Firestarter je grafický program s otvoreným zdrojovým kódom na nastavovanie firewallu v systémoch GNU/Linux. Program sa zameriava na kombináciu jednoduchosti a použitia mocných funkcií, preto ho môžu použiť bežný používatelia systému Linux aj správcovia siete.
Veríme, že chcete dosiahnuť vysokú úroveň bezpečnosti a naším cieľom je aby ste sa nemuseli starať o technické detaily, ktoré sa za tým skrývajú. Toto je rozdiel medzi typickým firewallom Linuxu, ktorý vyžaduje nemalé znalosti o fungovaní sieťovej komunikácie.
Firewall negarantuje bezpečnosť, ale je prvým obranným rozhraním proti útokom zo siete.
... stolovom počítači alebo notebooku. Našou filozofiou je pomocou jednoduchosti použitej v programe Firestarter zabezpečiť aby sa stal najviac používaným programom pre nastavovanie Linuxového firewallu na stolných počítačoch.
... serveri. Firestarter sa dá nainštalovať aj na jednotlivé servery a spravovať graficky cez SSH alebo pomocou príkazového riadka.
... bráne alebo vzdialenom firewalle. Firestarter vie nastaviť zdieľanie internetového pripojenia s minimálnym úsilím. Potrebujete DHCP pre nastavenie klientov? Naozaj by ste ho mohli nastaviť ručne, ale nemusíte to vedieť urobiť, s programom Firestarter na to stačí jedno kliknutie.
Po stiahnutí a nainštalovaní programu Firestarter, nájdete program Firestarter v systémovej ponuke. Napríklad v Ubuntu je Firestarter umiestnený v ponuke Systém > Správa > Firestarter. Alternatívne môžete program spustiť zadaním príkazu "gksudo firestarter" do terminálu alebo do dialógu Spustiť aplikáciu... (, ktorý vyvoláme stlačením kombinácie kláves Alt-F2).
Firestarter funguje iba s právami používateľa root, preto je potrebné použiť príkaz gksudo, vďaka ktorému v Ubuntu tieto práva získate po zadaní vášho hesla.
Ak spúšťate Firestarter po prvý krát, spustí sa sprievodca nastavením. Privíta vás úvodná obrazovka, budete vyzvaní aby ste nastavili sieťové zariadenie zo zoznamu zariadení, ktoré program automaticky vyhľadá v počítači. V prípade že máte viacero zariadení, vyberte to, cez ktoré sa pripájate do siete Internet, v opačnom prípade ponechajte predvolenú možnosť.
V prípade, že počítač má viacero zariadení a môže vystupovať ako brána pre vašu sieť, na ďalšej obrazovke môžete zaškrtnúť možnosť zdieľania internetového pripojenia s ostatnými počítačmi v lokálnej sieti. Opäť jednoduchým výberom zo zoznamu zariadení zvolíte zariadenie pripojené k lokálnej sieti. Ak chcete aby sa ostatným počítačom v sieti automaticky nastavili nastavenia potrebné na pripojenie k zdielanému internetovému pripojeniu, zaškrtnite možnosť Povoliť DHCP pre lokálnu sieť.
Po dokončení sprievodcu, kliknite na tlačítko Uložiť. Firewall bude teraz už spustený a váš počítač bude mať pridanú bezbpečnostnú úroveň. Firestarter teraz pracuje v predvolenom režime, v ktorom má prísnu politiku pre prichádzajúcu komunikáciu a zhovievavý postoj k odchádzajúcej komunikácii. To znamená, že počítač je chránený proti pokusom o pripojenie z vonkajšej siete, pričom stále umožňuje prehliadanie webových stránok, čítanie emailov, atď tak, ako za normálnych okolností. Ak ste spokojní s takýmto predvoleným nastavením, nemusíte sa ďalej trápiť s nastavením programu Firestarter.
Viac o sprievodcovi nastavením firewallu.
Pozrime sa teraz na funkcie samotného programu. Aplikácia je rozdelená na tri stránky, ktoré sa prepínajú pomocou kariet, podobných zápisníku. Týmito stránkami sú stránky Stav - poskytuje rýchly prehľad o stave firewallu, Udalosti - kde sa zobrazujú blokované pokusy o narušenie a história firewallu a Politika - kde môžete nastaviť správanie sa firewallu vytvorením bezpečnostnej politiky.
Na stránke Stav, ktorá sa zobrazuje ako prvá, môžeme neskôr vstúpiť do predvolieb programu, kde môžeme zmeniť nastavenia siete, povoliť pokročilé možnosti ako ICMP alebo ToS filtrovanie. Teraz sa však pozrieme na stránku Udalosti.
Na stánke s udalosčami môžete vidieť všetky pripojenia, ktoré firewall prerušil pretože ste spustili program. Stlačením tlačítka Obnoviť môžete importovať predchádzajúce udalosti, ktoré boli zaznamenané do súboru so systémovými záznamami. Toto je podstatný základ programu Firestarter. Firestarter sa spustí v prísnom režime, a poskytuje kompletnú ochranu proti prichádzajúcim pokusom o spojenie. To znamená, že ak máte na počítači spustené legitímne služby, ako napríklad webový server alebo SSH, pripojenia na tieto služby budú tiež prerušené a bude o tom vytvorený záznam.
Tradičné firewally vás v takejto situácii prinútia vŕtať sa v konfiguračných súboroch. Avšak ak vidíte pokus o pripojenie, ktorý chcete umožniť, stačí ak kliknete pravým tlačítkom na záznam v programe Firestarter a vyberiete "Povoliť vstupnú službu každému". Ak chcete povoliť prístup iba počítaču, ktorý sa pokúša o spojenie, ale nechcete aby všetci ostatní vedeli, že takúto službu prevádzkujete, vyberte "Umožniť vstupnú službu pre zdroj". Toto je známe ako skrývanie a môže to byť veľmi mocný nástroj.
Povolenie služby, ktoré sme urobili v predchádzajúcom príklade, by sa dalo nastaviť aj na stránke Politika. Nie je to však jednoduché, v skutočnosti budete chcieť politiku vytvárať z udalostí aby ste získali maximálnu bezpečnosť. Povolenie služby len pre vybrané počítače po tom, ako sa pokúsia pripojiť, tak ako sme to urobili vyššie, môže minimalizovať nebezpečenstvo z Internetu. Je to tiež veľmi pohodlné.
Poďme sa pozrieť na legitímne dôvody prečo by sme mali preusporiadať pravidlá na stránke Politika. Povedzem, že Firestarter je spustená na počítači, ktorý funguje ako brána a zdieľa internetové pripojenie s počítačmi v lokálnej sieti. V lokálnej sieti sa nachádza stolný počítač, na ktorom chcete používať aplikáciu na sťahovanie cez BitTorrent sieť. V príručke BitTorrent programu sa píše: "presmerujte porty 6881-6889 z vášho firewallu". S programom Firestarter je takéto nastavenie hračka. Vyberiem stránku Politika, klikneme pravým tlačítkom v časti Presmerovať službu a vyberieme Pridať pravidlo. Otvorí sa dialógové okno na vytvorení nového pravidla politiky. Z rozbaľovacieho zoznamu vyberte službu BitTorrent, vyplnte IP adresu klienta a potvrďte zmeny. Kliknite na tlačítko Aplikovať politiku aby sa aplikovali zmeny.
Samozrejme, toto je len zlomok toho, čo na stránke Politika môžme urobiť. Inou mocnou funkciou je možnosť zakázania výstupnej komunikácie. Viac informácií sa nachádza v časti práca s výstupnou politikou.
Často kladená otázka zo strany používateľov je, čo sa stane po ukončení programu. Odpoveďou je, že firewall zostane funkčný. Ak spúšťate Firestarter ako systémovú službu, ktorý sa automaticky nastaví, ak Firestarter nainštalujete z binárneho balíka, firewall bude pravdepodobne aktívny oveľa skôr ako spustíte program.
Firestarter je zabalený pre použitie v najznámejších distribúciách Linuxu. Pomocou predkompilovaných balíkov máme istotu, že sa program správne integruje do používanej distribúcie. Pre platformy, pre ktoré ešte neexistuje binárny balík a pre skúsenejších používateľov, je tu možnosť skompilovania programu Firestarter zo zdrojového kódu.
Firestarter je dostupný ako RPM balík, vhodný pre distribúcie, ktoré RPM balíky používajú. Sú to napríklad distribúcie Fedora Core, SuSE a Mandrake.
Po stiahnutí RPM balíka Firestarter určeného pre konkrétnu distribúciu, otvorte terminál a prejdite do priečinka, do ktorého ste si RPM balík stiahli. Zadajte nasledujúce príkazy zvýraznené hrubým písmom, ktoré nainštalujú balík:
[bash]$ su
Password: [Zadáme heslo používateľa root a stlačíme enter]
[bash]$ rpm -Uvh firestarter*rpm
Preparing...
...
Ak sa nevyskytli nejaké nevyriešiteľné závislosti alebo iné problémy, program Firestarter by teraz mal byť nainštalovaný. Alternatívne môžete balík nainštalovať aj v grafickom prostredí, stačí ak nad RPM balík urobíte dvojklik v prehliadači súborov.
