IPFilter
a (Írta: Nitsch József, 2010. január.) |
|||
| 1. sor: | 1. sor: | ||
| + | Írta: Nitsch József, 2010. január. |
||
| + | |||
Ez a szócikk nem teljes, bárki folytassa nyugodtan! |
Ez a szócikk nem teljes, bárki folytassa nyugodtan! |
||
A lap jelenlegi, 2010. január 26., 14:18-kori változata
Írta: Nitsch József, 2010. január.
Ez a szócikk nem teljes, bárki folytassa nyugodtan!
Az IPFilter egy főként BSD-s program, amely tűzfal és NAT szabályok készítésére jó.
Az IPFilter program alapvetően FreeBSD, NetBSD, OpenBSD, SunOS operációs rendszerek-re készült, de elvben pl. Linux alatt is elérhető.
[szerkesztés] IPPool
Az ippool program az IPFilter program része. Egy olyan segédprogram, amely az IPF ”ip pool” alrendszerének kezelésére szolgál. Segítségével ezeket az ’ip csoportokat’ (ip pool) kezelhetjük egyszerűen.
Az IPFilter-t valószínűleg nem nagyon kell bemutatni senkinek, egy olyan programcsomag, amely tűzfal- valamint NAT-szolgáltatásokat nyújt. Segítségével tetszőleges tűzfalat építhetünk rendszerünk védelmére, valamint NAT szabályokat fogalmazhatunk meg.
Egy ’ip pool’ egy csoportba fogott IP címek együttese. Több IP-cím lefedésével készíthetünk ilyen, úgynevezett IP pool-okat. Ezeknek nevet adhatunk. Később ezeket a neveket felhasználhatjuk a tűzfal- vagy NAT- (Netwotk Address Translation) szabályok írásánál. Létező IP pool-okhoz tetszőlegesen adhatunk hozzá újabb IP-címeket, vagy ki is vehetjük őket a csoportból. Előfordulhat hogy anélkül alkalmazunk IP pool-okat, hogy tudnánk róla. Ugyanis ha valamilyen tűzfal- vagy NAT- szabályt nem egyetlen címre, hanem egy IP-cím tömbre alkalmazunk, akkor az már egy úgynevezett ’IP pool’. Ilyenkor persze nem használjuk ki az ippool eszköz számos előnyét.
Alkalmazási példák:
1. Mivel IP pool-ainkat elnevezhetjük, és ezekhez a nevesített csoportokhoz új elemeket adhatunk illetve vehetünk el, ezért segítségével adott IP-címet egyszerűen távolíthatunk mondjuk egy NAT csoportból. Vagy persze hozzá is adhatjuk. A nevesített IP pool-ok használatával szabályrendszereinket könnyen tudjuk új elemekre alkalmazni. Az új IP-címet csak hozzá kell adni ahhoz a csoporthoz amelyre a megfelelő szabályok már be vannak állítva.
2. NAT alkalmazásakor előfordul, hogy a belső hálózatunk túlnőtt azon, hogy egyetlen külső IP-cím elég legyen hozzá. Ez esetben egyetlen IP-cím helyett egy több IP-ből álló artományt használhatunk a helyi hálózat igényeink kielégítésére.
Használat:
A programot az ’ippool’ paranccsal használhatjuk.
A főbb funkciói:
- csoport létrehozása/ törlése,
- elem hozzáadása/törlése a csoporthoz/csoportból,
- konfigurációs file feldolgozása,
- statisztika kiírása.
Példák:
# ippool –l
A betöltött ip pool-okat listázhatjuk
# ippool –A –m VALAMI –o ipf –t pool
Ezzel egy új ip pool-t hozunk létre a kernelben, VALAMI névvel (’-m VALAMI’), -o kapcsolóval azt állítjuk be, hogy milyen szabályban kívánjuk alkalmazni. A –t pedig a létrehozott pool típusát határozza meg, jelen esetben ez egy ip pool lesz.
# ippool –a –m VALAMI –o ipf –i 192.168.100.200
Az előbb létrehozott csoporthoz hozzáadjuk a 192.168.100.200-as IP-ímű hosztot.
# ippool –r –m VALAMI –i 192.168.100.200
A 192.168.100.200-as IP-című hoszt eltávolítása a VALAMI nevű poolíból.
# ippool –R –m VALAMI
A VALAMI nevű ip pool eltávolítása.
