Firestarter - Sprievodca nastavením firewallu

Sprievodca nastavením firewallu programu Firestarter sa automaticky spustí ak ste program spustili prvý krát. Ak sa chcete do sprievodcu vrátiť neskôr, dá sa vyvolať prostredníctvom ponuky Firewall v hlavnom rozhraní programu. Všetky voľby, ktoré nastavíte pomocou sprievodcu sa však dajú zmeniť pomocou predvolieb programu.

Nastavenie sieťového zariadenia

Táto stránka sprievodcu slúži na nakonfigurovanie hlavného sieťového zariadenia; to je sieťové zariadenie, cez ktoré sa pripájate na Internet.

Sprievodca automaticky vyhľadá všetky zariadenia, ktoré sa nachádzajú v počítači. Vo všeobecnosti budete používať buď pppxx alebo ethxx zariadenie, ak nemáte nejaký špeciálny hardvér. ppp je priradené k zariadeniam, ktoré sa pripájajú k telefónnej linke, zatiaľ čo eth je normálna sieťová karta pre drôtové pripojenie.

Pri niektorých modemoch je potrebné zvoliť ppp0 ako ich zariadenie, aj keď je tiež k dispozícii voľba eth0. Je to preto, lebo poskytovateľ internetových služieb používa protokol PPPoE. Ak vidíte v zozname ppp zariadenie a vy nemáte modem, pravdepodobne ho musíte vybrať ako sieťové zariadenie.

Ďalej sú k dispozícii nasledujúce dve možnosti:

• Spustiť firewall po nadviazaní vytáčaného spojenia
  Ak máte zariadenie pripojené cez telefónnu linku (PPP) alebo VPN rozhranie, ktoré sa po určitom čase preruší, odporúčame túto možnosť zaškrtnúť. Ak je možnosť povolená, Firestarter sa pokúsi nanovo načítať firewall hneď ako sa nadviaže nové spojenie.
• IP adresa je priradená cez DHCP
  Ak sú vaše sieťové nastavenia ako IP adresa počítača distribuované cez DHCP, odporúčame túto možnosť zaškrtnúť. Ak ste pripojený na Internet cez káblovú televíziu, DSL alebo cez priame drôtové pripojenie, mali by ste túto možnosť zaškrtnúť. Toto nastavenie nebude prekážať ani vtedy ak vo vašej sieti nie je DHCP server. Ak je zaškrtnutá táto možnosť, Firestarter nanovo načíta firewall vždy, keď sa zmenia sieťové nastavenia.

Nastavenie zdieľania internetového pripojenia

Zdieľanie internetového pripojenia umožňuje niektorým počítačom prístup do siete Internet cez bežné sieťové pripojenie. Toto pripojenie je vytvorené pomocou NAT (preklad sieťových adries). Pre počítače z vonkajšej siete sa celá vaša sieť javí ako jeden počítač s jednou IP adresou.

Aby NAT fungoval, musíte mať v počítači dve alebo viac sieťových zariadení. Ak máte iba jedno zariadenie, táto strana sprievodcu sa vám nezobrazí. NAT zapnete tak, že zo zoznamu zariadení vyberiete to, ku ktorému je pripojená lokálna sieť. Musíte vybrať iné zariadenie ako ste vybrali na predchádzajúcej stránke.

Ak chete získať viac informácií a dozvedieť sa aj o tom ako sa konfiguruje služba DHCP, môžete si prečítať časť Nastavenie DHCP servera. Vo všeobecnosti však NAT aj DHCP začnú fungovať, keď ich povolíte v sprievodcovi a nie je potrebná žiadna ďalšia konfigurácia.

Príprava na štart firewallu

Na poslednej strane sprievodcu máte možnosť buď zahodiť zmeny alebo ich prijať a uložiť. Ak zvolíte uloženie zmien, firewall sa automaticky naštartuje.

Po vykonaní tohto kroku Firestarter bude pracovať predvolenom bezpečnostnom režime a v budúcnosti zvyčajne nie je potrebné nič meniť. Predvolený režim implementuje prísnu politiku pre prichádzajúcu komunikáciu a zhovievavý postoj k odchádzajúcej komunikácii. Viac informácií o predvolenom režime a o tom ako ho zmeniť sa dozviete v časti Práca s politikou.

Firestarter - Stránka Stav

Stránka Stav je prvá stránka, ktorá sa zobrazí po spustení programu Firestarter. Táto stránka poskytuje prehľad o firewalle, a tiež umožňuje zmeniť stav firewallu.

Stav sa mení prostredníctvom tlačidiel na nástrojovej lište vo vrchnej časti stránky. Existujú tri stavy, v ktorých sa firewall môže nachádzať:

• Aktívny
  Firewall je zapnutý a pracuje.
• Vypnutý
  Firewall je zastavený. V tomto stave sa neuplatňuje bezpečnostná politika a je povolená všetka komunikácia.
• Uzamknutý
  Firewall je uzamknutý. Nie je povolená žiadna komunikácia dnu ani von.

Ďalšie tlačidlo na nástrojovej lište otvorí Predvoľby programu.

Stránka Stav je ďalej rozdelená do troch oddelených častí.

Stav firewallu

Časť Stav firewallu zobrazuje stav v akom sa firewall nachádza. Deje sa to prostredníctvom ikon (obrázok vpravo).

V tejto časti sa tiež zobrazuje počet udalostí firewallu, ktoré predstavujú počet zablokovaných pokusov o pripojenie od spustenia programu. Udalosti sú rozdelené podľa smeru pokusu o pripojenie. Ak pripojenie pochádza z počítača, na ktorom je spustený firewall alebo zo stanice v lokálnej sieti, je klasifikované ako odchádzajúce, inak je klasifikované ako prichádzajúce. Udalosť je potom označená ako kritická ak si Firestarter myslí, že je to pravá hrozba a mali by ste si na ňu dať pozor.

Viac informácií o rôznych druhoch udalostí sa dozviete v časti Stránka Udalosti.

Stav siete

Časť stránky o stave siete poskytuje prehľad o využití sieťových zdrojov. Obsahuje zoznam sieťových zariadení počítača s firewallom a niektoré údaje o prenesených dátach pre každá zariadenie.

Zobrazené sú nasledujúce údaje:

• Zariadenie
  Názov zariadenia pod akým zariadenie pozná operačný systém.
• Typ
  Úloha zariadenia vo firewalle, alebo všeobecný typ zariadenia ak Firestarter nerozlišuje medzi zariadeniami.
• Prijaté
  Množstvo prichádzajúcej komunikácie cez dané zariadenie v megabajtoch.
• Odoslané
  Množstvo odchádzajúcej komunikácie cez dané zariadenie v megabajtoch.
• Aktivita
  Aktuálna využívaná šírka pásma zariadenia.

Aktívne pripojenia

Aktívne pripojenia predstavujú priamy pohľad do samotného firewallu. Je to zoznam všetkých nadviazaných spojení, ktoré firewall sleduje v danom okamihu. Tieto spojenia zahŕňajú nie len vstupnú komunikáciu prichádzajúcu na firewall, ale aj vychádzajúce spojenia a programy, ktoré sú s nimi previazané. Naviac sa tu zobrazuje aj všetka komunikácia, ktorá cez firewall prechádza na iné počítače, s ktorými je zdieľané internetové pripojenie.

