умолчанию: no
Требует: FW_ROUTE
По умолчанию "no" если не присвоен.
FW_ALLOW_PING_EXT="no"
Конец /etc/sysconfig/SuSEfirewall2
-------------------------------------------------------------------------
Расширенные настройки - не изменяйте их, если Вы не эксперт!
-------------------------------------------------------------------------
Раздел 21
Разрешить подавление ICMP пакетов от провайдера?
Тип: булево (yes/no)
Значение по умолчанию: yes
Если установить в "yes", фаервол будет защищен от атак типа DoS (отказ в обслуживании).
Значение по умолчанию "yes" если не указано.
FW_ALLOW_FW_SOURCEQUENCH=""
Раздел 22
Разрешать IP броадкасты (широковещательные запросы)?
Тип: булево(yes,no)
Широковещательные запросы используються в таких службах, как Netbios/Samba, RIP, OSPF.
Если Вы хотите игнорировать броадкасты - установите параметр FW_IGNORE_FW_BROADCAST_* в "yes".
Если Вы разрешили броадкасты на определенные порты, они не будут отброшенны.
Формат:
"yes", "no" или список udp портов
Примеры:
FW_ALLOW_FW_BROADCAST_EXT="631 137"
разрешить широковещательные пакеты на порты 631 и 137, широковещательные пакеты на другие порты - отбрасывать
FW_ALLOW_FW_BROADCAST_EXT="yes"
не использовать других правил для широковещательных пакетов Они будут свободно проходить.
FW_ALLOW_FW_BROADCAST_EXT="no"
отбрасывать все широковещательные пакеты, до применения любых других правил.
Значение по умолчанию "no" если не указано.
FW_ALLOW_FW_BROADCAST_EXT="no"
Тип: строковый
см. описание FW_ALLOW_FW_BROADCAST_EXT
FW_ALLOW_FW_BROADCAST_INT="no"
Тип: строковый
см. описание FW_ALLOW_FW_BROADCAST_EXT
FW_ALLOW_FW_BROADCAST_DMZ="no"
Не заносить отброшенные широковещательные пакеты в лог.
Тип: булево(yes,no)
Используйте этот параметр, если не хотите логировать броадкасты на внутреннем интерфейсе.
Эта настройка позволяет работать только с пакетами, которые не были разрешены благодоря параметру FW_ALLOW_FW_BROADCAST_*
Формат:
"yes", "no" или список udp портов Примеры:
FW_IGNORE_FW_BROADCAST_EXT="631 137"
отбрасывет широковещательные пакеты, идущие на порты 631 и 137 без записи в лог.
FW_IGNORE_FW_BROADCAST_EXT="yes"
не записывает в лог отброшенные броадкасты
FW_IGNORE_FW_BROADCAST_EXT="no"
записывает в лог отброшенные броадкасты
Значение по умолчанию "no" если не указано.
FW_IGNORE_FW_BROADCAST_EXT="no"
Тип: строковый
см. описание FW_IGNORE_FW_BROADCAST_EXT
FW_IGNORE_FW_BROADCAST_INT="no"
Тип: строковый
см. описание FW_IGNORE_FW_BROADCAST_EXT
FW_IGNORE_FW_BROADCAST_DMZ="no"
Раздел 23
Разрешать какую-либо маршрутизацию по умолчанию?
Тип: булево(yes,no)
Значение по умолчанию: no
Требует: FW_ROUTE
Вы хотите разрешить маршрутизацию между сетевыми интерфейсами (например, между всеми внешними интерфейсами или всеми внутренними инетрфейсами) по умолчанию (без необходимости включения параметра FW_FORWARD)?
Варианты: "yes" или "no", если не указан, по умолчанию "no"
FW_ALLOW_CLASS_ROUTING=""
Раздел 25
Вы хотите подгружать свои правила iptables из файла?
Тип: строковый
Эта опция только для экспертов. По этому параметру нет помощи! Заполнить его можно только заня iptables.
Пример есть в /etc/sysconfig/scripts/SuSEfirewall2-custom
FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"
FW_CUSTOMRULES=""
Раздел 26
Вы хотите отклонять пакеты вместо отбрасывания?
Тип: булево(yes,no)
Значение по умолчанию: no
Отбрасывание (используется по умолчанию) делает сканирование портов и атаки очень медленными, т.к. ответ о отбросе пакета не отсылается. Отклонение означает, что для каждого "отброшенного" пакета будет отправляться ответ о том что пает отклонен.
Варианты: "yes" или "no", если не установлен, то по умолчанию "no"
Вы можете перекрыть действие этого параметра для каждой зоны, используя переменную FW_REJECT_DMZ="yes"
FW_REJECT=""
Тип: булево(yes,no)
Значение по умолчанию: no
См. описание FW_REJECT
По умолчанию параметр установлен в "yes" благодоря чему сканипрование портов проходит крайне медленно. Для внутренней зоны нет смысла устанавливать этот параметр, только если Вы хотите защитить себя от внутренней сети.
FW_REJECT_INT="yes"
Раздел 27
Вы хотите нарезать исходящий траффик шейпером HTB (Hierarchical Token Bucket)
Тип: строковый
Описание HTB см. на сайте http://www.lartc.org
Если Ваши закачки занимают весь канал и тормозят аплоад, то этот параметр поможет Вам исправить ситуацию. Он управляет Вашим каналом, регулируя канал download и upload для спец. пакетов, таких как TCP ACK пакеты или интеркативный SSH.