Firestarter je dostupný aj pre Debian a dá sa stiahnuť a nainštalovať pomocou príkazu apt-get zadaním "apt-get install firestarter".
Používatelia Ubuntu môžu Firestarter nainštalovať ak majú povolený zdroj balíkov "universe" v súbore /etc/apt/sources.list alebo v grafickom programe synaptic under Systém > Správa >Zdroje softvéru. Ak je tento zdroj balíkov povolený, program nainštalujete príkazom "sudo apt-get install firestarter".
Firestarter je plne podporovaný v distribúcii Gentoo pomocou Portage systému. Program nainštalujete zadaním príkazu "emerge firestarter".
Začneme stiahnutím tar.gz verzie programu Firestarter. Rozbalíme tar súbor a rozbalené súbory presunieme do novovytvoreného priečinka:
[bash]$ tar -zxvf firestarter*tar.gz
...
[bash]$ cd firestarter
Spustíme skript configure. Nie je potrebné k skriptu pridávať žiadne parametre, ale odporúčame nastaviť aspoň premennú sysconfdir, ktorá určuje, kde bude uložená konfigurácia firewallu. Úplný zoznam možností získate po zadaní ./configure --help.
[bash]$ ./configure --sysconfdir=/etc
checking for a BSD compatible install... /usr/bin/install -c
...
V predvolenom stave sa program Firestarter pri kompilovaní nainštaluje do priečinka /usr/local. Toto je možné zmeniť nastavení možnosti prefix.
Ak sa proces konfigurácie ukončí bez problémov, môžeme program skompilovať a nainštalovať:
[bash]$ make
...
[bash]$ su
Password: [Zadáme heslo používateľa root a stlačíme enter]
[bash]$ make install
...
Príkaz make install je voliteľný. Program Firestarter sa dá spustiť rovno z priečinka v ktorom sme ho skompilovali. V takom prípade však najskôr musíme zadať príkaz "make install-data-local". Tento príkaz nainštaluje konfiguračnú schému pre GConf, bez ktorej sa program Firestarter nedokáže spustiť.
Ak program Firestarter nainštalujet pomocou binárneho balíka, program sa nastaví tak, aby sa automaticky spustil ako systémová služba. To znamená, že firewall je spustený aj napriek tomu, že nie je spustená grafický program. Ak skompilujete Firestarter zo zdrojového kódu a chcete rovnakú funkcionalitu, je potrebné do vašej distribúcie nainštalovať inicializačný skript.
V tar archíve programu Firestarter sa nachádzajú súbory <meno-distribucie>.init. Toto sú skripty na spustenie služby určené pre konkrétne distribúcie, ak ani jeden z nich nenesie názov vašej distribúcie, môžete si niektorý z nich vybrať a upraviť ho podľa požiadaviek vašej distribúcie.
Službu nainštalujeme tak, že skopírujeme init súbor do /etc/init.d/ a premenujeme ho na firestarter.init. Po tomto kroku musíme povedať systému aby použil nový skript, to ako sa to robí sa záleží od distribúcie. Ak naša distribúcia má k dispozícii nástroj chkconfig, jednoducho spustíme "chkconfig firestarter reset" a služba sa zaregistruje.
Viac informácií o systémovej službe programu Firestarter, sa nachádza v časti zotrvanie firewallu.
Základnými prvkami rozhrania programu Firestarter sú:
Sprievodca nastavením firewallu programu Firestarter sa automaticky spustí ak ste program spustili prvý krát. Ak sa chcete do sprievodcu vrátiť neskôr, dá sa vyvolať prostredníctvom ponuky Firewall v hlavnom rozhraní programu. Všetky voľby, ktoré nastavíte pomocou sprievodcu sa však dajú zmeniť pomocou predvolieb programu.
Táto stránka sprievodcu slúži na nakonfigurovanie hlavného sieťového zariadenia; to je sieťové zariadenie, cez ktoré sa pripájate na Internet.
Sprievodca automaticky vyhľadá všetky zariadenia, ktoré sa nachádzajú v počítači. Vo všeobecnosti budete používať buď pppxx alebo ethxx zariadenie, ak nemáte nejaký špeciálny hardvér. ppp je priradené k zariadeniam, ktoré sa pripájajú k telefónnej linke, zatiaľ čo eth je normálna sieťová karta pre drôtové pripojenie.
Pri niektorých modemoch je potrebné zvoliť ppp0 ako ich zariadenie, aj keď je tiež k dispozícii voľba eth0. Je to preto, lebo poskytovateľ internetových služieb používa protokol PPPoE. Ak vidíte v zozname ppp zariadenie a vy nemáte modem, pravdepodobne ho musíte vybrať ako sieťové zariadenie.
Ďalej sú k dispozícii nasledujúce dve možnosti:
Zdieľanie internetového pripojenia umožňuje niektorým počítačom prístup do siete Internet cez bežné sieťové pripojenie. Toto pripojenie je vytvorené pomocou NAT (preklad sieťových adries). Pre počítače z vonkajšej siete sa celá vaša sieť javí ako jeden počítač s jednou IP adresou.
Aby NAT fungoval, musíte mať v počítači dve alebo viac sieťových zariadení. Ak máte iba jedno zariadenie, táto strana sprievodcu sa vám nezobrazí. NAT zapnete tak, že zo zoznamu zariadení vyberiete to, ku ktorému je pripojená lokálna sieť. Musíte vybrať iné zariadenie ako ste vybrali na predchádzajúcej stránke.
Ak chete získať viac informácií a dozvedieť sa aj o tom ako sa konfiguruje služba DHCP, môžete si prečítať časť Nastavenie DHCP servera. Vo všeobecnosti však NAT aj DHCP začnú fungovať, keď ich povolíte v sprievodcovi a nie je potrebná žiadna ďalšia konfigurácia.
Na poslednej strane sprievodcu máte možnosť buď zahodiť zmeny alebo ich prijať a uložiť. Ak zvolíte uloženie zmien, firewall sa automaticky naštartuje.
Po vykonaní tohto kroku Firestarter bude pracovať predvolenom bezpečnostnom režime a v budúcnosti zvyčajne nie je potrebné nič meniť. Predvolený režim implementuje prísnu politiku pre prichádzajúcu komunikáciu a zhovievavý postoj k odchádzajúcej komunikácii. Viac informácií o predvolenom režime a o tom ako ho zmeniť sa dozviete v časti Práca s politikou.
Stránka Stav je prvá stránka, ktorá sa zobrazí po spustení programu Firestarter. Táto stránka poskytuje prehľad o firewalle, a tiež umožňuje zmeniť stav firewallu.
Stav sa mení prostredníctvom tlačidiel na nástrojovej lište vo vrchnej časti stránky. Existujú tri stavy, v ktorých sa firewall môže nachádzať:
Ďalšie tlačidlo na nástrojovej lište otvorí Predvoľby programu.
Stránka Stav je ďalej rozdelená do troch oddelených častí.
Časť Stav firewallu zobrazuje stav v akom sa firewall nachádza. Deje sa to prostredníctvom ikon (obrázok vpravo).
V tejto časti sa tiež zobrazuje počet udalostí firewallu, ktoré predstavujú počet zablokovaných pokusov o pripojenie od spustenia programu. Udalosti sú rozdelené podľa smeru pokusu o pripojenie. Ak pripojenie pochádza z počítača, na ktorom je spustený firewall alebo zo stanice v lokálnej sieti, je klasifikované ako odchádzajúce, inak je klasifikované ako prichádzajúce. Udalosť je potom označená ako kritická ak si Firestarter myslí, že je to pravá hrozba a mali by ste si na ňu dať pozor.
Viac informácií o rôznych druhoch udalostí sa dozviete v časti Stránka Udalosti.
Časť stránky o stave siete poskytuje prehľad o využití sieťových zdrojov. Obsahuje zoznam sieťových zariadení počítača s firewallom a niektoré údaje o prenesených dátach pre každá zariadenie.
Zobrazené sú nasledujúce údaje:
Aktívne pripojenia predstavujú priamy pohľad do samotného firewallu. Je to zoznam všetkých nadviazaných spojení, ktoré firewall sleduje v danom okamihu. Tieto spojenia zahŕňajú nie len vstupnú komunikáciu prichádzajúcu na firewall, ale aj vychádzajúce spojenia a programy, ktoré sú s nimi previazané. Naviac sa tu zobrazuje aj všetka komunikácia, ktorá cez firewall prechádza na iné počítače, s ktorými je zdieľané internetové pripojenie.
Pre každé sledované spojenie sú zaznamenávané tieto dáta:
Položky v aktívnych pripojeniach sú rozlíšené nasledujúcimi farbami:
Ak použijete kontextovú ponuku asociovanú s položkami, ktorá sa vyvolá pravým tlačidlom myši, máte možnosť poslať dotaz na mennú adresu zdroja a cieľa spojenia.
Stránka Udalosti zobrazuje históriu pripojení, ktoré boli zablokované firewallom. S položkami ako takými nie je potrebné nič robiť. Na tejto stránke však môžeme vykonať mnoho akcií, ktoré sa vzťahujú na položky, ktoré spôsobili zablokovanie spojenia. Tieto akcie majú vplyv na to, ako sa firewall bude k podobnej komunikácii správať v budúcnosti.
