Глава 26. Межсетевые экраны

Предоставил Joseph J. Barbish.
Преобразовал в SGML и обновил Brad Davis.
Содержание
26.1. Введение
26.2. Принципы работы межсетевых экранов
26.3. Пакеты межсетевых экранов
26.4. Packet Filter (PF, межсетевой экран OpenBSD) и ALTQ
26.5. * IPFILTER (IPF)
26.6. IPFW

26.1. Введение

Межсетевые экраны (firewall, брандмауэр) делают возможной фильтрацию входящего и исходящего трафика, идущего через вашу систему. Межсетевой экран использует один или более наборов «правил» для проверки сетевых пакетов при их входе или выходе через сетевое соединение, он или позволяет прохождение трафика или блокирует его. Правила межсетевого экрана могут проверять одну или более характеристик пакетов, включая но не ограничиваясь типом протокола, адресом хоста источника или назначения и портом источника или назначения.

Межсетевые экраны могут серьезно повысить уровень безопасности хоста или сети. Они могут быть использованы для выполнения одной или более нижеперечисленных задач:

  • Для защиты и изоляции приложений, сервисов и машин во внутренней сети от нежелательного трафика, приходящего из внешней сети интернет.

  • Для ограничения или запрещения доступа хостов внутренней сети к сервисам внешней сети интернет.

  • Для поддержки преобразования сетевых адресов (network address translation, NAT), что дает возможность задействовать во внутренней сети приватные IP адреса и совместно использовать одно подключение к сети Интернет (либо через один выделенный IP адрес, либо через адрес из пула автоматически присваиваемых публичных адресов).

После прочтения этой главы вы узнаете:

  • Как правильно задать правила фильтрации пакетов.

  • Разницу между межсетевыми экранами, встроенными в FreeBSD

  • Как использовать и настраивать межсетевой экран OpenBSD PF.

  • Как использовать и настраивать IPFILTER.

  • Как использовать и настраивать IPFW.

Перед прочтением этой главы вам потребуется:

  • Ознакомиться с основами FreeBSD и интернет.

Этот, и другие документы, могут быть скачаны с http://ftp.FreeBSD.org/pub/FreeBSD/doc/.

По вопросам, связанным с FreeBSD, прочитайте документацию прежде чем писать в <questions@FreeBSD.org>.

По вопросам, связанным с этой документацией, пишите в рассылку <doc@FreeBSD.org>.