Pre každé sledované spojenie sú zaznamenávané tieto dáta:

• Zdroj
  Adresa stanice, ktorá nadviazala spojenie.
• Cieľ
  Cieľová stanica, s ktorou bolo nadviazané spojenie.
• Port
  Sieťový port na cieľovej stanici, na ktorý smeruje komunikácia.
• Služba
  Názov sieťovej služby, ktorá je previazaná s vyžiadaným portom.
• Program
  Názov programu, ktorý vytvoril pripojenie. Táto informácia je dostupná iba ak pripojenie na firewall prichádza z lokálnej siete.

Položky v aktívnych pripojeniach sú rozlíšené nasledujúcimi farbami:

• Čierna
  Práve aktívne spojenie
• Sivá
  Ukončené spojenie. Ukončené spojenie sa zo zozanamu odstráni za 10 sekúnd.

Ak použijete kontextovú ponuku asociovanú s položkami, ktorá sa vyvolá pravým tlačidlom myši, máte možnosť poslať dotaz na mennú adresu zdroja a cieľa spojenia.

Firestarter - Stránka Udalosti

Stránka Udalosti zobrazuje históriu pripojení, ktoré boli zablokované firewallom. S položkami ako takými nie je potrebné nič robiť. Na tejto stránke však môžeme vykonať mnoho akcií, ktoré sa vzťahujú na položky, ktoré spôsobili zablokovanie spojenia. Tieto akcie majú vplyv na to, ako sa firewall bude k podobnej komunikácii správať v budúcnosti.

Firestarter označuje jednotlivé položky farebne podľa toho aký veľký pozor by ste si mali na ne dať:

• Čierna
  Bežné pokus o pripojenie na náhodný port, ktoré bolo zablokované firewalom. Zvyčajne sa týchto položiek nemusíte obávať.
• Červená
  Možný pokus o prístup k neverejnej službe. Firestarter odporúča aby ste týmto položkám venovali zvýšenú pozornosť. Nemusí to znamenať, že sa niekto snaží nabúrať do vášho počítača, to musíte zvážiť vy.
• Sivá
  Pripojenia klasifikované ako neškodné. Tento typ pripojení predstavuje bežný typ komunikácie.

Zoznam udalostí

O zablokovanom pripojení sa zozbiera množstvo dát. V predvolenom stave sa zobrazuje iba niekoľko z nich, ďalšie však môžete zobraziť prostredníctvom ponuky Udalosti->Zobraziť stĺpec.

Stĺpce, ktoré môžeme zobraziť sú tieto:

• Čas
  Presný čas kedy udalosť nastala.
• Smer
  Firewall každé pripojenie klasifikuje buď ako prichádzajúce alebo odchádzajúce a tento stĺpec to zobrazuje. Detailnejšie vysvetlenie smeru sa nachádza v časti Práca s politikou.
• Vstup
  Sieťové zariadenie, cez ktoré komunikácia prišla.
• Výstup
  Sieťové zariadenie, cez ktoré sa snažila odísť.
• Port
  Cieľový port pripojenia.
• Zdroj
  IP alebo menná adresa počítača, z ktorý sa snažil pripojiť.
• Cieľ
  IP alebo menná adresa počítača, na ktorý smerovalo spojenie.
• Dĺžka
  Dĺžka zablokovaného paketu.
• ToS
  Parametre typu služby, ktoré boli nastavené na pakete.
• Protokol
  Sieťový protokol, ktorý spojenie použilo.
• Služba
  Názov služby, ku ktorej sa spojenie pokúšalo dostať.

Ak kliknete pravým tlačidlom myši na položku udalosti a z kontextovej ponuky vyberiete Hľadať menné adresy, zdrojová alebo cieľová IP adresa sa zmení na mennú adresu, čitateľnú pre ľudí.

Aktuálne zobrazený zoznam sa dá uložiť na disk vo formáte čitateľnom pre ľudí pomocou tlačidla Uložiť, ktoré sa nachádza na nástrojovej lište.

Tlačidlo Zmazať vymaže všetky zobrazené udalosti, zatiaľ čo tlačidlo Obnoviť načíta históriu firewallu z disku. Väčšina Linuxových distribúcií prepisuje tieto záznamy aby donekonečna nerástli, preto nie je potrebné tento súbor so záznamami vymazávať ručne. Ak obnovíte históriu, môže to trvať dosť dlhú dobu, preto je možné túto operáciu prerušiť pomocou tlačidla na nástrojovej lište.

Reagovanie na položky udalostí

Každá položka v zozname blokovaných spojení je prepojená s kontextovou ponuku, ktorú vyvoláme pomocou pravého tlačidla myši. Tieto akcie menia spôsob reakcie firewallu na podobné spojenie, keď znova taký prípad nastane. Akcie pracujú ako skratky pre narábanie s politikou systému, to čo v skutočnosti robia, je vytvorenie nových pravidiel na stránke Politika. V závislosti od typu udalosti sa prispôsobuje aj kontextová ponuka a sú zobrazované rozdielne akcie.

Akcie pre vstupné záznamy sú:

• Povoliť spojenia zo zdroja
  Táto akcia udelí zdroju právo pripojiť sa a vytvoriť pripojenie aké chce. Toto sa dá prirovnať k slepému dôverovaniu zdroju, preto by sa mala táto možnosť používať veľmi opatrne.
• Povoliť vstupnú službu pre každého
  Táto akcia umožní každému prístup ku službe, ku ktorej boli pripojenia doteraz blokované.
• Povoliť vstupnú službu pre zdroj
  Táto akcia umožní prístup k službe na požiadanie iba určitému zdroju. Toto je tiež známe ako skrývanie, ostatné stanice okrem zdroja nebudú ani tušiť, že služba existuje.

Akcie pre výstupné záznamy sú:

• Povoliť spojenia k cieľu
  Vybraním tejto akcie, udelíte každému právo pristupovať k vybranému zdroju. Toto je to isté ako keď na stránke politiky pridáte cieľ do zoznamu dôveryhodných staníc.
• Povoliť výstupnú službu pre každého
  Táto akcia umožní každému vytvoriť odchádzajúce spojenie k požadovanej službe, zaradí službu do zoznamu dôveryhodných služieb.
• Povoliť výstupnú službu pre zdroj
  Táto akcia povolí určitému zdroju vytvoriť na požiadanie odchádzajúce spojenie k službe. Ostatný klienti lokálnej siete túto službu nebudú môcť využiť.

Odcádzajúce položky sa iba zobrazia, ak máte prísnu výstupnú politiku.

Filtrovanie udalostí

Okrem akcií týkajúcich sa politiky sa v kontextovej ponuke pre položky udalostí nachádzajú ešte ďalšie dve položky, ktoré riadia samotný zoznam udalostí. Týmito položkami sú Zakázať udalosti zo zdroja a Zakázať udalosti na porte.

Ako názvy položiek napovedajú, tieto možnosti zrušia zobrazovanie udalostí pochádzajúcich od určitého zdroja alebo na určitom porte. Vybraním jednej z týchto možností dosiahnete, že sa udalosti spĺňajúce dané kritéria nebudú zobrazovať v zozname. Nemá to žiaden vplyv na to, či budú takéto udalosti blokované alebo nie.

Zoznam aktuálne filtrovaných zdrojov a portov sa dá nájsť v predvoľbách.

Firestarter - Stránka Politika

Podrobnejšie vysvetlenie politiky systému sa nachádza v časti Práca s politikou. Táto časť obsahuje návod ako používať stránku Politika rozhrania programu Firestarter v praxi.

Stránka Politika je rozdelená na dve časti - politiku vstupnej komunikácie a politiku výstupnej komunikácie. Prepínať sa medzi nimi môžete pomocou rozbaľovacieho zoznamu vo vrchnej časti stránky.

