Ero sivun ”Palomuuri” versioiden välillä

Siirry navigaatioon Siirry hakuun
908 merkkiä lisätty ,  16. maaliskuuta 2009
kappalejako; selvennystä
p (Käyttäjän 194.197.170.116 (keskustelu) muokkaukset kumottiin ja sivu palautettiin viimeisimpään käyttäjän LP tekemään versioon.)
(kappalejako; selvennystä)
Rivi 1: Rivi 1:
==Mikä on palomuuri? ==
Palomuuri (englanniksi firewall) tarkoittaa ohjelmistoa tai laitetta joka suodattaa tietoliikennettä kahden verkon välillä. Palomuuri asetetaan kotikoneessa yleensä kieltämään yhteydenotot ulkoverkosta (Internet) paitsi erikseen avattuihin portteihin ja sallimaan yhteydet sisäverkosta (kotiverkosta) ja yhteydet ulkomaailmaan.
Palomuuri (englanniksi firewall) tarkoittaa ohjelmistoa tai
laitetta joka suodattaa tietoliikennettä kahden verkon välillä.
Palomuuri siis estää luvattoman liikenteen ja sallii vain sen
mikä on määritetty palomuurin asetuksissa (säännöissä).


Palomuuri kuuluu Linuxin [[Kernel|ytimeen]] ja sen säätämiseen löytyy
Linuxin [[Kernel|ytimeen]] on sisäänrakennettu monipuolinen palomuuri ja sen säätämiseen löytyy useita helppokäyttöisiä ohjelmia. On myös mahdollista käyttää ulkoista palomuuria tämän sijasta tai lisäksi. Ulkoisena palomuurina voi käyttää normaalia tähän käyttöön otettua tietokonetta tai varta vasten valmistettua laitetta (jossa saattaa olla Linux käyttöjärjestelmänä). Monessa ADSL-modeemissa on myös palomuuriominaisuus.
useita helppokäyttöisiä ohjelmia.


Useimmissa kotikäyttöön tarkoitetuissa [[jakelu]]issa ei oletuksena ole mitään ulkoapäin tulevia pyyntöjä kuuntelevia palveluita käytössä, mikä vähentää oleellisesti palomuurin tarvetta. Usein palomuuri kannattaa silti varmuuden vuoksi kytkeä päälle, erityisesti mikäli on epävarma siitä, saako erilaiset jälkeenpäin asentamansa verkkopalvelut konfiguroitua oikein. Kotikäytössä riittää yleensä palomuurisääntö, joka estää
Ulkoisen palomuurin ("rautapohjainen palomuuri") etu on että siinä on vain muutamia ohjelmia joista hyökkääjä voisi löytää turva-aukkoja, jolloin riski että siihen pääsisi murtautumaan (ja siten muokkaamaan palomuuriasetuksia) on pieni. Toisaalta omalla koneella oleva palomuuri saattaa olla helpommin monipuolisesti muokattavissa. Ulkoisessa palomuurissa ei myöskään voi rajoittaa liikennettä käyttäjäkohtaisesti.
kaikki ulkoapäin (Internetistä) tulevat yhteydenotot ja sallii mahdolliseen kotiverkkoon päin menevän liikenteen.


== Toimintaperiaate ==
== Yleistä ==
Linuxissa kaikki verkkoliikenne kulkee [http://www.netfilter.org/ netfilter]-nimisen rajapinnan kautta.
Useimmissa kotikäyttöön tarkoitetuissa [[jakelu]]issa ei oletuksena ole mitään ulkoapäin tulevia pyyntöjä kuuntelevia palveluita käytössä, mikä vähentää oleellisesti palomuurin tarvetta. Usein palomuuri kannattaa silti varmuuden vuoksi kytkeä päälle, erityisesti mikäli on epävarma siitä, saako erilaiset jälkeenpäin asentamansa verkkopalvelut säädettyä oikein. Kotikäytössä riittää yleensä palomuurisääntö, joka estää kaikki ulkoapäin (Internetistä) tulevat yhteydenotot ja sallii ulospäin suuntautuvan liikenteen, sekä mahdollisesti yhteydenotot kotiverkosta.
Kaikki verkkoliikenteen suodattaminen tapahtuu sen avulla.
 
Linuxissa kaikki verkkoliikenne kulkee [http://www.netfilter.org/ netfilter]-nimisen rajapinnan kautta. Kaikki verkkoliikenteen suodattaminen tapahtuu sen avulla.


