firewall v jadre,iptables, firestarter a FW obecne

Dobry vecer, chtel bych se zeptat na problematiku FW v linuxu obecne. Poradne nevim kde zacit takze zacnu na zacatku - u jadra. V jadre je integrovany FW, ale neni mi moc jasny jeho management tj. jakym zpusobem ho konfigurovat. Vim, ze v linuxu je oblibeny program FW iptables, ale to je programek ktery jede samostatne a s jadrem nema nic spolecne - u toho vim jak ho nastavovat. Dale napr. graficky FW Firestarter(s velice malou moznosti konfigurace)-neni tenhle FW jen cesta jak konfigurovat FW v jadre?. Zajima me, jak to je kdyz napr. v iptables povolim nejake pravidlo a v jadre je implicitne zakazane. To se pak biji nebo jak je to reseno?

Vsechno jedno jest. Jadro samotne obsahuje tabulky (drive chains - retezy) kterymi musi projit prichozi (INPUT), odchozi (OUTPUT) nebo prochazejici (FORWARD) paket ze sitovych rozhranni (toto jsou tri zakladni tabulky, ves skutecnosti je jich vic). Tyto tabulky se nastavuji z prikazoveho radku utilitkou iptables (IP proto, ze tyto tabulky jsou aplikovany na pakety protokolu IP, existuji jeste eptables, ktere pracuji na jine vrstve OSI modelu - na MAC adresach, moc se nepouzivaji). Firestarter podle meho je pouze graficke rozhranni pro iptables.

Napr. pravidla (na poradi zalezi) rikaji:
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -j DROP
-A INPUT -p tcp --dport 21 -j ACCEPT
pridej do tabulky pro prichozi pakety protokolu TCP pravidlo, ze pokud je paket urcen na port 22 tak jej prijmy vsechny, pokud ne tak jej zahod.
Treti pravidlo jiz nema smysl, protoze zadny TCP paket k nemu nedojde.

Pravidla INPUT se aplikuji na vsechny pakety, ktere maji cilovou IP adresu na tomto pocitaci, OUTPUT na vsechny pakety ktere se generuji na tomto pocitaci a FORWARD na pakety, ktere jsou preposilany - tedy pouze v pripade ze tento pocitac ma povolenou routovani (smerovani) paketu a slouzi jako router.

Graficka rozhranni ala Firestarter nebo system-config-firewall se snazi pred uzivatelem skryt prilis komplikovane detaily nastaveni firewallu (ne ze by v linuxu byly prilis komplikovane, ony tak komplikovane musi byt) a pridavaji nektere interpretace navic. Napr. povoleni sluzby SSH ve firewallu je v podstate jen pridani pravidlo pro prijem paketu na portu 22. Pokud si SSHD pustite na jinem portu - coz jde a nic tomu zasadne nebrani, takoveto povoleni sluzby vam nebude fungovat. Pravidla iptables mohou byt velice slozita, vetsina techto rozhranni je ale generovat neumi a jejich konstrukce uz vyzaduje hlubsi znalost problematiky.

Další počtení http://www.netfilter.org/

Dekuji za informace ohledne teto problematiky. Tzn. IPTABLES a FIRESTARTER jsou vlastne jen prodlouzene ruce uzivatele do nastaveni casti(FW atd.) sitoveho subsystemu v jadre.