Firestarter označuje jednotlivé položky farebne podľa toho aký veľký pozor by ste si mali na ne dať:
O zablokovanom pripojení sa zozbiera množstvo dát. V predvolenom stave sa zobrazuje iba niekoľko z nich, ďalšie však môžete zobraziť prostredníctvom ponuky Udalosti->Zobraziť stĺpec.
Stĺpce, ktoré môžeme zobraziť sú tieto:
Ak kliknete pravým tlačidlom myši na položku udalosti a z kontextovej ponuky vyberiete Hľadať menné adresy, zdrojová alebo cieľová IP adresa sa zmení na mennú adresu, čitateľnú pre ľudí.
Aktuálne zobrazený zoznam sa dá uložiť na disk vo formáte čitateľnom pre ľudí pomocou tlačidla Uložiť, ktoré sa nachádza na nástrojovej lište.
Tlačidlo Zmazať vymaže všetky zobrazené udalosti, zatiaľ čo tlačidlo Obnoviť načíta históriu firewallu z disku. Väčšina Linuxových distribúcií prepisuje tieto záznamy aby donekonečna nerástli, preto nie je potrebné tento súbor so záznamami vymazávať ručne. Ak obnovíte históriu, môže to trvať dosť dlhú dobu, preto je možné túto operáciu prerušiť pomocou tlačidla na nástrojovej lište.
Každá položka v zozname blokovaných spojení je prepojená s kontextovou ponuku, ktorú vyvoláme pomocou pravého tlačidla myši. Tieto akcie menia spôsob reakcie firewallu na podobné spojenie, keď znova taký prípad nastane. Akcie pracujú ako skratky pre narábanie s politikou systému, to čo v skutočnosti robia, je vytvorenie nových pravidiel na stránke Politika. V závislosti od typu udalosti sa prispôsobuje aj kontextová ponuka a sú zobrazované rozdielne akcie.
Akcie pre vstupné záznamy sú:
Akcie pre výstupné záznamy sú:
Odcádzajúce položky sa iba zobrazia, ak máte prísnu výstupnú politiku.
Okrem akcií týkajúcich sa politiky sa v kontextovej ponuke pre položky udalostí nachádzajú ešte ďalšie dve položky, ktoré riadia samotný zoznam udalostí. Týmito položkami sú Zakázať udalosti zo zdroja a Zakázať udalosti na porte.
Ako názvy položiek napovedajú, tieto možnosti zrušia zobrazovanie udalostí pochádzajúcich od určitého zdroja alebo na určitom porte. Vybraním jednej z týchto možností dosiahnete, že sa udalosti spĺňajúce dané kritéria nebudú zobrazovať v zozname. Nemá to žiaden vplyv na to, či budú takéto udalosti blokované alebo nie.
Zoznam aktuálne filtrovaných zdrojov a portov sa dá nájsť v predvoľbách.
Podrobnejšie vysvetlenie politiky systému sa nachádza v časti Práca s politikou. Táto časť obsahuje návod ako používať stránku Politika rozhrania programu Firestarter v praxi.
Stránka Politika je rozdelená na dve časti - politiku vstupnej komunikácie a politiku výstupnej komunikácie. Prepínať sa medzi nimi môžete pomocou rozbaľovacieho zoznamu vo vrchnej časti stránky.
Každý z pohľadov obsahuje tri zoznamy skupín pravidiel. Pravidlo politiky predstavuje jeden záznam v jednom zo zoznamov. Nové pravidlo pridáme tak, že označíme skupinu, do ktorej budeme chcieť pravidlo pridať, kliknutím na príslušný zoznam. Potom klikneme na tlačidlo Pridať pravidlo na nástrojovej lište alebo použijeme kontextovú ponuku, ktorú vyvoláme pravým tlačidlom myši na príslušnom zozname. Pravidlo odstránime tak, že ho označíme kliknutím, a potom klikneme na tlačidlo Odstrániť pravidlo na nástrojovej lište alebo v kontextovej ponuke. Ak chceme existujúce pravidlo upraviť, stačí nad ním urobiť dvojklik alebo ho označiť a kliknúť na tlačidlo Upraviť pravidlo na nástrojovej lište alebo v kontextovej ponuke.
Všetky zmeny, ktoré urobíte na stránke Politiky je potrebné potvrdiť. Je to kvôli tomu aby ste nikdy nepridelili viac privilégií ako ste chceli, obzvlášť ak vytvárate viacero politických rozhodnutí, ktoré navzájom súvisia. Ak chcete aplikovať zmeny, stačí kliknúť na tlačidlo Aplikovať politiku na nástrojovej lište. Prostredníctvom predvolieb je tiež možné nastaviť, aby sa zmeny vykonané v politike aplikovali okamžite.
Vstupná politika riadi komunikáciu prichádzajúcu na firewall zo siete Internet a z lokálnej siete. Predvolená vstupná politika je kompletne vykrývajúca, to znamená, že nič neprejde ak to nie je explicitne povolené. Pravidlá, ktoré pridáte do skupín vstupnej politiky teda vytvárajú výnimky v tejto politike, ktoré vytvárajú priechody cez firewall, cez ktoré môže prejsť legitímna komunikácia.
Tri skupiny politiky sú rozmiestnené zhora nadol: Povoliť pripojenia zo stanice, Povoliť službu a Presmerovať službu.
Keď vytvárate nové pravidlo v skupine Povoliť pripojenia zo stanice, jediným parametrom, ktorý je potrebné zadať, je IP alebo menná adresa zdrojovej stanice. Ako názov napovedá, pridaním stanice do tejto skupiny ju označíte ako dôveryhodný zdroj a všetka komunikácia pochádzajúca od tohto zdroja bude v budúcnosti prepustená cez firewall.
Skupina Povoliť službu umožňuje oveľa jemnejšie riadenie prístupu. Pravidlá v tejto skupine majú dva parametre - službu a cieľ. Službu môžete vybrať dvoma spôsobmi - buď cez rozbaľovací zoznam preddefinovaných služieb alebo explicitným zadaním sieťového portu, ktorý služba používa. Následne sa program Firestarter pokúsi zistiť názov služby, ale používateľ môže názov zadať aj ručne.
Cieľom môže byť jedna z troch možností - Ktokoľvek, klienti siete LAN alebo používateľom určená IP adresa, menná adresa alebo sieť. Možnosť ktokoľvek znamená presne to, že ktokoľvek resp. všetci môžu pristupovať k službe na požiadanie. Možnosť klienti LAN znamená, že službu môžu používať iba klienti pripojení do lokálnej siete. Používateľom definovaný cieľ, môže byť buď IP adresa, ktorá pozostáva zo štyroch čísel oddelených bodkami, menná adresa zrozumiteľná pre človeka, alebo celá sieť. Sieť je určená buď ako sieť/sieťova_masko v číselnom tvare oddelenom bodkami, alebo použitím zápisu CIDR Notation. V prípade, že zadáte iba samostatnú IP adresu, služba bude efektívne skrývaná a iba jeden cieľový počítač bude túto službu vidieť.
Poslednou skupinou vstupnej politiky je skupina Presmerovať službu. Táto skupina je aktívna iba ak je zapnuté zdieľanie internetového pripojenia. Ak je zdieľanie povolené, celá skupina počítačov je z pohľadu vonkajšej siete viditeľná ako jeden záznam. Ak všetky počítače zdieľajú jednu verejnú IP adresu, za účelom poskytnutia verejných služieb staniciam v lokálnej sieti, firewall môže tiež fungovať ako prostredník medzi verejnými a súkromnými sieťami.
Rovnako ako pri predchádzajúcej skupine politiky, aj pravidlá tejto skupiny obsahujú dva parametre - službu a cieľ. Služba sa dá vybrať dvoma spôsobmi - buď pomocou rozbaľovacieho zoznamu s preddefinovanými službami alebo priamym zadaním čísla portu. Toto číslo predstavuje port, na ktorom bude firewall načúvať, ak dostane požiadavku, potom komunikáciu presmeruje priamo na cieľ. Cieľ je určený ako IP adresa počítača vo vnútornej sieti. Je to počítač, ktorý poskytuje aktuálnu službu. Pre tento počítač je možné zadať iný port ako ten, na ktorom načúva firewall, aj keď vo väčšine prípadov budú rovnaké. Ďalší spôsob použitia rôznych portov na firewalle je ten, že porty nie sú symetrické. To znamená že firewall načúva na celom rozsahu portov a potom komunikáciu presmeruje na jeden port počítača.
Výstupná politika riadi komunikáciu odchádzajúcu z firewallu do siete Internet alebo k staniciam v sieti LAN. Predvolená výstupná politika je zhovievavá. To znamená, že vy a ďalší klienti pripojení do lokálnej siete môžu bez obmedzení prehliadať webové stránky, čítať emaily, atď. Je tiež možné zmeniť politiku do prísneho režimu podobnému tomu vo vstupnej politike. Režimy sa dajú prepínať pomocou prepínacích tlačidiel vo vrchnej časti pohľadu výstupnej politiky.
Režim označený ako Všetko povoliť, vytvárať zoznam zakázaných pripojení predstavuje spôsob chovania programu Firestarter, v ktorom sa spustí. Ako je vysvetlené vyššie, odchádzajúca komunikácia nie je v tomto režime obmedzovaná a vaše sieťové aplikácie budú fungovať normálne. Skupiny politiky vo výstupnej politike budú v tomto režime slúžiť na vytváranie zoznamu zakázaných pripojení. To znamená, že stanovujú obmedzenia, pre inak zhovievavú politiku.