Každý z pohľadov obsahuje tri zoznamy skupín pravidiel. Pravidlo politiky predstavuje jeden záznam v jednom zo zoznamov. Nové pravidlo pridáme tak, že označíme skupinu, do ktorej budeme chcieť pravidlo pridať, kliknutím na príslušný zoznam. Potom klikneme na tlačidlo Pridať pravidlo na nástrojovej lište alebo použijeme kontextovú ponuku, ktorú vyvoláme pravým tlačidlom myši na príslušnom zozname. Pravidlo odstránime tak, že ho označíme kliknutím, a potom klikneme na tlačidlo Odstrániť pravidlo na nástrojovej lište alebo v kontextovej ponuke. Ak chceme existujúce pravidlo upraviť, stačí nad ním urobiť dvojklik alebo ho označiť a kliknúť na tlačidlo Upraviť pravidlo na nástrojovej lište alebo v kontextovej ponuke.

Všetky zmeny, ktoré urobíte na stránke Politiky je potrebné potvrdiť. Je to kvôli tomu aby ste nikdy nepridelili viac privilégií ako ste chceli, obzvlášť ak vytvárate viacero politických rozhodnutí, ktoré navzájom súvisia. Ak chcete aplikovať zmeny, stačí kliknúť na tlačidlo Aplikovať politiku na nástrojovej lište. Prostredníctvom predvolieb je tiež možné nastaviť, aby sa zmeny vykonané v politike aplikovali okamžite.

Skupina politiky vstupnej komunikácie

Vstupná politika riadi komunikáciu prichádzajúcu na firewall zo siete Internet a z lokálnej siete. Predvolená vstupná politika je kompletne vykrývajúca, to znamená, že nič neprejde ak to nie je explicitne povolené. Pravidlá, ktoré pridáte do skupín vstupnej politiky teda vytvárajú výnimky v tejto politike, ktoré vytvárajú priechody cez firewall, cez ktoré môže prejsť legitímna komunikácia.

Tri skupiny politiky sú rozmiestnené zhora nadol: Povoliť pripojenia zo stanice, Povoliť službu a Presmerovať službu.

Povoliť pripojenia zo stanice

Keď vytvárate nové pravidlo v skupine Povoliť pripojenia zo stanice, jediným parametrom, ktorý je potrebné zadať, je IP alebo menná adresa zdrojovej stanice. Ako názov napovedá, pridaním stanice do tejto skupiny ju označíte ako dôveryhodný zdroj a všetka komunikácia pochádzajúca od tohto zdroja bude v budúcnosti prepustená cez firewall.

Povoliť službu

Skupina Povoliť službu umožňuje oveľa jemnejšie riadenie prístupu. Pravidlá v tejto skupine majú dva parametre - službu a cieľ. Službu môžete vybrať dvoma spôsobmi - buď cez rozbaľovací zoznam preddefinovaných služieb alebo explicitným zadaním sieťového portu, ktorý služba používa. Následne sa program Firestarter pokúsi zistiť názov služby, ale používateľ môže názov zadať aj ručne.

Cieľom môže byť jedna z troch možností -  Ktokoľvek, klienti siete LAN alebo používateľom určená IP adresa, menná adresa alebo sieť. Možnosť ktokoľvek znamená presne to, že ktokoľvek resp. všetci môžu pristupovať k službe na požiadanie. Možnosť klienti LAN znamená, že službu môžu používať iba klienti pripojení do lokálnej siete. Používateľom definovaný cieľ, môže byť buď IP adresa, ktorá pozostáva zo štyroch čísel oddelených bodkami, menná adresa zrozumiteľná pre človeka, alebo celá sieť. Sieť je určená buď ako sieť/sieťova_masko v číselnom tvare oddelenom bodkami, alebo použitím zápisu CIDR Notation. V prípade, že zadáte iba samostatnú IP adresu, služba bude efektívne skrývaná a iba jeden cieľový počítač bude túto službu vidieť.

Presmerovať službu

Poslednou skupinou vstupnej politiky je skupina Presmerovať službu. Táto skupina je aktívna iba ak je zapnuté zdieľanie internetového pripojenia. Ak je zdieľanie povolené, celá skupina počítačov je z pohľadu vonkajšej siete viditeľná ako jeden záznam. Ak všetky počítače zdieľajú jednu verejnú IP adresu, za účelom poskytnutia verejných služieb staniciam v lokálnej sieti, firewall môže tiež fungovať ako prostredník medzi verejnými a súkromnými sieťami.

Rovnako ako pri predchádzajúcej skupine politiky, aj pravidlá tejto skupiny obsahujú dva parametre - službu a cieľ. Služba sa dá vybrať dvoma spôsobmi - buď pomocou rozbaľovacieho zoznamu s preddefinovanými službami alebo priamym zadaním čísla portu. Toto číslo predstavuje port, na ktorom bude firewall načúvať, ak dostane požiadavku, potom komunikáciu presmeruje priamo na cieľ. Cieľ je určený ako IP adresa počítača vo vnútornej sieti. Je to počítač, ktorý poskytuje aktuálnu službu. Pre tento počítač je možné zadať iný port ako ten, na ktorom načúva firewall, aj keď vo väčšine prípadov budú rovnaké. Ďalší spôsob použitia rôznych portov na firewalle je ten, že porty nie sú symetrické. To znamená že firewall načúva na celom rozsahu portov a potom komunikáciu presmeruje na jeden port počítača.

Skupina politiky výstupnej komunikácie

Výstupná politika riadi komunikáciu odchádzajúcu z firewallu do siete Internet alebo k staniciam v sieti LAN. Predvolená výstupná politika je zhovievavá. To znamená, že vy a ďalší klienti pripojení do lokálnej siete môžu bez obmedzení prehliadať webové stránky, čítať emaily, atď. Je tiež možné zmeniť politiku do prísneho režimu podobnému tomu vo vstupnej politike. Režimy sa dajú prepínať pomocou prepínacích tlačidiel vo vrchnej časti pohľadu výstupnej politiky.

Zhovievavý režim

Režim označený ako Všetko povoliť, vytvárať zoznam zakázaných pripojení predstavuje spôsob chovania programu Firestarter, v ktorom sa spustí. Ako je vysvetlené vyššie, odchádzajúca komunikácia nie je v tomto režime obmedzovaná a vaše sieťové aplikácie budú fungovať normálne. Skupiny politiky vo výstupnej politike budú v tomto režime slúžiť na vytváranie zoznamu zakázaných pripojení. To znamená, že stanovujú obmedzenia, pre inak zhovievavú politiku.

Prvá skupina politiky, Odmietnuť pripojenia ku stanici, je efektívny tzv. čierny zoznam. Pravidlá v tejto skupine majú len jeden parameter obsahujúci IP adresu alebo platnú mennú adresu. Stanice zobrazené v tejto skupine sú označené ako obmedzené. Jeden z možných spôsobov použitia tejto skupiny politiky je zadávanie zoznamu zakázaných webových stránok, nikto z lokálnej siete ale ani zo samotnej stanice, na ktorej je spustený firewall, nebude môcť zobraziť tieto stránky v prehliadači.

Skupina Odmietnuť pripojenia z LAN stanice pracuje ako čierna listina pre lokálne sieťové stanice. Žiadna stanica, ktorá sa bude v tomto zozname nachádzať, nebude mať možnosť pripojiť sa do siete Internet. To môže byť užitočné napríklad vtedy, ak chcete niekomu znemožniť prístup na server, ale nechcete zaviesť prísnu politiku pre ostatných klientov.

