<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /><title>Чёрные списки в Shorewall</title><link rel="stylesheet" href="html.css" type="text/css" /><meta name="generator" content="DocBook XSL Stylesheets V1.73.2" /></head><body><div class="article" lang="en" xml:lang="en"><div class="titlepage"><div><div><h2 class="title"><a id="id257527"></a>Чёрные списки в Shorewall</h2></div><div><div class="authorgroup"><div class="author"><h3 class="author"><span class="firstname">Tom</span> <span class="surname">Eastep</span></h3></div></div></div><div><p class="copyright">Copyright © 2002-2006 Thomas M. Eastep</p></div><div><p class="copyright">Copyright © 2007 Russian Translation: Grigory Mokhin</p></div><div><div class="legalnotice"><a id="id257917"></a><p>Этот документ разрешается копировать, распространять и/или изменять при выполнении условий лицензии GNU Free Documentation License версии 1.2 или более поздней, опубликованной Free Software Foundation; без неизменяемых разделов, без текста на верхней обложке, без текста на нижней обложке. Копия лицензии приведена по ссылке “<span class="quote"><a class="ulink" href="GnuCopyright.htm" target="_self">GNU Free Documentation License</a></span>”.</p></div></div><div><p class="pubdate">2008/12/15</p></div></div><hr /></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt><span class="section"><a href="#Intro">Введение</a></span></dt><dt><span class="section"><a href="#Static">Статические чёрные списки</a></span></dt><dt><span class="section"><a href="#Dynamic">Динамические чёрные списки</a></span></dt></dl></div><div class="section" lang="en" xml:lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a id="Intro"></a>Введение</h2></div></div></div><p>В Shorewall предусмотрены два вида чёрных списков, статические и динамические. Опция BLACKLISTNEWONLY в файле /etc/shorewall/shorewall.conf задаёт параметры фильтрации согласно этим спискам:</p><div class="orderedlist"><ol type="1"><li><p>BLACKLISTNEWONLY=No -- проверка осуществляется для всех входящих пакетов. Новые записи в чёрном списке позволяют прервать уже существующие соединения.</p></li><li><p>BLACKLISTNEWONLY=Yes -- проверка осуществляется только для новых запросов на установление соединения. Записи в чёрном списке не влияют на уже существующие соединения. На соответствие чёрному списку проверяется только адрес источника.</p></li></ol></div><div class="important" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Important</h3><p><span class="bold"><strong>На соответствие чёрному списку проверяется только адрес источника </strong></span>. Чёрные списки закрывают доступ только хостам, перечисленным в списке, но не закрывают доступ к самим этим хостам.</p></div><div class="important" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Important</h3><p><span class="bold"><strong>Динамические чёрные списки в Shorewall непригодны для случаев, когда список содержит тысячи адресов. Статические списки могут работать с большим числом адресов, но только при использовании наборов IP (ipset)</strong></span>. Без ipset большие чёрные списки будут загружаться слишком долго и заметно снизят производительность файрвола.</p></div></div><div class="section" lang="en" xml:lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a id="Static"></a>Статические чёрные списки</h2></div></div></div><p>Далее описаны параметры конфигурации статических чёрных списков в Shorewall:</p><div class="itemizedlist"><ul type="disc"><li><p>Пакеты с хостов из чёрного списка будут отбрасываться без уведомления (drop) или с уведомлением (reject), согласно параметру BLACKLIST_DISPOSITION из файла <a class="ulink" href="manpages/shorewall.conf.html" target="_self"><code class="filename">/etc/shorewall/shorewall.conf</code>.</a></p></li><li><p>Пакеты с хостов из чёрного списка будут заноситься в протокол с заданным уровнем syslog согласно параметру BLACKLIST_LOGLEVEL из файла <a class="ulink" href="manpages/shorewall.conf.html" target="_self"><code class="filename">/etc/shorewall/shorewall.conf</code></a>.</p></li><li><p>IP-адреса или подсети, которые требуется занести в чёрный список, указываются в файле <a class="ulink" href="manpages/shorewall-blacklist.html" target="_self"><code class="filename">/etc/shorewall/blacklist</code></a>. В этом файле можно также указать имена протоколов, номера портов или имена служб.</p></li><li><p>Интерфейсы, для которых входящие пакеты проверяются на соответствие чёрному списку, задаются с помощью опции “<span class="quote">blacklist</span>” в файле <a class="ulink" href="manpages/shorewall-interfaces.html" target="_self"><code class="filename">/etc/shorewall/interfaces</code></a>.</p></li><li><p>Чёрный список из файла <code class="filename">/etc/shorewall/blacklist</code> можно обновить командой “<span class="quote"><a class="ulink" href="starting_and_stopping_shorewall.htm" target="_self"><span class="command"><strong>shorewall refresh</strong></span></a></span>”.