Suodattamisen säännöt asetetaan [[iptables]]-työkalulla. Iptables purkaa tämänhetkiset säännöt ytimestä, muuttaa niitä tai lisää niihin uusia, ja pakkaa säännöt takaisin ytimeen.
Suodattamisen säännöt asetetaan [[iptables]]-työkalulla. Iptables purkaa tämänhetkiset säännöt ytimestä, muuttaa niitä tai lisää niihin uusia, ja pakkaa säännöt takaisin ytimeen.
Rivi 19: Rivi 14:
Kaikissa jakeluissa on mahdollista luoda palomuuri kirjoittamalla skripti, joka kutsuu [[iptables]]ia useita kertoja asettaen joka kerralla yhden säännön. Tämän jälkeen tallennetaan säännöt antamalla komento '''/etc/init.d/iptables save'''.
Kaikissa jakeluissa on mahdollista luoda palomuuri kirjoittamalla skripti, joka kutsuu [[iptables]]ia useita kertoja asettaen joka kerralla yhden säännön. Tämän jälkeen tallennetaan säännöt antamalla komento '''/etc/init.d/iptables save'''.


Yleensä jakelut tarjoavat kuitenkin myös graafisen liittymän, jolla on helppo ottaa käyttöön yksinkertainen ja peruskäyttöön täysin riittävä palomuuri.
Yleensä jakelut tarjoavat kuitenkin myös graafisen liittymän (tai useita vaihtoehtoisia liittymiä), jolla on helppo ottaa käyttöön yksinkertainen ja peruskäyttöön täysin riittävä palomuuri.


== Jakelukohtaiset ohjeet ==
== Jakelukohtaiset ohjeet ==
Rivi 28: Rivi 23:
Palomuuriskriptin kirjoittamiseksi on kehitetty useita helppokäyttöisiä ohjelmia kuten [[Guarddog]], [[firestarter]], [http://kmyfirewall.sourceforge.net/ KMyFirewall], [[fwbuilder]], system-config-securitylevel/redhat-config-securitylevel ja [[lokkit]]. On olemassa jopa [http://easyfwgen.morizot.net/gen/ nettipalvelu] joka generoi skriptin parin kysymyksen pohjalta. [[Firehol]] pohjautuu tekstipohjaiseen asetustiedostoon, jonka syntaksi on helppotajuinen ja kotisivuilta löytyy hyvä esimerkkitiedosto yksityiskohtaisesti selitettynä. Suositeltavaa on myös kokeilla [[asetustiedosto]]ihin pohjautuvaa [[shorewall]]-palomuuria, joka yksinkertaistaa monimutkaistenkin palomuuri- ja [[kaistanrajoitus]]sääntöjen tekemistä.
Palomuuriskriptin kirjoittamiseksi on kehitetty useita helppokäyttöisiä ohjelmia kuten [[Guarddog]], [[firestarter]], [http://kmyfirewall.sourceforge.net/ KMyFirewall], [[fwbuilder]], system-config-securitylevel/redhat-config-securitylevel ja [[lokkit]]. On olemassa jopa [http://easyfwgen.morizot.net/gen/ nettipalvelu] joka generoi skriptin parin kysymyksen pohjalta. [[Firehol]] pohjautuu tekstipohjaiseen asetustiedostoon, jonka syntaksi on helppotajuinen ja kotisivuilta löytyy hyvä esimerkkitiedosto yksityiskohtaisesti selitettynä. Suositeltavaa on myös kokeilla [[asetustiedosto]]ihin pohjautuvaa [[shorewall]]-palomuuria, joka yksinkertaistaa monimutkaistenkin palomuuri- ja [[kaistanrajoitus]]sääntöjen tekemistä.


Ominaisuuksia, joita peruskäyttäjät tarvitsevat, ovat yleisesti [[NAT]] (eng. network address translation) ja porttien ohjaus ([http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html#ss6.2 DNAT]). Jos käytössä on kiinteä verkko-osoite, kannattaa käyttää MASQUERADE:in sijasta [http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html#ss6.1 SNAT:a.]
Jos Linux-kone huolehtii verkon jakamisesta muille kotiverkon koneille tarvitaan [[NAT]] (eng. network address translation) ja porttien ohjaus ([http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html#ss6.2 DNAT]). Jos käytössä on kiinteä verkko-osoite, kannattaa käyttää MASQUERADE:in sijasta [http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html#ss6.1 SNAT:a].


On myös olemassa erikoistuneita palomuurilevityksiä, joissa on palomuuriasennus ja www-pohjainen työkalu tähän tarkoitukseen. Hyvänä esimerkkinä on esimerkiksi [http://www.smoothwall.org Smoothwall] ja ClarkConnect.
On myös olemassa erikoistuneita palomuurilevityksiä, joissa on palomuuriasennus ja www-pohjainen työkalu tähän tarkoitukseen. Hyvänä esimerkkinä on esimerkiksi [http://www.smoothwall.org Smoothwall] ja ClarkConnect.
785

muokkausta

Navigointivalikko