|
Ei linux/unix palvelin oo mikään laitteisto pohjanen palomuuri sehän on normaali serveri kone. Hardware palomuurit maksavat yleensä tuhansia euroja, jos kunnollisen haluaa. Tässä kuitenkin mini HOWTO siihen miten saat sen linux palomuurin toimimaan. Linux palomuuri on kuitenkin aina turvallisempi kuin windows muuri, koska Bill Gatesilla on aivan varmasti takaportti jokaiseen verkossa olevaan windows koneeseen. Ja windowssin päivityksien yhteydessähän lähetetään aina tiedot asennetuista ohjelmista + muut koneen tiedot microsoftille.
Näin mä lähtisin sitä linux palomuuria toteuttamaan.
Tarvitaan kone jossa on muistia mieluiten 128 Mt ja prossu olis hyvä olla pentiumi, muuten pakettien kääntö lähdekoodeista vie ikuisuuden. Koneessa pitää olla myös kaksi verkkokortti, (kannattaa hankkia sellaset jotka on yleisesti tunnettuja...) ei ole pakko olla saman laiset tai saman merkkiset.
Sitten valitaan distro mitä haluat käyttää. Suosittelen valitsemaan näistä jonkun:
Gentoo (Vaikea ja pitkä asennus joka palkitaan nopeudella ja vakaudella, oma suosikkini)
Slackware (ns. Tosimiesten distro =D)
Linux From Scratch (Nimi kertoo kaiken)
Damn Small (Pieni koko muistaakseni vähän vajaa 50 megatavua. Iso miinus debianin pakettien hallinnasta)
Mitään Red Hat, Mandrake, SuSE ja Debian tyyppisiä pullamössö distroja ei kannata edes harkita palomuuri koneeksi.
Eli joku noista Gentoo, Slackware, Linux From Scratch tai Damn Small asennetaan ilman X:ää eli siis XFreetä. Slackware on paras vaihtoehto (koska löytyy valmiita binary paketteja perus asennukseen) jos on todella hidas kone esim 486 ja 64 megaa muistia.
Sitten asennetaan Iptables joka siis vaatii 2.4.xx kernelin jos kerneli olisi vanhempi siis esim. 2.2.xx niin asennettaisiin Ipchains, joka on melkein sama ohjelma kun toi Iptables. No suosittelemissani distroissa on kaikissa 2.4.xx kerneli vakiona, joten Iptables on siis palomuurina. Kernelin voi joutua kääntämään uudestaan, jos Iptables herjaa, että jotain moduuleita ei löydy. Se ei ole mikään vaikea homma.
Sitten pitää miettiä tarkasti mitä palomuuriltaan haluaa. Kaksi perus vaihtoehtoa on, että pidetään oman lähiverkon käyttäjät sisällä tai sitten hakkerit ja madot ulkona.
Tässä pika guide Ip tablesin conffaamiseen. Näin pidetään ulkopuoliset poissa omasta verkosta ja palomuuri koneelta.
## Ladataan yhteyden suranta moduulit (ei tarvita, jos on käännetty kerneliin).
# insmod ip_conntrack
# insmod ip_conntrack_ftp
## Luodaan ketju joka estää uudet yhteydet, paitsi jos ne ovat lähtöisin sisäverkosta.
# iptables -N block
# iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A block -m state --state NEW -i ! eth0 -j ACCEPT
# iptables -A block -j DROP
## Hypätään edelliseen ketjuun INPUT ja FORWARD ketjuista.
# iptables -A INPUT -j block
# iptables -A FORWARD -j bloc
Netistä löytyy kyllä hyviä guideja Iptablesin confaamiseen, ja siihen löytyy myös muutama selkeä "käyttöliittymä" joka ei tarvi X:ää Shorewall ja sitten esim FireHOL.
Eli idea on se, että palomuuri kone juttelee suoraan internetin kanssa ja lähiverkon sisällä olevat koneet juttelevat vain palomuuri koneen kanssa.
Palomuuri kone ei tarvitse näyttöä conffaamisen jälkeen, paitsi jos sääntöjä halutaan muuttaa myöhemmin. Kone voi olla siis jossain kaapissa tai muussa piilossa, mistä se ei kuulu turhaa ääntä ja näy mitään ylimääräistä.
Kannattaa myös harkita windows koneiden vaihtamista linux koneisiin kokonaan. Ainakin kaikki on laillista ja ilmaista. Ja toimii aina nopeasti ja vakaasti.
|