Posledná skupina Odmietnuť službu umožňuje oveľa jemnejšiu kontrolu výstupnej komunikácie. Pravidlá v tejto skupine obsahujú dva parametre - službu a cieľ. Služba sa vyberá rovnako ako pri vstupných pravidlách a cieľ môže byť jeden zo štyroch možností: ktokoľvek, stanica firewallu, klienti LAN a používateľom zadaná IP adresa, menná adresa alebo sieť. Pridaním pravidla do tejto skupiny zablokujete počítaču prístup k službe na požiadanie. Cieľ sa vyberá rovnako ako v skupine Povoliť službu vo vstupnej politike.

Prísny režim

Druhý režim výstupnej politiky je označený nápisom Všetko zakázať, vytvárať zoznam dovolených pripojení. Je to ekvivalent správania sa pri vstupnej politike. Nič nie je povolené, iba to čo explicitne povolíte vytvorením pravidla v jednej zo skupín. Tento režim poskytuje maximálnu ochranu, ale je tiež veľmi otravný, žiadna sieťová aplikácia nebude fungovať pokým pre ňu nevytvoríte pravidlo.

Ak prvýkrát Firestarter prepnete do tohto režimu, zbadáte, že sa nejaké pravidlá už nachádzajú v skupine Povoliť službu. Tieto pravidlá umožňujú získať k menným adresám IP adresy a prehliadať webové stránky. Pravidlá sú tu zahrnuté preto, aby ste si mohli zobraziť aspoň online pomocníka k programu. Ak ste si istý, že ich nechcete, môžete ich odstrániť.

Skupina Povoliť pripojenia ku stanici predstavuje tzv. biely zoznam cieľových staníc, s ktorými sa môžu všetci spojiť. Použitím tejto skupiny môžete napríklad zablokovať prístup na Internet okrem vypísaných stránok, toto môže byť užitočné napríklad ak počítač slúži ako infostánok alebo ho používame na nejaký špeciálny účel.

Skupina Povoliť pripojenia z LAN stanice povolí konkrétnym staniciam z lokálnej siete neobmedzený prístup na Internet.

Skupina Povoliť službu poskytuje jemnejšiu kontrolu výstupnej komunikácie. Je logickým opakom skupiny Odmietnuť službu v zhovievavom režime, a má tiež rovnaké parametre. Vytvorením pravidla v tejto skupine povolíte napríklad udeliť jednému počítaču výnimku pri použití inak zakázanej služby.

Firestarter - Predvoľby programu

Dialóg s predvoľbami programu Firestarter obsahu veľa nastavení, ktoré ovplyvňujú správanie grafického rozhrania programu a firewallu. Ak chcete vstúpiť do predvolieb, buď kliknite na tlačidlo na nástrojovej lište na stránke stav alebo z ponuky vyberte položku Upraviť->Predvoľby.

Predvoľby sú rozdelené do dvoch kategórií: nastavenia, ktoré menia správanie rozhrania a nastavenia, ktoré ovplyvňujú firewall.

Nastavenia rozhrania

Nastavenia rozhrania sú ďalej rozdelené do troch častí, všeobecné nastavenia, nastavenia pre stránku udalostí a nastavenia pre stránku politiky.

Všeobecné nastavenia rozhrania

Povoliť zobrazenie ikony v oblasti upozornení. Ak je táto možnosť povolená, Firestarter zobrazí svoju ikonu v oblasti upozornení. Ikona sa zobrazuje podľa toho, aký je stav firewallu podobne ako na stránke Stav. Keď nastane nová udalosť, ikona začne blikať. Po kliknutí na ikonu sa hlavné okno programu Firestarter skryje alebo znova objaví.

Po zatvorení okna minimalizovať do oblasti upozornení. Táto možnosť sa dá použiť iba spolu s predchádzajúcou možnosťou. Ak je povolená, tak po zatvorení hlavného okna programu sa program neukončí, len sa skryje a zostane spustený na pozadí. Toto správanie je podobné ako pri programoch na odosielanie rýchlych správ. Podstatou je aby ste nemuseli mať na ploche stále otvorené okno programu Firestarter, ale aby ste boli upozornený iba keď sa niečo stane.

Nastavenia stránky udalostí

Tieto nastavenie riadia správanie stránky Udalosti.

Vynechať nadpočetné záznamy. Ak je táto možnosť povolená, zo zoznamu blokovaných spojení na stránke Udalosti sa odfiltrujú rovnaké po sebe nasledujúce záznamy.

Vynechať záznamy ak cieľom nie je firewall. Ak je možnosť povolená, spôsobí to, že program porovná IP adresu a cieľ blokovaného spojenia. Ak sa nezhodujú, položka sa nezobrazí v zozname. Toto je v niektorých prípadoch užitočné. Napríklad ak ste zakázali broadcasty (odoslanie paketu všetkým), ale nechcete o tom dostávať správy.

Táto stránka tiež obsahuje dva zoznamy - stanice a porty, ktorých udalosti sú odfiltrované zo zoznamu blokovaných spojení. Keď pravým tlačítkom myši kliknete na položku na stránke udalostí a vyberiete Zakázať udalosti zo zdroja alebo na porte, položka s adresou stanice alebo portom sa pridá sem. Udalosti na portoch a adresách, ktoré sa tu nachádzajú sa nezaznamenávajú ani do súboru so záznamami, narozdiel od predchádzajúcich dvoch možností, ktoré udalosti skrývajú iba pri zobrazení.

Nastavenia firewallu

Nastavenia firewallu riadia niektoré pokročilejšie funkcie firewallu, umožňujú však zmeniť aj nastavenia, ktoré ste nastavili pomocou sprievodcu firewallom.

Všeobecné nastavenia firewallu

Spustiť/reštartovať firewall pri štarte programu. Ak zaškrtnete túto možnosť, Firestarter nanovo načíta nastavenie firewallu, pri štarte grafického rozhrania programu.

Spustiť/reštartovať firewall po nadviazaní vytáčaného spojenia. Táto možnosť pridá službu firewallu do zoznamu programov, ktoré sa spusti po nadviazaní vytáčaného spojenia. To zaistí, že firewall sa správne reštartuje keď je počítaču pridelená nová IP adresa.

Spustiť/reštartovať firewall po obnovení zapožičania adresy cez DHCP. Táto možnosť spôsobí, že sa firewall reštartuje, keď vám DHCP server poskytovateľa pridelí novú IP adresu.

Nastavenia siete

Nastavenia závisia od nastavenia siete. Umožňujú nastaviť sieťové zariadenie pripojené k Internetu a k vnútornej sieti, ak ste do nej pripojený. Všetky sieťové zariadenia v počítači sa automaticky vyhľadajú, vám stačí iba vybrať jedno z rozbaľovacieho zoznamu.

Povoliť zdieľanie internetového pripojenia. Táto voľba umožňuje pripojenie do siete Internet s ostatnými stanicami lokálnej siete. Viac informácií sa dozviete v časti Zdieľanie internetového pripojenia.

Povoliť DHCP pre lokálnu sieť. DHCP je sieťová služba, ktorá umožňuje automatickú distribúciu sieťových nastavení do počítačov v lokálnej sieti. Detailnejšie informácie o konfigurovaní DHCP služby sa nachádza v časti Nastavenie DHCP servera.

Nastavenia ICMP filtrovania

ICMP pakety predstavujú špeciálny druh komunikácie, ktorú často využívajú sieťové nástroje ako napríklad ping (požiadavka na echo) a traceroute (tasovanie).

