3.1 Yleistä palomuurista

Palomuurisääntöjä voidaan tehdä monella eri perusteella. Tyypilliset tavat on suodattaa liikennettä porttinumeroiden, protokollien ja lähde/kohdeosoitteiden perusteella. Kun tähän lisätään yhteyksien tilojen tarkkailu, saadaan tehokas tilallinen palomuuri (SPI, Stateful Packet Inspention).

Tilallinen palomuuri tarvitsee muutaman kernel modulin toimiakseen, jotta FTP-protokolla ja IRC:n dcc toimivat ongelmitta. Modulit ladataan komennoilla modprobe ip_conntrack_ftp ja modprobe ip_conntrack_irc. Jos käytössä on NAT, tarvitaan vielä kaksi modulia, jotka ladataan komennoilla modprobe ip_nat_ftp ja modprobe ip_nat_irc. Lisää tiedostoon /etc/modules seuraavat rivit, jotta modulit latautuvat myös seuraavassa käynnistyksessä:

ip_nat_ftp
ip_nat_irc
ip_conntrack_ftp
ip_conntrack_irc


Palomuuriskripti kannattaa tehdä /etc/init.d -hakemistoon esimerkiksi firewall.sh -nimiseksi tiedostoksi. Skriptin omistajaksi kannattaa laittaa root, jolla on oltava myös tiedoston suoritusoikeudet. Jotta skripti ajetaan käynnistyksessä se on linkitettävä oikealle ajotasolle esim. komennolla

ln -s /etc/init.d/firewall.sh /etc/rc2.d/S20firewall

Jos palomuuriin tehdään muutoksia, on palomuuriskripti ajettava uudelleen komennolla /etc/init.d/firewall.sh



Lauri Laukkarinen 2006-03-23