  Brannmur og håndtering av pakker
  Innledning


  11..  OOppppggaavveerr


  De fleste private nettverk er av sikkerhetshensyn ikke knyttet _d_i_r_e_k_t_e
  til internett. Maskinen som virker som sluse for trafikken mellom det
  private nettverket og omverdenen kalles en brannmur og har som oppgave
  å beskytte det private nettverket mot skummel styggedom i den store
  vide verden. Det er En Lur Ting å begrense virkningene fra internett
  på et privat, lukket nettverk.


  22..  PPaakkkkeeffiillttrreerriinngg

  Filtrering av pakker gjør det mulig for maskinen å akseptere eller
  avvise IP-pakker basert på disse kriteria:


  ·  Opprinnelsessted

  ·  Bestemmelsessted

  ·  Enheten som tok i mot pakken

  Opprinnelses- og bestemmelsessted er karakterisert ved:


  ·  IP-adresse

  ·  Portnummer

  ·  Protokoll


  33..  TToovveeiiss--rreegglleerr

  Reglene som angis gjelder begge veier. Skjermbildene er delt i to der
  den ene delen gjelder trafikk fra opprinnelsesstedet til
  bestemmelsesstedet, mens den andre gjelder trafikk i motsatt retning.
  Du kan også oppgi separate nettverksenheter.


  44..  RReegglleerr ffoorr bbllookkkkeerriinngg

  Sett opp regler for sjekking av pakker som mottas av maskinen inn.
  Disse blokkeringsreglene gjør det mulig å avvise pakker på
  mottakstidspunktet.


  55..  RReegglleerr ffoorr vviiddeerreesseennddiinngg

  Sett opp regler for sjekking av pakker som forlater maskinen og
  nettverket. Pakker kan avvises på leveringstidspunktet.

  De fleste brannmurer kan settes opp ved hjelp av blokkeringsregler.

  Et spesielt sett med regler gjelder maskerade, bruk knappen for å la
  reglene også gjelde for denne spesielle løsningen.


  66..  AAkkttiivveerr rreegglleennee gglloobbaalltt eelllleerr sseelleekkttiivvtt

  Det er mulig å skru av bruken av en regel eller alle regler - uten å
  slette dem. Dette er greit i tilfeller der det er ønskelig å teste
  brannmurens funksjoner og virkemåte og implementere fleksible
  løsninger.

  Hver regel har sin egen knapp som kan benyttes for å skru regelen av
  eller på.

  Det er et egen skjermbilde for å aktivere/deaktivere _a_l_l_e
  blokkeringsregler på en gang.


  77..  NNåårr aalltt ggåårr ggaalltt

  Oppsett og bruk av brannmur under _L_i_n_u_x kan være dødelig.  Et feil
  oppsett kan bringe hele maskinen i kne. En kommando som kan redde
  dagen er


               netconf --resetfw


  Denne kommandoen skrur av alle brannmur-funksjoner. Den påvirker ikke
  selve oppsettet, bare bruken av det.  Brannmuren blir gjennomsiktig,
  om man vil.


               netconf --update


  vil sette opp brannmuren igjen, funksjonene gjenopplives.  Disse to
  kommandoene kan også være greie å ty til for å se om en feil ved
  nettverket skyldes oppsettet av brannmuren.


  88..  LLooggiikkkkeenn bbaakk bbrruukk aavv bbrraannnnmmuurreerr uunnddeerr LLiinnuuxx

  Oppsett og bruk av brannmur under _L_i_n_u_x er svært fleksibelt, men kan
  være komplisert. _L_i_n_u_x_c_o_n_f står for en enkel og logisk tilnærming til
  utfordringen, sammensetningen av de ulike reglene som utgjør
  brannmuren. Selv om en del regler kan settes opp med Linuxconf er det
  en del av oppsettet som ikke kan gjøres.


  88..11..  PPoossiittiivv llooggiikkkk

  Når ett av de tre brannmursystemene (innkommende, videresending,
  utgående) aktiveres, vil _L_i_n_u_x_c_o_n_f automatisk sette regelen til _a_v_v_i_s
  _(_d_e_n_y_). Alle andre regler som settes kan anses å være sikkerhetshull
  eller sprekker i brannmuren. Men dersom ingenting tillates å gå
  hverken inn eller ut, blir brannmuren et jernteppe.  Og så isolert er
  det ikke meningen å gjøre maskinen og nettverket.


  88..22..  EEnn ffeerrddiiggmmuurrtt bbrraannnnvveegggg

  Under er stilt opp et eksempel for et enkelt nettverk. Her er eth0
  koblet til det lokale nettverket mens eth1 er tilkoblinegn til
  internett.


  88..22..11..  BBllookkkkeerriinnggssrreegglleerr:: aakksseepptteerr aallllee iiccmmpp--ppaakkkkeerr


               Protokoll               icmp

                               -----------Fra----------------
               Maskin/Nettverk 0.0.0.0
               Nettmaske
               Porter
               Andre porter
               Nettenhet               eth1

                               -----------Til----------------
               Maskin/Nettverk eth1
               Netmaske
               Porter
               Andre porter
               Nettenhet       Any


  88..22..22..  BBllookkkkeerriinnggssrreegglleerr:: aakksseepptteerr bbaarree ddnnss--ppaakkkkeerr

  Til slutt kun port


               Protokoll               udp

                               -----------Fra----------------
               Maskin/Nettverk 0.0.0.0
               Nettmaske       0.0.0.0
               Porter
               Andre porter
               Nettenhet               eth1

                               -----------Til----------------
               Maskin/Nettverk eth1
               Netmaske
               Porter
               Andre porter
               Nettenhet       Any


  99..  SSttaattuuss ffoorr bbrraannnnmmuurr--ssttøøttttee ii LLiinnuuxxccoonnff

  Brannmurer er et populært diskusjonstema og ofte ansett for å ha et
  islett av svart magi. _L_i_n_u_x_c_o_n_f prøver å gjøre oppsettet litt enklere,
  og forfatteren av programmet forventer mange kommentarer til temaet og
  løsningen.