V predvolenom stave Firestarter povoľuje ICMP komunikáciu, aj keď je trochu brzdí aby predišiel nadmernej záplave požiadaviek alebo útokom spôsobujúcich nedostupnosť služby - tzv. Denial of Service. Povolením ICMP filtrovanie môžete zablokovať tieto služby úplne. Všimnite si, že keď zablokujete určité ICMP typy, nebudete ich môcť používať ani vy.

Firestarter umožňuje riadiť nasledujúce ICMP typy:

• Požiadavka na echo a odpoveď na požiadavku echo
  Používa sa pri sieťovom nástroji ping, ale tiež ich používajú sieťové hry a ostatné programy. Ping môže byť súčasťou rôznych sieťových útokov a môže slúžiť na zhromažďovaní informácií.
• Časové pečiatky
  Časové pečiatky používajú internetové brány aby mohli posúdiť, ako dlho majú paket určený pre danú stanicu držať aktívny, kým ho zahodia. Používatelia domácej lokálnej siete by nemali filtrovať požiadavky na časové razítka, pretože sa bežne používajú na spravovanie štatistík sledujúcich a udržiavajúcich priepustnosť siete.
• Trasovanie a MS trasovanie
  Tento ICMP typ sa používa na nájdenie cesty z jednej siete do druhej. Je to užitočné pre konfiguráciu sietí pre tzv. Quality of Service (využíva sa napríklad pri hlasovom prenose) ale tiež na detekciu sieťových odpadlíkov. Microsoft trasovanie sa dá bezpečne filtrovať ak vy (alebo poskytovateľ pripojenia) nepoužíva Microsoft DNS servery.
• Nedostupný
  Niekedy sa používa pri tzv. Fingerprinting útoku, správy "nedostupný" sú odosielané ak cieľová stanica neodpovedá na požiadavku odoslanú z vášho počítača. Požiadavky "nedostupné" by ste nemali filtrovať ak na počítači nepoužívate DMZ služby.
• Maskovanie adresy
  Nepoužíva sa od verzie Linux 2.2, tieto požiadavky môžete filtrovať ak vo vnútornej sieti nie sú veľmi staré počítače.
• Presmerovanie
  Používa sa pri komunikácii medzi sieťami, presmerovanie je užitočné ak sú siete pripojené na rôznych miestach (napríklad v iných krajinách) a sú prepojené cez VPN alebo iné sieťové služby. V takom prípade brány môžu presmerovať prichádzajúce pakety, ktoré ich informujú, že cieľová stanica je v rovnakej logickej sieti, a preto by mali byť presmerované. Ak nie ste v takejto situácii, môžete takéto pakety filtrovať.
• Tlmenie zdroja
  Nepoužíva sa od verzie Linux 2.2, tieto požiadavky môžete filtrovať ak vo vnútornej sieti nemáte počítače s komerčným systémom UNIX, ktorý je na ne schopný reagovať.

Nastavenia ToS filtrovania

Filtrovanie podľa typu služby - Type of Service umožňuje firewallu v niektorých prípadoch zvýšiť priepustnosť a rýchlosť reagovania pre vybrané aplikácie. Funguje to na základe zmeny priority komunikácie. Zmena priorít typu služby vyžaduje podporu zo strany siete ku ktorej sa pripájate, v praxi je to oblasť, na ktorej to funguje, obmedzená na lokálne siete.

Firestarter môže uprednostniť komunikáciu typickú pre úlohy na pracovných staniciach alebo serveroch. Tiež môže uprednostniť komunikáciu z aplikácií bežiacich na vzdialenom X Window systéme. Pre vybraný typ úloh môže byť maximalizovaná buď priestupnosť, spoľahlivosť alebo interaktivita.

Pokročilé nastavenia

Pokročilé nastavenia sú určené hlavne pre skúsenejších používateľov.

Preferovaná metóda odmietnutia paketov. Firestarter môže buď odmietnuť alebo zahadzovať spojenia, ktoré nie sú povolené bezpečnostnou politikou. Ak firewall odmietne spojenie, odošle chybový paket zdroju, ktorý hovorí, že pripojenie bolo zakázané. Pri zahodení spojenia sa neodošle nič. V takom prípade zdroj zakázaného spojenia nebude nič vedieť, v niektorých prípadoch dokonca nebude môcť ani posúdiť, či na IP adrese firewallu je vôbec počítač. Vzhľadom k tomu, žr odmietanie pripojenia umožňuje vzdialeným stranám mapovať sieťové služby, a tiež znižovať  šírku pásma, odporúčame ponechať predvolené správanie, ktoré spojenia potichu zahadzuje.

Blokovať vyslania všetkým. Táto možnosť blokuje komunikáciu s cieľovou alebo zdrojovou adresou, ktorá je označená buď ako tzv. globálny alebo lokálny broadcast (takýto paket je určený všetkým staniciam v sieti).

Firestarter - Nastavenie zdieľania internetového pripojenia

Firestarter umožňuje zdieľať internetové pripojenie s počítačmi v lokálnej sieti. Toto zdieľanie je vytvorené pomocou techniky, ktorá sa volá Network Address Translation alebo skrátene NAT (preklad sieťových adries). Z pohľadu vonkajšej siete sa celé zoskupenie počítačov javí ako jeden počítač s jednou adresou.

Ak chcete vytvoriť zdieľanie internetového pripojenia, musí te mať aspoň dve sieťové zariadenia na počítači, na ktorom bude firewall. Ak je lokálna sieť správne zostavená, povolenie zdieľania internetového pripojenia sa veľmi jednoducho nastaví zaškrtnutím možnosti buď cez sprievodcu nastavením firewallu alebo cez predvoľby programu.

Fyzické zapojenie a nastavenie sieťových zariadení

Sharing a connection with a local network

Procedúra nastavenie siete, ktorá používa zdieľanie pripojenia, je v podstate rovnaká či už máte dva počítače alebo zložitú sieť s rozbočovačmi alebo prepínačmi, ku ktorým je pripojených mnoho počítačov. V našom príklade použijeme ako zariadenie cez ktoré je pripojený Internet bežnú sieťovú kartu, ale funguje to rovnako aj keď použijeme modem alebo ISDN.

Počítač fungujúci ako firewall/brána je pripojený k sieti Internet musí mať aspoň dve sieťové karty a každá stanica v lokálnej sieti musí mať po jednej.

Prvá sieťová karta vo firewalle, predstavuje vonkajšie rozhranie a je fyzicky pripojená k sieti Internet. Táto karta sa väčšinou automaticky nakonfiguruje cez DHCP. Druhá sieťová karta vo firewalle, predstavuje vnútorné rozhranie a je fyzicky pripojená k druhému počítaču cez tzv. krížený kábel ak je kábel pripojený priamo k druhému počítaču alebo bežným káblom ak máte rozbočovač alebo prepínač.

Sharing a connection with a single computer

Vnútorné rozhranie firewallu vyžaduje ručné nastavenie. Existuje mnoho spôsobov akým sa dá nastaviť sieťové rozhranie, ktoré závisia od použitej distribúcie Linuxu. Fedora a Red Hat Linux sa dodávajú s jednoduchým nástrojom pre príkazový riadok s názvom netconfig a so sofistikovanejším grafickým nástrojom s názvom system-config-network. Nástroj system-config-network pracuje lepšie s viacerými sieťovými kartami v jednom počítači, preto ho odporúčame vyskúšať. Ostatné distribúcie obsahujú vlastné konfiguračné nástroje, napríklad v SuSE môžete použiť program Yast.