</p></li></ul></div><p>При наличии большого статического чёрного списка можно включить опцию DELAYBLACKLISTLOAD в файле shorewall.conf (начиная с Shorewall версии 2.2.0). Если DELAYBLACKLISTLOAD=Yes, то Shorewall будет загружать правила чёрного списка после установления соединений. Хотя при этом соединения с хостов из чёрного списка могут осуществляться в течение времени создания списка, эта опция позволяет существенно снизить время запрета соединений в ходе выполнения команд "shorewall [re]start".</p><p>Для определения статического чёрного списка в Shorewall начиная с версии 2.4.0 поддерживаются наборы IP, или <a class="ulink" href="ipsets.html" target="_self">ipsets</a>. Пример:</p><pre class="programlisting">#ADDRESS/SUBNET PROTOCOL PORT +Blacklistports[dst] +Blacklistnets[src,dst] +Blacklist[src,dst] #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE</pre><p>В этом примере задан ipset набора портов (portmap) <span class="emphasis"><em>Blacklistports</em></span> для запрета трафика на целевые порты, указанные в этом ipset. Есть также списки сетей - <span class="emphasis"><em>Blacklistnets</em></span> (типа <span class="emphasis"><em>nethash</em></span>) и адресов - <span class="emphasis"><em>Blacklist</em></span> (типа <span class="emphasis"><em>iphash</em></span>), закрывающие доступ из подсетей и с отдельных адресов. Обратите внимание, что указаны [src,dst], чтобы можно было связать отдельные записи наборов с другими portmap ipset и включить чёрные списки сочетаний ( <span class="emphasis"><em>адрес источника</em></span>, <span class="emphasis"><em>целевой порт</em></span>). Пример:</p><pre class="programlisting">ipset -N SMTP portmap --from 1 --to 31 ipset -A SMTP 25 ipset -A Blacklist 206.124.146.177 ipset -B Blacklist 206.124.146.177 -b SMTP</pre><p>При этом блокируется трафик SMTP с хоста 206.124.146.177.</p></div><div class="section" lang="en" xml:lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a id="Dynamic"></a>Динамические чёрные списки</h2></div></div></div><p>Динамические списки не имеют никаких параметров конфигурации, но настраиваются следующими командами /sbin/shorewall[-lite]:</p><div class="itemizedlist"><ul type="disc"><li><p>drop <span class="emphasis"><em><список IP-адресов></em></span> - пакеты с указанных IP-адресов будут отбрасываться файрволом без уведомления. </p></li><li><p>reject <span class="emphasis"><em><список IP-адресов></em></span> - пакеты с указанных IP-адресов будут отбрасываться файрволом с уведомлением. </p></li><li><p>allow <span class="emphasis"><em><список IP-адресов></em></span> - разрешить пакеты с хостов, ранее занесённых в чёрный список командами <span class="emphasis"><em>drop</em></span> или <span class="emphasis"><em>reject</em></span>. </p></li><li><p>save - сохранить конфигурацию динамического чёрного списка; она будет восстановлена автоматически при следующем перезапуске файрвола.</p></li><li><p>show dynamic - показать конфигурацию динамического чёрного списка.</p></li></ul></div><p>Начиная с Shorewall версии 3.2.0 Beta2 доступны следующие дополнительные команды:</p><div class="itemizedlist"><ul type="disc"><li><p>logdrop <span class="emphasis"><em><список IP-адресов></em></span> - пакеты с указанных IP-адресов будут заноситься в протокол и отбрасываться файрволом без уведомления. Уровень протокола задаётся опцией BLACKLIST_LOGLEVEL в ходе последнего [пере]запуска (по умолчанию - 'info', если опция BLACKLIST_LOGLEVEL не задана).</p></li><li><p>logreject <span class="emphasis"><em><список IP-адресов></em></span> - пакеты с указанных IP-адресов будут заноситься в протокол и отбрасываться файрволом с уведомлением. Уровень протокола задаётся опцией BLACKLIST_LOGLEVEL в ходе последнего [пере]запуска (по умолчанию - 'info', если опция BLACKLIST_LOGLEVEL не задана).</p></li></ul></div><p>Динамические чёрные списки не зависят от опции “<span class="quote">blacklist</span>” в файле <code class="filename">/etc/shorewall/interfaces</code>.</p><div class="example"><a id="Ignore"></a><p class="title"><b>Example 1. Игноpиpовать пакеты с двух IP-адресов</b></p><div class="example-contents"><pre class="programlisting"> <span class="command"><strong>shorewall[-lite] drop 192.0.2.124 192.0.2.125</strong></span></pre><p>При этом блокируется доступ с хостов 192.0.2.124 и 192.0.2.125</p></div></div><br class="example-break" /><div class="example"><a id="Allow"></a><p class="title"><b>Example 2. Разрешить пакеты с IP-адреса</b></p><div class="example-contents"><pre class="programlisting"> <span class="command"><strong>shorewall[-lite] allow 192.0.2.125</strong></span></pre><p>Разрешает трафик с 192.0.2.125.</p></div></div><br class="example-break" /></div></div></body></html>
