Palomuuri

Linux.fista
Versio hetkellä 5. kesäkuuta 2005 kello 14.18 – tehnyt Petteri (keskustelu | muokkaukset) (linkki http://easyfwgen.morizot.net/gen/ nettipalveluun)
Siirry navigaatioon Siirry hakuun

Toimintaperiaate

Linuxissa kaikki verkkoliikenne kulkee yhden rajapinnan kautta. Tätä kutsutaan netfilterksi. Kaikki verkkoliikenteen suodattaminen tapahtuu tämän rajapinnan avulla.

Verkkoliikenteen suodattamisen säännöt asetetaan iptables -työkalulla. Iptables purkaa tämänhetkiset säännöt ytimestä, muuttaa niitä tai lisää niihin uusia, ja pakkaa säännöt takaisin ytimeen.

Palomuuri tehdään yleensä kirjoittamalla skripti, joka kutsuu iptablesia useita kertoja asettaen joka kerralla yhden säännön. Tämän jälkeen tallennetaan säännöt antamalla komento /etc/init.d/iptables save

Valmiita ratkaisuja

Palomuuriskriptin kirjoittamiseksi on kehitetty useita helppokäyttöisiä ohjelmia, kuten firestarter ja fwbuilder. On olemassa jopa nettipalvelu joka generoi skriptin parin kysymyksen pohjalta.

Ominaisuuksia, joita peruskäyttäjät tarvitsevat, ovat yleisesti NAT(SNAT tai MASQUERADE) (eng. network address translation) ja porttien ohjaus (DNAT). Jos käytössä on kiinteä verkko-osoite, kannattaa käyttää MASQUERADE:in sijasta SNAT:a.

On myös olemassa erikoistuneita palomuurilevityksiä, joissa on palomuuriasennus ja www-pohjainen työkalu tähän tarkoitukseen. Hyvänä esimerkkinä on esimerkiksi Smoothwall

Myös kaupallisia levityksiä palomuuritekniikan suhteen on olemassa esimerkiksi Astaro.

Linux-pohjaisia palomuurilaitteita on myös olemassa, esimerkiksi Snapgear.