Nezáleží na tom ako sa rozhodnete nastaviť sieťové karty. Môžete použíť napríklad takéto nastavenie:

Pre vonkajšie zariadenie (zvyšajne eth0):

• Zapneme dynamickú IP konfiguráciu (DHCP)
• To je všetko. O nič iné sa nemusíme starať.

Poznámka prekladateľa: v praxi to nie vždy takto jednoducho funguje, niekedy vám poskytovateľ internetových služieb, pridelí celý rad nastavení, ktoré je potrebné ručne. Nastavenie prebieha rovnako ako to, ktoré je popísané nižšie v časti Ručná konfigurácia klientov.

Vnútorné rozhranie (zvyčajne eth1):

• Vypneme dynamickú IP konfiguráciu
• IP adresa: 192.168.0.1
• Sieťová maska: 255.255.255.0
• Predvolená brána (IP): <ponecháme prázdne>

Zmeny, ktoré vykonáte sa prejavia až po reštarte počítača, alebo stačí ak reštartujete sieťové služby (vo väčšine distribúcií stačí ak spustíte príkaz "/etc/init.d/network restart").

Konfigurácia klientov

Existujú dva spôsoby ako nakonfigurovať klientské počítače. Elegantnejší a z dlhodobého hľadiska jednoduchší spôsob je spustiť službu DHCP na firewalle. DHCP server distribuuje sieťové nastavenia ako IP adresa počítača, predvolená brána, adresy DNS serverov, atď. počas behu všetkým klientom. Miesto použitia DHCP servera môžeme ešte každú stanicu nastaviť ručne.

Službu DHCP zapneme jednoduchým zaškrtnutím možnosti v programe Firestarter. Viac informácií o službe a o tom, ako sa konfiguruje, sa nachádza v časti nastavenie DHCP servera.

Ak používame DHCP, na klientoch stačí nastaviť aby použili dynamickú IP konfiguráciu. Žiadne ďalšie nastavenia nemusíme meniť.

Ručná konfigurácia klientov

Ak nechcete používať službu DHCP, nastavte sieťové zariadenia klientov podľa nasledujúcich pokynov:

• Vypnite dynamickú IP konfiguráciu
• IP adresa: od 192.168.0.2 do 192.168.0.254, každému počítaču nastavte inú IP adresu - žiadne dva počítače nesmú mať rovnakú adresu
• Sieťová maska: 255.255.255.0
• Predvolená brána (IP): 192.168.0.1
• Hlavný DNS server: sem nastavte rovnakú adresu DNS servera akú používa firewall. Správne nastavenie nájdete v súbore /etc/resolv.conf na počítači, na ktorom je spustený firewall.

Reštartujte sieťové služby.

Testovanie nastavenia

Počítače by teraz maili byť pripojené a nastavené hardvéru by malo byť hotové. Ak chcete otestovať, či je všetko ok, skúste urobiť ping bránu z každého klientského počítača a naopak.

Zadajte nasledujúci príkaz na počítači, na ktorom beží firewall, aby ste zistili či má brána spojenie s klientom:

V prípade použitia DHCP, sa IP adresy môžu pridelovať náhodne

Ak to nefunguje, problém je buď v hardvéri alebo v sieťovom nastavení. Častou chybou je, že je zle nastavená predvolená brána, preto ju ešte raz skontrolujte.

Ak je nastavenie správne musí platiť:

• Počítač, na ktorom je spustený firewall, sa vie pripojiť do siete Internet
• Klienti a firewall si vedia navzájom poslať echo pomocou nástroja ping
• Klienti sa vedia pripojiť do siete Internet ak je v programe Firestarter povolená možnosť Povoliť zdieľanie internetového pripojenia.

Firestarter - Nastavenie DHCP servera

DHCP je sieťový protokol, ktorý okrem iného môže dynamicky distribuovať IP adresy a ostatné sieťové nastavenia do počítačov. Ak DHCP použijete spolu so zdieľaním internetového pripojenia v programe Firestarter, nebude musieť nastavovať TCP/IP nastavenia na každom počítači v lokálnej sieti zvlášť. Ak používate DHCP a chcete do siete pripojiť nový počítač, potom ho stačí iba pripojiť, a nemusíte nič nastavovať.

Ak je DHCP služba povolená v programe Firestarter a DHCP server je spustený na počítači s firewallom, potom tento počítač cez DHCP systém požičiava adresy klientským počítačom. Pôžička poskytne klientovi všetky potrebné informácie, aby sa vedel pripojiť do siete. Tieto informácie obsahujú jedinečnú IP adresu, ktorá je pre každý klientský počítač iná, adresu predvolenej brány, masku siete a adresy používaných DNS serverov. DHCP pôžička sa dá chápať ako dohoda medzi serverom a klientom, ktorá platí obmedzený čas. 

Zapnutie služby DHCP

Služba DHCP sa dá nastaviť pomocou sprievodcu nastavením firewallu alebo v predvoľbách programu. Zaškrtnutím možnosti "Povoliť DHCP pre lokálnu sieť" na obrazovke pre zdieľanie internetového pripojenia a služba sa aktivuje po dokončení sprievodcu alebo po uložení predvolieb. Všimnite si, že možnosť pre DHCP je dostupná iba ak je povolené zdieľanie internetového pripojenia a služba DHCP je poskytovaná iba počítačom pripojeným do lokálnej siete. Vďaka tomu program Firestarter nebude v konflikte s DHCP systémom, ktorý prevádzkuje poskytovateľ internetového pripojenia.

Niekoľko nastavení súvisiacich s DHCP serverom sa dá voliteľne nastaviť cez grafické rozhranie. Kliknutím na odkaz "Podrobnosti DHCP servera" sa zobrazia ďalšie možnosti. Pomocou nich sa dá zmeniť rozsah IP adries, ktoré sa budú klientom zapožičiavať. Stačí zmeniť najnižšiu a najvyššiu IP adresu rozsahu. V predvolenom stave Firestarter bude zapožočiavať IP adresy z rozsahu od 192.168.0.100 po 192.168.0.254. Rozsah IP adries môžete ľubovoľne meniť, ale rozsah musí spadať pod rozsah limitovaný nastavením sieťovej adresy a maskou siete, ktorá je priradená sieťovému adaptéru, ku ktorému je pripojená lokálna sieť.

Adresu DNS servera tiež môžeme nastaviť ľubovoľnú. Akceptovaná je bodkami oddelená číselná IP adresa aj menná adresa DNS servera. Je možné zadať aj viacero adries, ktoré oddelíte čiarkami. Môžete zadať aj špeciálnu hodnotu <dynamic>, v takom prípade sa adresy DNS serverov nastavia dynamicky podľa sieťových nastavení vonkajšieho rozhrania firewallu. Toto nastavenie je užítočné v prípade, že samotný počítač, na ktorom beží firewall, používa DHCP systém na získanie adries DNS serverov od poskytovateľa Internetu. V predvolenom stave sa DNS servery určujú dynamicky.

Vytvorenie vlastnej DHCP konfigurácie

Možnosť ponechania súčasného nastavenia DHCP je dostupná ak program Firestarter zistí, že sa nastavenie DHCP už nachádza v systéme. Táto možnosť má niekoľko použití. Ak ste pred tým ručne nastavili DHCP server vo vašom systéme, je možné program Firestarter použiť iba na riadenie serverových procesov bez toho aby menil konfiguráciu. Môžete tiež zobrať DHCP nastavenia vygenerované programom Firestarter a rozšíriť ich, s vedomím, že ich už program Firestarter nebude bez vášho súhlasu meniť. Existuje mnoho zaujímavých DHCP funkcií, ktoré môžete ručne nastaviť, vrátanie povoľovania počítačov na základe hardvérových MAC adries, prideľovania statických IP adries konkrétnym počítačom, rozdeľovania počítačov do rôznych tried, ktoré majú odlišnú konfiguráciu, poskytovania obrazov pre zavedenie systému pre sieťové terminály atď. Viac informácií sa dozviete v súbore dhcpd.conf a na man stránkach dhcpd .