Prvá skupina politiky, Odmietnuť pripojenia ku stanici, je efektívny tzv. čierny zoznam. Pravidlá v tejto skupine majú len jeden parameter obsahujúci IP adresu alebo platnú mennú adresu. Stanice zobrazené v tejto skupine sú označené ako obmedzené. Jeden z možných spôsobov použitia tejto skupiny politiky je zadávanie zoznamu zakázaných webových stránok, nikto z lokálnej siete ale ani zo samotnej stanice, na ktorej je spustený firewall, nebude môcť zobraziť tieto stránky v prehliadači.
Skupina Odmietnuť pripojenia z LAN stanice pracuje ako čierna listina pre lokálne sieťové stanice. Žiadna stanica, ktorá sa bude v tomto zozname nachádzať, nebude mať možnosť pripojiť sa do siete Internet. To môže byť užitočné napríklad vtedy, ak chcete niekomu znemožniť prístup na server, ale nechcete zaviesť prísnu politiku pre ostatných klientov.
Posledná skupina Odmietnuť službu umožňuje oveľa jemnejšiu kontrolu výstupnej komunikácie. Pravidlá v tejto skupine obsahujú dva parametre - službu a cieľ. Služba sa vyberá rovnako ako pri vstupných pravidlách a cieľ môže byť jeden zo štyroch možností: ktokoľvek, stanica firewallu, klienti LAN a používateľom zadaná IP adresa, menná adresa alebo sieť. Pridaním pravidla do tejto skupiny zablokujete počítaču prístup k službe na požiadanie. Cieľ sa vyberá rovnako ako v skupine Povoliť službu vo vstupnej politike.
Druhý režim výstupnej politiky je označený nápisom Všetko zakázať, vytvárať zoznam dovolených pripojení. Je to ekvivalent správania sa pri vstupnej politike. Nič nie je povolené, iba to čo explicitne povolíte vytvorením pravidla v jednej zo skupín. Tento režim poskytuje maximálnu ochranu, ale je tiež veľmi otravný, žiadna sieťová aplikácia nebude fungovať pokým pre ňu nevytvoríte pravidlo.
Ak prvýkrát Firestarter prepnete do tohto režimu, zbadáte, že sa nejaké pravidlá už nachádzajú v skupine Povoliť službu. Tieto pravidlá umožňujú získať k menným adresám IP adresy a prehliadať webové stránky. Pravidlá sú tu zahrnuté preto, aby ste si mohli zobraziť aspoň online pomocníka k programu. Ak ste si istý, že ich nechcete, môžete ich odstrániť.
Skupina Povoliť pripojenia ku stanici predstavuje tzv. biely zoznam cieľových staníc, s ktorými sa môžu všetci spojiť. Použitím tejto skupiny môžete napríklad zablokovať prístup na Internet okrem vypísaných stránok, toto môže byť užitočné napríklad ak počítač slúži ako infostánok alebo ho používame na nejaký špeciálny účel.
Skupina Povoliť pripojenia z LAN stanice povolí konkrétnym staniciam z lokálnej siete neobmedzený prístup na Internet.
Skupina Povoliť službu poskytuje jemnejšiu kontrolu výstupnej komunikácie. Je logickým opakom skupiny Odmietnuť službu v zhovievavom režime, a má tiež rovnaké parametre. Vytvorením pravidla v tejto skupine povolíte napríklad udeliť jednému počítaču výnimku pri použití inak zakázanej služby.
Dialóg s predvoľbami programu Firestarter obsahu veľa nastavení, ktoré ovplyvňujú správanie grafického rozhrania programu a firewallu. Ak chcete vstúpiť do predvolieb, buď kliknite na tlačidlo na nástrojovej lište na stránke stav alebo z ponuky vyberte položku Upraviť->Predvoľby.
Predvoľby sú rozdelené do dvoch kategórií: nastavenia, ktoré menia správanie rozhrania a nastavenia, ktoré ovplyvňujú firewall.
Nastavenia rozhrania sú ďalej rozdelené do troch častí, všeobecné nastavenia, nastavenia pre stránku udalostí a nastavenia pre stránku politiky.
Povoliť zobrazenie ikony v oblasti upozornení. Ak je táto možnosť povolená, Firestarter zobrazí svoju ikonu v oblasti upozornení. Ikona sa zobrazuje podľa toho, aký je stav firewallu podobne ako na stránke Stav. Keď nastane nová udalosť, ikona začne blikať. Po kliknutí na ikonu sa hlavné okno programu Firestarter skryje alebo znova objaví.
Po zatvorení okna minimalizovať do oblasti upozornení. Táto možnosť sa dá použiť iba spolu s predchádzajúcou možnosťou. Ak je povolená, tak po zatvorení hlavného okna programu sa program neukončí, len sa skryje a zostane spustený na pozadí. Toto správanie je podobné ako pri programoch na odosielanie rýchlych správ. Podstatou je aby ste nemuseli mať na ploche stále otvorené okno programu Firestarter, ale aby ste boli upozornený iba keď sa niečo stane.
Tieto nastavenie riadia správanie stránky Udalosti.
Vynechať nadpočetné záznamy. Ak je táto možnosť povolená, zo zoznamu blokovaných spojení na stránke Udalosti sa odfiltrujú rovnaké po sebe nasledujúce záznamy.
Vynechať záznamy ak cieľom nie je firewall. Ak je možnosť povolená, spôsobí to, že program porovná IP adresu a cieľ blokovaného spojenia. Ak sa nezhodujú, položka sa nezobrazí v zozname. Toto je v niektorých prípadoch užitočné. Napríklad ak ste zakázali broadcasty (odoslanie paketu všetkým), ale nechcete o tom dostávať správy.
Táto stránka tiež obsahuje dva zoznamy - stanice a porty, ktorých udalosti sú odfiltrované zo zoznamu blokovaných spojení. Keď pravým tlačítkom myši kliknete na položku na stránke udalostí a vyberiete Zakázať udalosti zo zdroja alebo na porte, položka s adresou stanice alebo portom sa pridá sem. Udalosti na portoch a adresách, ktoré sa tu nachádzajú sa nezaznamenávajú ani do súboru so záznamami, narozdiel od predchádzajúcich dvoch možností, ktoré udalosti skrývajú iba pri zobrazení.
Nastavenia firewallu riadia niektoré pokročilejšie funkcie firewallu, umožňujú však zmeniť aj nastavenia, ktoré ste nastavili pomocou sprievodcu firewallom.
Spustiť/reštartovať firewall pri štarte programu. Ak zaškrtnete túto možnosť, Firestarter nanovo načíta nastavenie firewallu, pri štarte grafického rozhrania programu.
Spustiť/reštartovať firewall po nadviazaní vytáčaného spojenia. Táto možnosť pridá službu firewallu do zoznamu programov, ktoré sa spusti po nadviazaní vytáčaného spojenia. To zaistí, že firewall sa správne reštartuje keď je počítaču pridelená nová IP adresa.
Spustiť/reštartovať firewall po obnovení zapožičania adresy cez DHCP. Táto možnosť spôsobí, že sa firewall reštartuje, keď vám DHCP server poskytovateľa pridelí novú IP adresu.
Nastavenia závisia od nastavenia siete. Umožňujú nastaviť sieťové zariadenie pripojené k Internetu a k vnútornej sieti, ak ste do nej pripojený. Všetky sieťové zariadenia v počítači sa automaticky vyhľadajú, vám stačí iba vybrať jedno z rozbaľovacieho zoznamu.
Povoliť zdieľanie internetového pripojenia. Táto voľba umožňuje pripojenie do siete Internet s ostatnými stanicami lokálnej siete. Viac informácií sa dozviete v časti Zdieľanie internetového pripojenia.
Povoliť DHCP pre lokálnu sieť. DHCP je sieťová služba, ktorá umožňuje automatickú distribúciu sieťových nastavení do počítačov v lokálnej sieti. Detailnejšie informácie o konfigurovaní DHCP služby sa nachádza v časti Nastavenie DHCP servera.
ICMP pakety predstavujú špeciálny druh komunikácie, ktorú často využívajú sieťové nástroje ako napríklad ping (požiadavka na echo) a traceroute (tasovanie).
V predvolenom stave Firestarter povoľuje ICMP komunikáciu, aj keď je trochu brzdí aby predišiel nadmernej záplave požiadaviek alebo útokom spôsobujúcich nedostupnosť služby - tzv. Denial of Service. Povolením ICMP filtrovanie môžete zablokovať tieto služby úplne. Všimnite si, že keď zablokujete určité ICMP typy, nebudete ich môcť používať ani vy.
Firestarter umožňuje riadiť nasledujúce ICMP typy:
Filtrovanie podľa typu služby - Type of Service umožňuje firewallu v niektorých prípadoch zvýšiť priepustnosť a rýchlosť reagovania pre vybrané aplikácie. Funguje to na základe zmeny priority komunikácie. Zmena priorít typu služby vyžaduje podporu zo strany siete ku ktorej sa pripájate, v praxi je to oblasť, na ktorej to funguje, obmedzená na lokálne siete.
