06.11.2016.

Linux kao firewall












Linux firewall – Netfilter je sastavni deo Linux kernela koji omogućuje filtriranje paketa, prevođenje mrežnih adresa ili skraćeno NAT (network address translation), kao i razne druge manipulacije paketima. Netfilter je unapređena verzija ipchains-a koji je bio aktuelan u starijim verzija Linux operativnog sistema. Više o Netfilteru i svim mogućnostima koje on obezbeđuje,  možete pronaći na adresi www.netfilter.org.

Iptables je alat za kontrolu i konfigurisanje Netfiltera, mada se često u praksi podrazumeva da kada govorimo o iptablesu mislimo na objedinjenu funkcionalnost iptables-a i Netfiltera. Kada govorimo o firewall funkcionalnosti na Linux operativnom sistemu, u stvari mislimo na upotrebu iptables-a i Netfilter-a. Postoje mnoga firewall rešenja na Linux sistemima, koji nam obezbeđuju jednostavnije interfejse za korišćenje, razumljiviji su korisnicima, a nimalo ne zaostaju u funkcionalnosti. Međutim oni se pozadinski takođe oslanjaju na iptables i Netfilter. Jedno od takvih rešenja je shorewall, a više o njemu možete pronaći na adresi http://shorewall.net/ .
Pre nego što se detaljnije pozabavimo sa iptables, sledi kratak osvrt na to šta je uopšte firewall, i koje su osnovne funkcionalnosti koje on treba da obezbedi.
Funkcionalnosti i mogući scenariji primene
Osnovna uloga firewall-a je zaštita sistema koju postižemo filtriranjem paketa.  U zavisnosti od toga da li je firewall namenjen zaštiti  računara na kome je aktivan ili čitave mrežu iza sebe, možemo ih podeliti na personalne i korporativne. Sama konfiguracija firewall-a takođe zavisi od većeg broja parametara.
Bez obzira da li se radi o kućnom ili korporativnom okruženju, broj mrežnih interfejsa koje poseduje računar i bezbednosna politika između njih, kao i stepen poverenja pojedinim okruženjima, su samo neki od faktora koji određuju scenario konfiguracije firewall-a.
Kada govorimo o korporativnom firewall-u mislimo na uređaj koji se nalazi između interneta i lokalne mreže. U ovakvom scenariju firewall je zadužen za translaciju mrežnih adresa (NAT) i filtraciju paketa od interneta ka LAN-u i ako je potrebno obratno (od LAN-a ka internetu). Lokalna mreža opet može biti podeljena na više mrežnih segmenata, između kojih treba definisati bezbedonosnu politiku – za ovo je takođe zadužen firewall.
Često se iza firewall-a nalazi DMZ (Demilitarized zone), posebna zona čiji određeni segmenti trebaju biti izloženi internetu, ali koja ne treba biti vidljiva lokalnoj mreži. Sledi kratko pojašnjenje često spominjanih pojmova prevođenja mrežnih adresa i filtriranja paketa.
Kompjuteraš - kompletan tekst (izvor: IT Modul - Vladimir Blagojević)