Firestarter generuje DHCP konfiguráciu, ktorú ukladá do súboru /etc/dhcpd.conf.

Firestarter - Zotrvanie firewallu

Často kladenou otázkou je: "V akom stave je firewall, keď nie je spustený program Firestarter?" Odpoveďou je, že to závisí od toho, či ste Firestarter nainštalovali z binárneho balíka ako napríklad RPM alebo Deb. Firewall v takomto prípade je spustený stále (okrem prípadu vytáčaného spojenia) a nesúvisí s grafickým prostredím, dokonca ani po reštarte počítača. V takomto prípade je firewall zaregistrovaný ako systémová služba a môže byť obsluhovaný pomocou štandardných systémových služieb systému Linux a nástrojmi na správu tzv. runlevelov.

Ak ste program Firestarter nainštalovali skompilovaním zo zdrojového kódu a používate jednu z linuxových distribúcií Fedora, Red Hat, SuSE alebo Mandrake, máte možnosť nainštalovať systémový inicializačný skript. Návod nájdete v časti inštalácia. Ostatné distribúcie obsahujú svoje vlastné inicializačné skripty v binárnom balíku programu Firestarter, ak ho poskytujú. Po nainštalovaní a aktivovaní inicializačného skriptu, sa bude firewall spúšťať ako systémová služba.

Ak ste program Firestarter nainštalovali skompilovaním zo zdrojového kódu a nepoužili ste inicializačný skript, firewall je aktívny od momentu, kedy spustíte program Firestarter až do chvíle kedy reštartujete počítač. Pozrite si poznámky o ručnom spúšťaní firewallu zobrazené nižšie.

Okrem vyššie popísaného správania možnosti programu rozširuje aj tzv. DHCP démon. Keď sa sieťové zariadenie nastaví cez službu DHCP, a priradí sa mu IP adresa (buď pri prvom pripojení alebo pri obnovení zapožičania), firewall sa buď spustí alebo obnoví. Všimnite si, že to nastane aj vtedy, keď je firewall zastavený (buď cez program Firestarter alebo cez inicializačný skript). Táto služba je funguje ak používate buď program DHCPD alebo program dhclient (ktoré obsahuje väčšina moderných distribúcií). Keď používate DHCP nie je nevyhnutne nutné mať aj inicializačný skript.

Systémový inicializačný skript

Firestarter obsahuje na správu firewallu inicializačný skript v štýle SysV. Skript poskytuje nasledujúce funkcie:

• start: spustí firewall.
• stop: zastaví firewall.
• restart: reštartuje firewall.
• locks: uzamkne firewall.
• status: vypíše stav firewallu.

Stav firewallu si môžeme overiť aj na stránke Stav.

Funkcie je možné spustiť ak ich názov pridáte ako parameter za názov skriptu. Napríklad v distribúcii Red Hat / Mandrake môžete firewall spustiť zadaním príkazu /etc/init.d/firestarter start. Väčšina distribúcií obsahuje aj nástroje ako chkconfig, ktorými sa spravujú skripty služieb. Tieto nástroje umožňujú zmeniť poradie spúšťania skriptov a mnoho ďalších parametrov služieb.

Ručná správa firewallu z príkazového riadka

Program Firestarter akceptuje niekoľko príkazov na riadenie stavu firewallu, ktoré sa zadávajú v príkazovom ako parameter. AK do príkazového riadka zadáme príkaz firestarter --help, zobrazí sa kompletný zoznam možností. Ak ste program inštalovali cez RPM uistite sa, že spúšťate /usr/sbin/firestarter a nie /usr/bin/firestarter, ktorý je len jeho obalom.

Problémy pri vytáčanom pripojení

Firewall sa musí spustiť po tom, ako nadviažete spojenie s poskytovateľom služieb. V sprievodcovi nastavením firewallu programu Firestarter je možnosť automatického štartu firewallu po nadviazaní vytáčaného spojenia. Táto možnosť nefunguje so všetkými vytáčacími programami. Napríklad ak používate aplikáciu kppp, je potrebné aby ste nastavili program tak, aby spustil firewall po nadviazaní spojenia. Kppp obsahuje možnosť spustenia skriptu po nadviazaní spojenia, cez ktorú sa to dá jednoducho urobiť.

Firestarter - Požiadavky na jadro

Firestarter vyžaduje určité podsystémy jadra systému Linux boli v systéme aby mohol správne fungovať. Toto nie je problém v prípade poskytovateľov jadra, pretože jednotlivé distribúcie založené na systéme Linux tieto funkcie poskytujú. Ak si však chcete vytvoriť prispôsobené jadro, potom by vás mala táto časť zaujímať.

Obrázok: Odporúčaná konfigurácia Linuxového jadra verzie 2.6

Konfigurácia jadra

Tieto inštrukcie sú určené pre linuxové jadro verzie 2.6. Firestarter 0.9.x dokáže pracovať aj s jadrami verzie 2.4 a staršími, v takom prípade je základná konfigurácia rovnaká, ale nastavovanie jadra v konfigurátore sa môže mierne líšiť. Predpokladáme, že viete ako sa kompiluje jadro, ak potrebujete pomoc, nájdete ju na stránke Kernel Build HOWTO.

Všetky možnosti jadra, ktoré ovplyvňujú program Firestarter sa nachádzajú v ponuke Device Drivers->Networking support. Ako prvé musíme povoliť nastavenie Networking support. Potom v podriadenej ponuke musíme povoliť nastavenia Networking options->Network packet filtering, Network packet filtering. Nakoniec v podriadenej ponuke IP: Netfilter configuration, v ktorej sa nachádza dlhý zoznam modulov Netfilter, máte na výber, či funkcie do jadra začleníte vo forme modulov alebo ich staticky zabudujete do jadra. Odporúčame aby ste funkcie kopilovali ako moduly ak nechcete vytvoriť jadro bez podpory modulov. Použitie modulov šetrí pamäť - ak modul nezapnete zostane viac pamäte voľnej.

Skoršie verzie programu Firestarter (menšie ako 1.0) vypisujú chybové hlásenia do konzoly ak ste skompilovali funkcie do jadra staticky a nie ako moduly. Avšak ak sú všetky funkcie prítomné v jadre, Firestarter bude pracovať správne aj napriek chybovým hláseniam.

Všetky fukcie Netfilter však nie sú portrebné, aj keď mi ich odporúčame povoliť ako moduly, aby ste ich mohli zapnúť, ak ich bude neskoršia verzia programu Firestarter potrebovať, a ak ich povolíte nič sa nestane. Prinajmenšom musia byť povolené funkcie Connection tracking, IP tables, Connection state match support, Connection tracking match support, Packet filtering, Full NAT a LOG target support. Ak program nájde v jadre ďalšie funkcie, môže to rozšíriť funkcionalitu programu Firestarter. Jediné funkcie, ktoré neodporúčame povoliť sú ipchains support a ipfwadm support.