Firestarter môže uprednostniť komunikáciu typickú pre úlohy na pracovných staniciach alebo serveroch. Tiež môže uprednostniť komunikáciu z aplikácií bežiacich na vzdialenom X Window systéme. Pre vybraný typ úloh môže byť maximalizovaná buď priestupnosť, spoľahlivosť alebo interaktivita.
Pokročilé nastavenia sú určené hlavne pre skúsenejších používateľov.
Preferovaná metóda odmietnutia paketov. Firestarter môže buď odmietnuť alebo zahadzovať spojenia, ktoré nie sú povolené bezpečnostnou politikou. Ak firewall odmietne spojenie, odošle chybový paket zdroju, ktorý hovorí, že pripojenie bolo zakázané. Pri zahodení spojenia sa neodošle nič. V takom prípade zdroj zakázaného spojenia nebude nič vedieť, v niektorých prípadoch dokonca nebude môcť ani posúdiť, či na IP adrese firewallu je vôbec počítač. Vzhľadom k tomu, žr odmietanie pripojenia umožňuje vzdialeným stranám mapovať sieťové služby, a tiež znižovať šírku pásma, odporúčame ponechať predvolené správanie, ktoré spojenia potichu zahadzuje.
Blokovať vyslania všetkým. Táto možnosť blokuje komunikáciu s cieľovou alebo zdrojovou adresou, ktorá je označená buď ako tzv. globálny alebo lokálny broadcast (takýto paket je určený všetkým staniciam v sieti).
Politika firewallu je sada pravidiel, ktoré spolu pre každé pripojenie jednoznačne určia, či má povolené prejsť cez firewall alebo nie. Politika v programe Firestarter sa skladá z dvoch vrstiev - z predvolenej politiky a politiky, ktorú definuje používateľ.
Firestarter sa snaží v predvolenom stave poskytnúť bezpečnú a používateľa neobmedzujúcu politiku. Ak chránite samotný počítač s firewallom aj ostatné stanice pripojené do lokálnej siete pred pokusmi o neoprávnený prístup, neukladá obmedzenia na služby, ktoré si chránia stanice samé. Predvolená politika poskytuje slušný základ, ku ktorému môžete pridať ďalšie pravidlá, ktoré určia čo je oprávnený, a čo neoprávnený prístup.
Predvolená politika programu Firestarter sa dá charakterizovať takto:
Táto politika umožňuje na zabezpečených staniciach normálne používať sieť Internet - napríklad prehliadať webové stránky a čítať emaily, ale zablokuje všetky pokusy o prístup k sieťovým službám z vonkajšej siete a chráni lokálnu sieť.
Aj keď predvolená politika sama o sebe tvorí ucelený celok pravidiel, je často potrebné pridať svoje vlastné pravidlá. Používateľom zadané pravidlá buď zvoľnia predvolenú politiku alebo pridajú ďalšie obmedzenia.
Politika vytváraná používateľom je v programe Firestarter zoskupená podľa toho, na aký druh sieťovej komunikácie sa vzťahuje:
Skupina politiky | Komunikácia, na ktorú to má vplyv |
Vstupná | Pripojenia pochádzajúce zo siete Internet alebo lokálnej siete, ktorých cieľovou stanicou je stanica firewallu. |
Výstupná | Pripojenia pochádzajúce zo stanice firewallu a lokálnej siete smerujúce do siete Internet |
Dôvod prečo sa vstupná politika nevzťahuje na pripojenia zo siete Internet smerujúce priamo do lokálnej siete je ten, že takáto komunikácia sama o sebe nie je možná. Iba v prípade, že firewall ručne nastavíme do pozície prostredníka, ktorý bude presmerovávať komunikáciu prichádzajúcu zo siete Internet na niektorú stanicu v lokálnej sieti.
Všetka vstupná sieťová komunikácia, ktorá nie je odpoveďou na pokus o nadviazanie spojenia zo zabezpečených staníc, je vždy zakázaná. Vstupná politika, ktorú vytvorí používateľ je preto vždy zhovievavá a obsahuje podmienky, za akých je možné obísť obmedzenia a povoliť vytvorenie nových prichádzajúcich pripojení. Zmeny vstupnej politiky sa robia v časti pre vstupnú politiku na stránke Politika v programe Firestarter.
Účelom politiky pre odchádzajúcu komunikáciu je určenie typu sieťovej komunikácie, ktorej je dovolené odísť zo zabezpečenej siete do siete Internet. Firestarter môže pri aplikovaní výstupnej politiky používať dva režimy - zhovievavý (tento je predvolený) a prísny.
Zhovievavý výstupný režim označený ako "Všetko povoliť, vytvárať zoznam zakázaných pripojení" na stránke Politika, umožňuje zadať pravidlá, ktoré obmedzujú výstupné spojenia.
Prísny výstupný režim označený ako "Všetko zakázať, vytvárať zoznam dovolených pripojení" na stránke Politika, naopak explicitne určuje, ktorým spojeniam je dovolené odísť. Ak je zapnutý tento režim po prvý krát, obsahuje niektoré základné pravidlá, ktoré sa už nachádzajú v systéme. Tieto pravidlá povoľujú prístup k službám DNS, DHCP a HTTP, aby ste mohli v prípade nutnosti nájsť pomoc na Internete. Ak ste si istý, že chcete tieto služby zakázať a zabrániť tak správnemu fungovaniu webového prehliadača, môžete tieto pravidlá odstrániť.
Firestarter umožňuje zdieľať internetové pripojenie s počítačmi v lokálnej sieti. Toto zdieľanie je vytvorené pomocou techniky, ktorá sa volá Network Address Translation alebo skrátene NAT (preklad sieťových adries). Z pohľadu vonkajšej siete sa celé zoskupenie počítačov javí ako jeden počítač s jednou adresou.
Ak chcete vytvoriť zdieľanie internetového pripojenia, musí te mať aspoň dve sieťové zariadenia na počítači, na ktorom bude firewall. Ak je lokálna sieť správne zostavená, povolenie zdieľania internetového pripojenia sa veľmi jednoducho nastaví zaškrtnutím možnosti buď cez sprievodcu nastavením firewallu alebo cez predvoľby programu.
Procedúra nastavenie siete, ktorá používa zdieľanie pripojenia, je v podstate rovnaká či už máte dva počítače alebo zložitú sieť s rozbočovačmi alebo prepínačmi, ku ktorým je pripojených mnoho počítačov. V našom príklade použijeme ako zariadenie cez ktoré je pripojený Internet bežnú sieťovú kartu, ale funguje to rovnako aj keď použijeme modem alebo ISDN.
Počítač fungujúci ako firewall/brána je pripojený k sieti Internet musí mať aspoň dve sieťové karty a každá stanica v lokálnej sieti musí mať po jednej.
Prvá sieťová karta vo firewalle, predstavuje vonkajšie rozhranie a je fyzicky pripojená k sieti Internet. Táto karta sa väčšinou automaticky nakonfiguruje cez DHCP. Druhá sieťová karta vo firewalle, predstavuje vnútorné rozhranie a je fyzicky pripojená k druhému počítaču cez tzv. krížený kábel ak je kábel pripojený priamo k druhému počítaču alebo bežným káblom ak máte rozbočovač alebo prepínač.
Vnútorné rozhranie firewallu vyžaduje ručné nastavenie. Existuje mnoho spôsobov akým sa dá nastaviť sieťové rozhranie, ktoré závisia od použitej distribúcie Linuxu. Fedora a Red Hat Linux sa dodávajú s jednoduchým nástrojom pre príkazový riadok s názvom netconfig a so sofistikovanejším grafickým nástrojom s názvom system-config-network. Nástroj system-config-network pracuje lepšie s viacerými sieťovými kartami v jednom počítači, preto ho odporúčame vyskúšať. Ostatné distribúcie obsahujú vlastné konfiguračné nástroje, napríklad v SuSE môžete použiť program Yast.
Nezáleží na tom ako sa rozhodnete nastaviť sieťové karty. Môžete použíť napríklad takéto nastavenie:
Pre vonkajšie zariadenie (zvyšajne eth0):
Poznámka prekladateľa: v praxi to nie vždy takto jednoducho funguje, niekedy vám poskytovateľ internetových služieb, pridelí celý rad nastavení, ktoré je potrebné ručne. Nastavenie prebieha rovnako ako to, ktoré je popísané nižšie v časti Ručná konfigurácia klientov.
Vnútorné rozhranie (zvyčajne eth1):
Zmeny, ktoré vykonáte sa prejavia až po reštarte počítača, alebo stačí ak reštartujete sieťové služby (vo väčšine distribúcií stačí ak spustíte príkaz "/etc/init.d/network restart").
Existujú dva spôsoby ako nakonfigurovať klientské počítače. Elegantnejší a z dlhodobého hľadiska jednoduchší spôsob je spustiť službu DHCP na firewalle. DHCP server distribuuje sieťové nastavenia ako IP adresa počítača, predvolená brána, adresy DNS serverov, atď. počas behu všetkým klientom. Miesto použitia DHCP servera môžeme ešte každú stanicu nastaviť ručne.