Это список устройств и максимальной толщины канала в kbit/s для каждого. Например, в Германии TDSL дает 128kbit/s на аплоад и 768kbit/s на даунлоад. Мы можем регулировать только аплоад.
Пример:
Если Вы хотите настроить 128kbit/s аплоад на DSL-подключении, таком как TDSL в Германии, укажите следующее:
FW_HTB_TUNE_DEV="dsl0,125"
где dsl0 Ваш pppoe-интерфейс и 125 это канал аплоада в 125kbit/s. Т.е. для скачивания остается канал в 3kbit/s.
Вы можете спросить, почему мы указали 125kbit/s а не 128kbit/s. На практике, Вы получите большую производительность, если оставите пару процентов от канала, для предотвращения ожидания DSL-модемом запрошенного траффика в буффер. (Т.е. модем запросит гораздо больше чем сможет получить и интернет будет тупить, прим. пер.)
Так, для канала в 256kbit:
FW_HTB_TUNE_DEV="dsl0,250"
будет лучше, чем "dsl0,256". Нет однозначной идеальной величины, на которую нужно уменьшать аплоад. Эта величина зависит от вида траффика в канале, но в люом случае 5% от максимально возможного канала аплоада отдать на даунлоад Является хорошей идеей.
За более подробной информацией обращайтесь на сайт http://tldp.org/HOWTO/ADSL-Bandwidth-Management-HOWTO/
FW_HTB_TUNE_DEV=""
Раздел 28
Что делать с IPv6 пакетами?
Тип: список(no,drop,reject)
Значение по умолчанию: drop
На старых ядрах ip6tables не устанавливались, так что не представляется возможным включить все опции в IPv4 на таких компах. Поэтому выбирать приходиться из 3-х вариантов:
no: не устанавливать никаких правил для IPv6 пакетов. Т.е. разрешены все IPV6 пакеты, пока вы не укажете свои собственные правила.
drop: отбрасывать все IPv6 пакеты.
reject: отбрасывать все IPv6 пакеты. Если не выбрано, то по умолчанию используется это значение.
Запрет IPv6 может привести к большому времени подключения к IPv6-адресам. Для предотвращения этого см. FW_IPv6_REJECT_OUTGOING
Оставьте пустым этот параметр для определения, поддерживает ли ядро эту опцию или нет.
FW_IPv6=""
Раздел 28a
Отклонять исходящие IPv6 пакеты?
Тип: булево(yes,no)
Значение по умолчанию: yes
Установите в "yes" для предотвращения таймаутов при подключении к IPv6 адресам. Этот параметр имеет смысл, только если FW_IPv6 не равен "no" Значение по умолчанию "yes".
FW_IPv6_REJECT_OUTGOING=""
Раздел 29
Уровень доверия к IPsec пакетам.
Тип: Список(yes,no,int,ext,dmz)
Значение по умолчанию: no
Нет необходимости изменять этот параметр, если вы не используете службы, требующие работы в IPsec туннеле.
Параметр определяет, насколько можно доверять IPsec пакетам. 'int', 'ext' или 'dmz' - зоны (интерфейсы) фаервола.
'yes' тоже самое что и 'int. 'no' означает, что IPsec пакеты принадлежат той же зоне куда они приходят.
Пример:
FW_IPSEC_TRUST="int"
FW_SERVICES_EXT_IP="esp"
FW_SERVICES_EXT_UDP="isakmp"
FW_PROTECT_FROM_INT="no"
FW_IPSEC_TRUST="no"
Раздел 30
Определяет дополнительные зоны фаервола.
Тип: строковый
Основноые зоны INT, EXT и DMZ не должны здесь указываться. Имена дополнительных зон могут состоять из ascii символов в нижнем регистре. При определении правил для дополнительных зон, берутся соответствующие переменные и параметры из основных INT/EXT/DMZ зон с именем доп. зоны.
Пример:
FW_ZONES="wlan"
FW_DEV_wlan="wlan0"
FW_SERVICES_wlan_TCP="80"
FW_ALLOW_FW_BROADCAST_wlan="yes"
FW_ZONES=""
Раздел 31
Определяет использование iptables-batch
Тип: список(yes,no,auto,)
iptables-batch содержит все правила в единой структуре подобно iptables-restore. Это предотвращает лишние вызовы iptables.
Варианты:
yes: использовать iptables-batch если возможно и предупреждать если нет.
no: не использовать iptables-batch
auto: использовать iptables-batch если возможно, если невозможно - возвращаться к использованию iptables.
По умолчанию "auto" если не указано.
FW_USE_IPTABLES_BATCH=""
Раздел 32
Какие дополнительные модули ядра подгружать при загрузке системы?
Тип: строковый
Пример:
FW_LOAD_MODULES="ip_conntrack_ftp ip_nat_ftp"
FW_LOAD_MODULES=""
Раздел 33
Бриджевать интерфейсы без IP адресов
Тип: строковый
Траффик на бриджевых интерфейсах, используемых например xen позволяет отдавать и получать траффик в тот же самый интерфейс. Добавьте такие интерфейсы, если хотите указать особые правила для них.
Формат: список интефейсов разделенный пробелом.
Пример:
FW_FORWARD_ALWAYS_INOUT_DEV="xenbr0"
FW_FORWARD_ALWAYS_INOUT_DEV="xenbr0"
FW_SERVICES_ACCEPT_INT=""
FW_SERVICES_ACCEPT_DMZ=""
 |
 |
|