Prehľad potrebných funkcií jadra

• Device drivers
  • Networking support
    • [y] Networking support
    • Networking options
      • Network packet filtering
        • [y] Network packet filtering
        • IP: Netfilter Configuration (*)
          • [y/m] Connection tracking
          • [y/m] IP tables support
          • [y/m] Connection state match support
          • [y/m] Connection tracking match support
          • [y/m] Packet filtering
          • [y/m] Full NAT
          • [y/m] LOG target support

(*) Odporúčame, aby ste povolili všetko okrem ipchains support a ipfwadm support

Firestarter - VPN siete

Firestarter 1.0 nepodporuje konfiguráciu VPN bez ručného nastavenia. Podpora VPN v programe Firestarter je plánovaná od verzie 1.1.

Ako nastaviť podporu VPN v programe Firestarter 1.0

Skopírujte riadky určené pre vami použité VPN riešenie, ktoré sú vypísané nižšie, a vložte ich do súboru /etc/firestarter/user-pre na počítači kde je spustený firewall. Reštartujte firewall, napríklad spustením príkazu "/etc/firestarter/firewall.sh start", aby sa načítalo nové nastavenie.

Klienti Microsoft VPN

Microsoft VPN je často používané VPN riešenie pre počítače s operačným systémom Microsoft Windows, ktoré je založené na protokole PPTP. Nasledujúce riadky umožnia PPTP klientom z lokálnej siete spravovanej programom Firestarter pripojenie k vzdialenému serveru:

# Presmerovanie PPTP VPN komunikácie klientom
$IPT -A FORWARD -i $IF -o $INIF -p tcp --dport 1723 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $IF -o $INIF -p 47 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $INIF -o $IF -p 47 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Server pre Microsoft VPN

Ak chcete prevádzkovať  PPTP VPN server na stanici vo vnútornej sieti a umožniť vzdialeným klientom, aby sa k nemu pripojili, firewall musí presmerovať požiadavky na tento server:

# Presmerovanie PPTP VPN pripojení na vnútorný server
SERVER=192.168.0.100 # Adresa VPN servera vo vnútornej sieti

$IPT -A FORWARD -i $IF -o $INIF -p tcp --dport 1723 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -t nat -A PREROUTING -i $IF -p tcp --dport 1723 -j DNAT --to $SERVER
$IPT -A FORWARD -i $IF -o $INIF -p 47 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -t nat -A PREROUTING -i $IF -p 47 -j DNAT --to $SERVER 

Všimnite si, že musíte zmeniť nastavenie premennej SERVER z hodnoty 192.168.0.100 na aktuálnu IP adresu vášho VPN servera.

OpenVPN

OpenVPN je jednoduché viacplatformové VPN riešenie, ktoré má otvorený zdrojový kód. Ak chcete OpenVPN použiť na počítači, na ktorom je spustený Firestarter, komunikácia musí byť povolená na aj z virtuálneho rozhrania OpenVPN pomocou nasledujúcich riadkov:

# Povolí komunikáciu na OpenVPN rozhraní
$IPT -A INPUT -i tun+ -j ACCEPT
$IPT -A OUTPUT -o tun+ -j ACCEPT

OpenVPN nevyžaduje žiadnu ďalšiu konfiguráciu ak ho používate v lokálnej sieti.

Cisco VPN a klienti Nortel Contivity

Cisco, Nortel a ostatné IPSec VPN riešenia vyžadujú nasledujúce nastavenie:

# Presmerovanie komunikácie Cisco VPN klientom
$IPT -A FORWARD -i $IF -o $INIF -p udp --dport 500 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $IF -o $INIF -p tcp --dport 500 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $IF -o $INIF -p 50 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $INIF -o $IF -p 50 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 

Firestarter 1.0 spolupracuje s klientmi Cisco VPN bez akejkoľvek konfigurácie ak je na klientskej strane povolený tzv. Transparent Tunnelling (priesvitný tunel). V tomto režime klienti budú vkladať IPSec komunikáciu buď do TCP alebo do UDP paketov, čo je program Firestarter schopný akceptovať bez akejkoľvek ďalšej formy komunikácie.

Tunelling však nie je vždy možný, závisí to od verzie klienta aj od možností vzdialeného servera. V takom prípade je potrebné použiť predchádzajúce nastavenie.

Firestarter - O vývoji programu

Firestarter je projekt s otvoreným zdrojovým kódom, a preto sú vítané príspevky od komunity. Ak chcete pomôcť s vývojom programu Firestarter, mali by ste začať prihlásením do mailovej diskusie Firestarter a prediskutovať s nami vaše návrhy. Našich hlavných vývojárov môžete kontaktovať aj priamo.

Ak nám chcete pomôcť, nemusíte byť len programátor. Hľadáme všetky druhy pomoci:

• Dokumentácia
  Potrebujeme ľudí na dokončenie dokumentácie, vytváranie návodov, skúmanie pokročilých tém a podobne.
• Grafika
  Stále hľadáme nikoho kto by vyrobil nové ikony, logá, a obrázky pre webovú stránku. Ak máte takéto zručnosti a chuť pomôcť, môžete nás ihneď kontaktovať.
• Preklad
  Firestarter je preložený do asi 40 jazykov, ale preklady je potrebné udržiavať čo predstavuje veľa práce. Preklady sú koordinované pomocou systému GNOME Translation Project, ak chcete pomôcť, pripojte sa do Slovenského lokalizačného tímu.
• Vytváranie balíkov pre distribúcie
  Takmer všetky binárne balíky programu Firestarter sú vytvorené používateľmi. Ak používate distribúciu, ktorá ešte neponúka na inštaláciu tento program cez binárny balík, môžete ho sami vytvoriť a poslať nám ho.
• <Iné zručnosti>
  Vy sami viete najlepšie v čom ste dobrý a ako by ste nám mohli pomôcť.

Ľudia, ktorí by chceli pracovať na programe ako programátori by mali sledovať našu vývojovú CVS verziu. Prístup do CVS sa udeľuje prostredníctvom GNOME CVS servera a je otvorený pre všetkých vývojárov GNOME.

Tak sa pridajte, užite si zábavu, získajte veľa skúseností a kúsok uznania zo strany komunity.

Firestarter - Získanie vývojovej verzie cez CVS

Kód programu Firestarter je udržiavaný pomocou CVS servera projektu GNOME. Ak si chcete skopírovať pracovnú verziu, zadajte nasledujúce príkazy do terminálu:

[bash]$ export CVSROOT=':pserver:anonymous@anoncvs.gnome.org:/cvs/gnome'
[bash]$ cvs login
(Logging in to anonymous@cvs.firestarter.sourceforge.net)
CVS password:

Jednoducho stlačte Enter bez zadávania hesla.

 [bash]$ cvs -z3 checkout firestarter 

Zdrojový kód sa stiahne do podpriečinka 'firestarter'. Ak ho chcete skompilovať, vojdite do podpriečinka 'firestarter' a zadajte nasledujúce príkazy:

[bash]$ ./autogen.sh --sysconfdir=/etc
[bash]$ make

 [bash]$ make install

Získanie novej aktuálnej CVS verzie

Ak už máte stiahnutý kód programu Firestarter z CVS servera, môžete zadať nasledujúce príkazy, ktoré aktualizujú vašu kópiu na aktuálnu verziu:

[bash]$ cd [copy_of_current_CVS_source_code]/
[bash]$ export CVSROOT=':pserver:anonymous@anoncvs.gnome.org:/cvs/gnome'
[bash]$ cvs login
(Logging in to anonymous@cvs.firestarter.sourceforge.net)
CVS password:

Znova stlačte Enter bez zadania hesla.

[bash]$ cvs -z3 update -Pd firestarter