Službu DHCP zapneme jednoduchým zaškrtnutím možnosti v programe Firestarter. Viac informácií o službe a o tom, ako sa konfiguruje, sa nachádza v časti nastavenie DHCP servera.
Ak používame DHCP, na klientoch stačí nastaviť aby použili dynamickú IP konfiguráciu. Žiadne ďalšie nastavenia nemusíme meniť.
Ak nechcete používať službu DHCP, nastavte sieťové zariadenia klientov podľa nasledujúcich pokynov:
Reštartujte sieťové služby.
Počítače by teraz maili byť pripojené a nastavené hardvéru by malo byť hotové. Ak chcete otestovať, či je všetko ok, skúste urobiť ping bránu z každého klientského počítača a naopak.
Zadajte nasledujúci príkaz na počítači, na ktorom beží firewall, aby ste zistili či má brána spojenie s klientom:
V prípade použitia DHCP, sa IP adresy môžu pridelovať náhodne
Ak to nefunguje, problém je buď v hardvéri alebo v sieťovom nastavení. Častou chybou je, že je zle nastavená predvolená brána, preto ju ešte raz skontrolujte.
Ak je nastavenie správne musí platiť:
DHCP je sieťový protokol, ktorý okrem iného môže dynamicky distribuovať IP adresy a ostatné sieťové nastavenia do počítačov. Ak DHCP použijete spolu so zdieľaním internetového pripojenia v programe Firestarter, nebude musieť nastavovať TCP/IP nastavenia na každom počítači v lokálnej sieti zvlášť. Ak používate DHCP a chcete do siete pripojiť nový počítač, potom ho stačí iba pripojiť, a nemusíte nič nastavovať.
Ak je DHCP služba povolená v programe Firestarter a DHCP server je spustený na počítači s firewallom, potom tento počítač cez DHCP systém požičiava adresy klientským počítačom. Pôžička poskytne klientovi všetky potrebné informácie, aby sa vedel pripojiť do siete. Tieto informácie obsahujú jedinečnú IP adresu, ktorá je pre každý klientský počítač iná, adresu predvolenej brány, masku siete a adresy používaných DNS serverov. DHCP pôžička sa dá chápať ako dohoda medzi serverom a klientom, ktorá platí obmedzený čas.
Poznámka: Firestarter sám o sebe neobsahuje DHCP server, potrebuje aby mu systém, v ktorom je spustený túto funkciu poskytol. V systéme nemusí byť DHCP server nakonfigurovaný alebo spustený. Stačí ak sa program dhcpd nachádza v systéme, a potom Firestarter bude DHCP server kompletne spravovať miesto používateľa.
Ak sa spustiteľný súbor pre DHCP v systéme nenachádza, riadenie DHCP nebude aktívne
Balíky, ktoré je potrebné nainštalovať aby bola v programe Firestarter funkcia pre službu DHCP aktívna, sú tieto: | ||
Distribúcia | Názov balíka | Príkaz pre nainštalovanie |
Red Hat 9, Fedora Core | dhcp | "yum install dhcp" |
Debian | dhcp | "apt-get install dhcp" |
Mandrake | dhcp-server | "urpmi dhcp-server" |
Gentoo | dhcp | "emerge dhcp" |
SuSE | dhcp-server | Ručne počas inštalácie systému alebo pomocou RPM |
Služba DHCP sa dá nastaviť pomocou sprievodcu nastavením firewallu alebo v predvoľbách programu. Zaškrtnutím možnosti "Povoliť DHCP pre lokálnu sieť" na obrazovke pre zdieľanie internetového pripojenia a služba sa aktivuje po dokončení sprievodcu alebo po uložení predvolieb. Všimnite si, že možnosť pre DHCP je dostupná iba ak je povolené zdieľanie internetového pripojenia a služba DHCP je poskytovaná iba počítačom pripojeným do lokálnej siete. Vďaka tomu program Firestarter nebude v konflikte s DHCP systémom, ktorý prevádzkuje poskytovateľ internetového pripojenia.
Niekoľko nastavení súvisiacich s DHCP serverom sa dá voliteľne nastaviť cez grafické rozhranie. Kliknutím na odkaz "Podrobnosti DHCP servera" sa zobrazia ďalšie možnosti. Pomocou nich sa dá zmeniť rozsah IP adries, ktoré sa budú klientom zapožičiavať. Stačí zmeniť najnižšiu a najvyššiu IP adresu rozsahu. V predvolenom stave Firestarter bude zapožočiavať IP adresy z rozsahu od 192.168.0.100 po 192.168.0.254. Rozsah IP adries môžete ľubovoľne meniť, ale rozsah musí spadať pod rozsah limitovaný nastavením sieťovej adresy a maskou siete, ktorá je priradená sieťovému adaptéru, ku ktorému je pripojená lokálna sieť.
Adresu DNS servera tiež môžeme nastaviť ľubovoľnú. Akceptovaná je bodkami oddelená číselná IP adresa aj menná adresa DNS servera. Je možné zadať aj viacero adries, ktoré oddelíte čiarkami. Môžete zadať aj špeciálnu hodnotu <dynamic>, v takom prípade sa adresy DNS serverov nastavia dynamicky podľa sieťových nastavení vonkajšieho rozhrania firewallu. Toto nastavenie je užítočné v prípade, že samotný počítač, na ktorom beží firewall, používa DHCP systém na získanie adries DNS serverov od poskytovateľa Internetu. V predvolenom stave sa DNS servery určujú dynamicky.
Možnosť ponechania súčasného nastavenia DHCP je dostupná ak program Firestarter zistí, že sa nastavenie DHCP už nachádza v systéme. Táto možnosť má niekoľko použití. Ak ste pred tým ručne nastavili DHCP server vo vašom systéme, je možné program Firestarter použiť iba na riadenie serverových procesov bez toho aby menil konfiguráciu. Môžete tiež zobrať DHCP nastavenia vygenerované programom Firestarter a rozšíriť ich, s vedomím, že ich už program Firestarter nebude bez vášho súhlasu meniť. Existuje mnoho zaujímavých DHCP funkcií, ktoré môžete ručne nastaviť, vrátanie povoľovania počítačov na základe hardvérových MAC adries, prideľovania statických IP adries konkrétnym počítačom, rozdeľovania počítačov do rôznych tried, ktoré majú odlišnú konfiguráciu, poskytovania obrazov pre zavedenie systému pre sieťové terminály atď. Viac informácií sa dozviete v súbore dhcpd.conf a na man stránkach dhcpd .
Firestarter generuje DHCP konfiguráciu, ktorú ukladá do súboru /etc/dhcpd.conf.
Táto časť obsahuje témy určené pre skúsenejších používateľov. Obsahuje informácie o tom ako program Firestarter funguje vo vnútri.
Často kladenou otázkou je: "V akom stave je firewall, keď nie je spustený program Firestarter?" Odpoveďou je, že to závisí od toho, či ste Firestarter nainštalovali z binárneho balíka ako napríklad RPM alebo Deb. Firewall v takomto prípade je spustený stále (okrem prípadu vytáčaného spojenia) a nesúvisí s grafickým prostredím, dokonca ani po reštarte počítača. V takomto prípade je firewall zaregistrovaný ako systémová služba a môže byť obsluhovaný pomocou štandardných systémových služieb systému Linux a nástrojmi na správu tzv. runlevelov.
Ak ste program Firestarter nainštalovali skompilovaním zo zdrojového kódu a používate jednu z linuxových distribúcií Fedora, Red Hat, SuSE alebo Mandrake, máte možnosť nainštalovať systémový inicializačný skript. Návod nájdete v časti inštalácia. Ostatné distribúcie obsahujú svoje vlastné inicializačné skripty v binárnom balíku programu Firestarter, ak ho poskytujú. Po nainštalovaní a aktivovaní inicializačného skriptu, sa bude firewall spúšťať ako systémová služba.
Ak ste program Firestarter nainštalovali skompilovaním zo zdrojového kódu a nepoužili ste inicializačný skript, firewall je aktívny od momentu, kedy spustíte program Firestarter až do chvíle kedy reštartujete počítač. Pozrite si poznámky o ručnom spúšťaní firewallu zobrazené nižšie.
Okrem vyššie popísaného správania možnosti programu rozširuje aj tzv. DHCP démon. Keď sa sieťové zariadenie nastaví cez službu DHCP, a priradí sa mu IP adresa (buď pri prvom pripojení alebo pri obnovení zapožičania), firewall sa buď spustí alebo obnoví. Všimnite si, že to nastane aj vtedy, keď je firewall zastavený (buď cez program Firestarter alebo cez inicializačný skript). Táto služba je funguje ak používate buď program DHCPD alebo program dhclient (ktoré obsahuje väčšina moderných distribúcií). Keď používate DHCP nie je nevyhnutne nutné mať aj inicializačný skript.
Firestarter obsahuje na správu firewallu inicializačný skript v štýle SysV. Skript poskytuje nasledujúce funkcie:
Stav firewallu si môžeme overiť aj na stránke Stav.
Funkcie je možné spustiť ak ich názov pridáte ako parameter za názov skriptu. Napríklad v distribúcii Red Hat / Mandrake môžete firewall spustiť zadaním príkazu /etc/init.d/firestarter start. Väčšina distribúcií obsahuje aj nástroje ako chkconfig, ktorými sa spravujú skripty služieb. Tieto nástroje umožňujú zmeniť poradie spúšťania skriptov a mnoho ďalších parametrov služieb.
