Firewall linux

Add filtered!


Đừng đóng <HTML> <BODY>. Squid sẽ làm điều đó.
Như bạn thấy, Squid có nhiều tiềm năng và rất hiệu quả để lọc và làm proxy. Thậm chí có thể dùng Squid proxy trên những mạng rất lớn. Cấu hình liệt kê ở trên hầu hết chỉ thích hợp cho mạng cỡ nhỏ từ 1-20 người dùng.

Nhưng kết hợp với bộ lọc packet (iptables) và gateway ứng dụng (Squid) có lẽ là giải pháp tốt nhất, ngay cả khi Squid nằm ở một nơi an toàn và không ai có thể truy cập từ bên ngoài. Chúng ta vẫn cần quan tâm đến các cuộc tấn công từ bên trong.

Giờ bạn phải cấu hình browser để dùng proxy. Gateway sẽ chặn những người dùng truy cập trực tiếp ra bên ngoài, chỉ cho phép dùng proxy.

Với Mozilla, có thể điều chỉnh trong Edit->Preferences->Advanced->Proxies.
Cũng có thể thực hiện trong suốt bằng iptables để chuyển tất cả lưu thông bên ngoài vào Squid proxy. Có thể thực hiện bằng cách thêm rule forwarding/prerouting trên gateway:

# iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to proxyhost:3128
# iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to proxyhost:3128

Nếu proxy đang chạy trên máy lọc packet--mặc dù không nên, dù vẫn phải dùng nếu bạn không có đủ máy--hãy dùng target REDIRECT thay vì DNAT (REDIRECT chuyển hướng packet sang localhost).
Chúng ta học được những điều sau:

Firewall có thể có rủi ro trong chính bản thân nó. Firewall cấu hình sai còn tệ hơn không có firewall.
Cách thiết lập gateway cơ bản và proxy trong suốt.
Chìa khoá tạo firewall tốt là biết những giao thức nào cho phép dùng.
Lưu lượng IP không chứa dữ liệu hợp lệ, vd các gói ICMP, có thể chứa những thông tin nguy hiểm.
Cách tránh SYN attack.
Lọc lưu thông HTTP bằng cách loại bỏ những hình ảnh không tốt và virus.
Kết hợp bộ lọc packet và gateway ứng dụng sẽ điều khiển tốt hơn.
Giờ nếu bạn thật sự cần, hãy tạo firewall phù hợp với bạn.