Next: 3.2 Palomuuri yksittäiseen koneeseen Up: 3 PALOMUURI Previous: 3 PALOMUURI Sisältö
Palomuurisääntöjä voidaan tehdä monella eri perusteella. Tyypilliset tavat on
suodattaa liikennettä porttinumeroiden, protokollien ja
lähde/kohdeosoitteiden perusteella. Kun tähän lisätään yhteyksien
tilojen tarkkailu, saadaan tehokas tilallinen palomuuri (SPI, Stateful Packet
Inspention).
Tilallinen palomuuri tarvitsee muutaman kernel modulin toimiakseen, jotta
FTP-protokolla ja IRC:n dcc toimivat ongelmitta. Modulit ladataan komennoilla
modprobe ip_conntrack_ftp ja modprobe ip_conntrack_irc.
Jos käytössä on NAT, tarvitaan vielä kaksi modulia, jotka ladataan komennoilla
modprobe ip_nat_ftp ja modprobe ip_nat_irc. Lisää
tiedostoon /etc/modules seuraavat rivit, jotta modulit
latautuvat myös seuraavassa käynnistyksessä:
ip_nat_ftp
ip_nat_irc
ip_conntrack_ftp
ip_conntrack_irc
Palomuuriskripti kannattaa tehdä /etc/init.d -hakemistoon esimerkiksi
firewall.sh -nimiseksi tiedostoksi. Skriptin omistajaksi kannattaa
laittaa root, jolla on oltava myös tiedoston suoritusoikeudet. Jotta skripti
ajetaan käynnistyksessä se on linkitettävä oikealle ajotasolle esim. komennolla
ln -s /etc/init.d/firewall.sh /etc/rc2.d/S20firewall
Jos palomuuriin tehdään muutoksia, on palomuuriskripti ajettava uudelleen
komennolla /etc/init.d/firewall.sh