Program Firestarter akceptuje niekoľko príkazov na riadenie stavu firewallu, ktoré sa zadávajú v príkazovom ako parameter. AK do príkazového riadka zadáme príkaz firestarter --help, zobrazí sa kompletný zoznam možností. Ak ste program inštalovali cez RPM uistite sa, že spúšťate /usr/sbin/firestarter a nie /usr/bin/firestarter, ktorý je len jeho obalom.
Firewall sa musí spustiť po tom, ako nadviažete spojenie s poskytovateľom služieb. V sprievodcovi nastavením firewallu programu Firestarter je možnosť automatického štartu firewallu po nadviazaní vytáčaného spojenia. Táto možnosť nefunguje so všetkými vytáčacími programami. Napríklad ak používate aplikáciu kppp, je potrebné aby ste nastavili program tak, aby spustil firewall po nadviazaní spojenia. Kppp obsahuje možnosť spustenia skriptu po nadviazaní spojenia, cez ktorú sa to dá jednoducho urobiť.
Firestarter vyžaduje určité podsystémy jadra systému Linux boli v systéme aby mohol správne fungovať. Toto nie je problém v prípade poskytovateľov jadra, pretože jednotlivé distribúcie založené na systéme Linux tieto funkcie poskytujú. Ak si však chcete vytvoriť prispôsobené jadro, potom by vás mala táto časť zaujímať.
Tieto inštrukcie sú určené pre linuxové jadro verzie 2.6. Firestarter 0.9.x dokáže pracovať aj s jadrami verzie 2.4 a staršími, v takom prípade je základná konfigurácia rovnaká, ale nastavovanie jadra v konfigurátore sa môže mierne líšiť. Predpokladáme, že viete ako sa kompiluje jadro, ak potrebujete pomoc, nájdete ju na stránke Kernel Build HOWTO.
Všetky možnosti jadra, ktoré ovplyvňujú program Firestarter sa nachádzajú v ponuke Device Drivers->Networking support. Ako prvé musíme povoliť nastavenie Networking support. Potom v podriadenej ponuke musíme povoliť nastavenia Networking options->Network packet filtering, Network packet filtering. Nakoniec v podriadenej ponuke IP: Netfilter configuration, v ktorej sa nachádza dlhý zoznam modulov Netfilter, máte na výber, či funkcie do jadra začleníte vo forme modulov alebo ich staticky zabudujete do jadra. Odporúčame aby ste funkcie kopilovali ako moduly ak nechcete vytvoriť jadro bez podpory modulov. Použitie modulov šetrí pamäť - ak modul nezapnete zostane viac pamäte voľnej.
Skoršie verzie programu Firestarter (menšie ako 1.0) vypisujú chybové hlásenia do konzoly ak ste skompilovali funkcie do jadra staticky a nie ako moduly. Avšak ak sú všetky funkcie prítomné v jadre, Firestarter bude pracovať správne aj napriek chybovým hláseniam.
Všetky fukcie Netfilter však nie sú portrebné, aj keď mi ich odporúčame povoliť ako moduly, aby ste ich mohli zapnúť, ak ich bude neskoršia verzia programu Firestarter potrebovať, a ak ich povolíte nič sa nestane. Prinajmenšom musia byť povolené funkcie Connection tracking, IP tables, Connection state match support, Connection tracking match support, Packet filtering, Full NAT a LOG target support. Ak program nájde v jadre ďalšie funkcie, môže to rozšíriť funkcionalitu programu Firestarter. Jediné funkcie, ktoré neodporúčame povoliť sú ipchains support a ipfwadm support.
(*) Odporúčame, aby ste povolili všetko okrem ipchains support a ipfwadm support
Firestarter 1.0 nepodporuje konfiguráciu VPN bez ručného nastavenia. Podpora VPN v programe Firestarter je plánovaná od verzie 1.1.
Skopírujte riadky určené pre vami použité VPN riešenie, ktoré sú vypísané nižšie, a vložte ich do súboru /etc/firestarter/user-pre na počítači kde je spustený firewall. Reštartujte firewall, napríklad spustením príkazu "/etc/firestarter/firewall.sh start", aby sa načítalo nové nastavenie.
Microsoft VPN je často používané VPN riešenie pre počítače s operačným systémom Microsoft Windows, ktoré je založené na protokole PPTP. Nasledujúce riadky umožnia PPTP klientom z lokálnej siete spravovanej programom Firestarter pripojenie k vzdialenému serveru:
# Presmerovanie PPTP VPN komunikácie klientom
$IPT -A FORWARD -i $IF -o $INIF -p tcp --dport 1723 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $IF -o $INIF -p 47 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $INIF -o $IF -p 47 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Ak chcete prevádzkovať PPTP VPN server na stanici vo vnútornej sieti a umožniť vzdialeným klientom, aby sa k nemu pripojili, firewall musí presmerovať požiadavky na tento server:
# Presmerovanie PPTP VPN pripojení na vnútorný server
SERVER=192.168.0.100 # Adresa VPN servera vo vnútornej sieti
$IPT -A FORWARD -i $IF -o $INIF -p tcp --dport 1723 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -t nat -A PREROUTING -i $IF -p tcp --dport 1723 -j DNAT --to $SERVER
$IPT -A FORWARD -i $IF -o $INIF -p 47 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -t nat -A PREROUTING -i $IF -p 47 -j DNAT --to $SERVER
Všimnite si, že musíte zmeniť nastavenie premennej SERVER z hodnoty 192.168.0.100 na aktuálnu IP adresu vášho VPN servera.
OpenVPN je jednoduché viacplatformové VPN riešenie, ktoré má otvorený zdrojový kód. Ak chcete OpenVPN použiť na počítači, na ktorom je spustený Firestarter, komunikácia musí byť povolená na aj z virtuálneho rozhrania OpenVPN pomocou nasledujúcich riadkov:
# Povolí komunikáciu na OpenVPN rozhraní
$IPT -A INPUT -i tun+ -j ACCEPT
$IPT -A OUTPUT -o tun+ -j ACCEPT
OpenVPN nevyžaduje žiadnu ďalšiu konfiguráciu ak ho používate v lokálnej sieti.
Cisco, Nortel a ostatné IPSec VPN riešenia vyžadujú nasledujúce nastavenie:
# Presmerovanie komunikácie Cisco VPN klientom
$IPT -A FORWARD -i $IF -o $INIF -p udp --dport 500 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $IF -o $INIF -p tcp --dport 500 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $IF -o $INIF -p 50 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $INIF -o $IF -p 50 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Firestarter 1.0 spolupracuje s klientmi Cisco VPN bez akejkoľvek konfigurácie ak je na klientskej strane povolený tzv. Transparent Tunnelling (priesvitný tunel). V tomto režime klienti budú vkladať IPSec komunikáciu buď do TCP alebo do UDP paketov, čo je program Firestarter schopný akceptovať bez akejkoľvek ďalšej formy komunikácie.
Tunelling však nie je vždy možný, závisí to od verzie klienta aj od možností vzdialeného servera. V takom prípade je potrebné použiť predchádzajúce nastavenie.
Táto časť návodu obsahuje odpovede na často kladené otázky a tiež niekoľko tipov a trikov pre Firestarter.
Otázky:
Ak máte otázku, ktorá tu nie je? Kontaktujte nás!
Ak spustíte Firestarter bežným spôsobom, kliknutím na ikonu alebo zadaním príkazu do terminálu, systém si vyžiada heslo používateľa root (alebo vaše heslo ak používate sudo). Toto je však trochu obmedzujúce, najmä ak chcete mať program Firestarter počas celej doby, keď ste prihlásený. V takom prípade sa dá Firestarter spustiť na pozadí keď sa prihlasujete ako bežný používateľ bez vyžiadania hesla a minimalizuje sa do oblasti upozornení (obrázok vpravo).
Aby mohol bežný používateľ spustiť program Firestarter, používateľovi musíme prideliť ďalšie práva. Otvoríme súbor /etc/sudoers pomocou obľúbeného textového editora (v Ubuntu napríklad pomocou príkazu gksudo gedit /etc/sudoers) a pridáme na koniec tohto súboru nasledujúci riadok:
Poznámka: Používatelia systému Debian by mali v predchádzajúcom riadku cestu /usr/bin/firestarter nahradiť cestou /usr/sbin/firestarter.
V riadku stačí jednoducho nahradiť slovo username prihlasovacím menom používateľa pod ktorým ste prihlásený. Zadaný používateľ bude môcť odteraz spustiť Firestarter bez zadania hesla pomocou príkazu sudo firestarter.
Poznámka ohľadne bezpečnosti: Táto metóda vymení miestne zabezpečenie za pohodlie. Ak sa niekto dostane k vášmu prihlásenému účtu, bude môcť bez obmedzení meniť nastavenia firewallu. Táto metóda je však najprijateľnejšia, pretože nezdieľa heslo používateľa root vo viacužívateľskom prostredí. Zabezpečuje aj to aby ostatní používatelia Firestarter nemohli vôbec spustiť.
Po nastavení vyššie uvedených oprávnení, nastavíme systém tak, aby spustil Firestarter po prihlásení k vášmu účtu. Firestarter sa v takom prípade nahrá priamo do oblasti upozornení bez nutnosti zásahu používateľa, a hlavné rozhranie sa otvorí až po kliknutí na ikonu v tejto oblasti.
V prostredí GNOME:
Otvorte ponuku GNOME a vyberte Systém > Predvoľby > Startup Applications. Prepneme sa na záložku Programy pri štarte (obrázok v pravo).
Klikneme na tlačidlo Pridať a do poľa "Príkaz:" zadáme
sudo firestarter --start-hidden
Do poľa "Názov:" môžeme zadať "Firestarter" a klikneme na tlačidlo OK.
Ak už nechceme aby sa Firestarter spúšťal po prihlásení, stačí vymazať záznam v zozname programov Programy pri štarte.
V prostredí KDE:
Otvoríme terminála a spustíme nasledujúce príkazy:
echo -e '#'\!'/bin/sh\nsudo firestarter --start-hidden' > ~/.kde/Autostart/firestarter
chmod a+x ~/.kde/Autostart/firestarter
Firstarter sa teraz automaticky spustí po prihlásení do KDE. Ak chceme aby sa Firestarter po prihlásení nespúšťal, odstránime súbor ~/.kde/Autostart/firestarter.
Kdekoľvek v programe Firestarter ako súčasť pravidla politiky môžeme zadať číselnú IP adresu, mennú adresu čitateľnú pre ľudí alebo identifikátor siete. Táto posledná forma umožňuje aplikovať pravidlá na celý rozsah IP adries.
Rozsah sa zadáva buď v tvare adresa/maska_siete - napríklad 192.168.0.1/255.255.255.0, ale častejšie sa používa CIDR formát - napríklad 192.168.0.1/24.
CIDR adresa obsahuje štandardný číselný formát s bodkami s 32-bitovou IP adresou a príponu hovoriacu o počte bitov sieťovej masky. Môže to znieť zložito, aj to možno trochu zložité je, ale je to jediný spôsob, akým sa dajú IP adresy zoskupiť.
Ak náhodou nemáte po roke kalkulačku na vypočítanie IP rozsahu, existuje mnoho online IP kalkulačiek.
Príklady zápisu rozsahu CIDR | |||
CIDR formát | Prvá stanica | Posledná stanica | Počet staníc |
192.168.0.1/24 | 192.168.0.1 | 192.168.0.254 | 254 |
192.168.0.1/25 | 196.168.0.1 | 192.168.0.126 | 126 |
192.168.0.1/26 | 192.168.0.1 | 192.168.0.62 | 62 |
192.168.0.1/27 | 192.168.0.1 | 192.168.0.30 | 30 |
192.168.0.1/29 | 192.168.0.1 | 192.168.0.9 | 6 |
192.168.0.9/29 | 192.168.0.9 | 192.168.0.14 | 6 |
192.168.0.10/30 | 192.168.0.10 | 192.168.0.11 | 2 |
10.0.0.0/8 | 10.0.0.1 | 10.255.255.254 | 16777214 |
10.0.1.17/28 | 10.0.1.17 | 10.0.1.30 | 14 |
Zvyčajne nie. Keď Firestarter nainštalujete z binárneho balíka, firewall sa spustí ako služba. Stav služby môžete preveriť zadaním príkazu /etc/init.d/firestarter status. Výnimkou je distribúcia Gentoo, tu je potrebné inštalovať Firestarter zo zdrojového kódu a preto sa systémová služba spúšťajúca firewall nezaregistruje.
Viac informácií sa nachádza v časti Zotrvanie firewallu.
Jediný spôsob ako zistiť či firewall kompletne chráni systém, je vyskúšať to z vonkajšej strany. Nedá sa spustiť nástroj nmap alebo nejaký imý sieťový nástroj na testovanie firewallu na samotnom firewalle.
Existuje mnoho voľne dostupných stránok na Internete, ktoré umožňujú vzdialené skenovanie vášho systému. Tu je niekoľko, ktoré sú podľa nás vhodné a dokážu otestovať či je funkčná predvolená politika programu Firestarter:
Ak je niektorý port rozpoznaný ako uzatvorený Closed miesto toho aby bol skrytý Stealthed stánkou Shields Up, znamená to, že poskytovateľ internetových služieb pravdepodobne zablokuje port skôr ako sa testovací program dostane až k vášmu počítaču. Najčastejšie to bývajú porty ako 25 (SMTP) a 80 (HTTP), na ktorých poskytovateľ zakázal spúšťanie služieb.
Ak máte DSL modem alebo modem ku káblovej televízii, ktorý poskytuje službu Network Address Translation, je možné že test neodráža stav programu Firestarter ale stav modemu.
Firestarter je projekt s otvoreným zdrojovým kódom, a preto sú vítané príspevky od komunity. Ak chcete pomôcť s vývojom programu Firestarter, mali by ste začať prihlásením do mailovej diskusie Firestarter a prediskutovať s nami vaše návrhy. Našich hlavných vývojárov môžete kontaktovať aj priamo.
Ak nám chcete pomôcť, nemusíte byť len programátor. Hľadáme všetky druhy pomoci:
Ľudia, ktorí by chceli pracovať na programe ako programátori by mali sledovať našu vývojovú CVS verziu. Prístup do CVS sa udeľuje prostredníctvom GNOME CVS servera a je otvorený pre všetkých vývojárov GNOME.
Tak sa pridajte, užite si zábavu, získajte veľa skúseností a kúsok uznania zo strany komunity.
Firestarter je vyvíjaný za pomoci systému na správu verzií s názvom CVS. Tento systém umožňuje viacerým vývojárom na projekte pracovať súčasne. Skopírovaním kódu z CVS úložiska získate vývojovú verziu programu Firestarter. Použitie verzie zo systému CVS je určené pre testerov, vývojárov a používateľov, ktorí potrebujú mať prístup k najnovšiemu kódu.
CVS vydania programu Firestarter nie sú stabilnými vydaniami kvalitného kódu. Ak sa chcete získať poslednú stabilnú verziu, môžete ju stiahnuť ako skomprimovaný súbor s príponou .tar z domovskej stránky programu Firestarter. Neodporúčame používať CVS verziu ak sa nechcete zapojiť do vývoja a pomôcť nám program vylepšiť.
Kód programu Firestarter je udržiavaný pomocou CVS servera projektu GNOME. Ak si chcete skopírovať pracovnú verziu, zadajte nasledujúce príkazy do terminálu:
[bash]$ export CVSROOT=':pserver:anonymous@anoncvs.gnome.org:/cvs/gnome'
[bash]$ cvs login
(Logging in to anonymous@cvs.firestarter.sourceforge.net)
CVS password:
Jednoducho stlačte Enter bez zadávania hesla.
[bash]$ cvs -z3 checkout firestarter
Zdrojový kód sa stiahne do podpriečinka 'firestarter'. Ak ho chcete skompilovať, vojdite do podpriečinka 'firestarter' a zadajte nasledujúce príkazy:
[bash]$ ./autogen.sh --sysconfdir=/etc
[bash]$ make
Môžete si tiež stiahnuť modul gnome-common module cez CVS (cvs -z3 checkout gnome-common) a nainštalovať ho pred tým, ako spustíte autogen. Ak všetko prebehne dobre zadajte nasledujúci príkaz s právami používateľa root: [bash]$ make install
Ak už máte stiahnutý kód programu Firestarter z CVS servera, môžete zadať nasledujúce príkazy, ktoré aktualizujú vašu kópiu na aktuálnu verziu:
[bash]$ cd [copy_of_current_CVS_source_code]/
[bash]$ export CVSROOT=':pserver:anonymous@anoncvs.gnome.org:/cvs/gnome'
[bash]$ cvs login
(Logging in to anonymous@cvs.firestarter.sourceforge.net)
CVS password:
Znova stlačte Enter bez zadania hesla.
[bash]$ cvs -z3 update -Pd firestarter
Copyright © programu Firestarter 1998-2004 vlastní Tomas Junnonen a je vydaný pod licenciou GPL.
Copyright © návodu 2004 k programu Firestarter 1.0 vlastní Tomas Junnonen.
Copyright © návodu 2004 k programu 0.9.x vlastnia Tomas Junnonen a Paul Drain.
Obrázky na tejto stránke okrem loga programu Firestarter, je možné znova použiť s licenciou GNU Free Documentation License.
Tento program ie slobodný softvér; môžete ho šíriť a/alebo upravovať podľa podmienok licencie GNU General Public License tak ako bola publikovaná Free Software Foundation; buď vo verzii 2 tejto licencie, alebo (podľa vášho uváženie) ľubovoľnej novšej verzie.
Tento program je distribuovaný s vierou, že bude užitočný, ale BEZ AKEJKOĽVEK ZÁRUKY; neposkytujú sa ani odvodené záruky OBCHODOVATEĽNOSTI alebo VHODNOSTI PRE KONKRÉTNY ÚČEL. Viac informácií sa nachádza v licencii GNU General Public License.
Kópiu licencie GNU General Public License môžete získať na webovej stránke Free Software Foundation alebo napísaním na adresu
Free Software Foundation, Inc.
59 Temple Place - Suite 330
Boston, MA 02111-1307
USA