دو هدف داخلی ، یعنی DROP و ACCEPT وجود دارد. دیگر هدفها می توانند زنجیر های تعریف شده توسط کاربر یا الحاقات اضافه شده مثل REJECT باشند. دو هدف خاص برای مدیریت زنجیر ها استفاده می شود. RETURN و QUEUE. RETURN انتهای یک زنجیر را نشان می دهد و به جایی بر می گردد که زنجیر از آنجا شروع شده است. QUEUE برای ارسال بسته به فضای کاربر استفاده می شود. 

iptables -A INPUT -s www.myjunk.com -j DROP

 

می توانید یک قانون را با علامت ! معکوس کنید. به عنوان مثال ، برای قبول کردن تمام بسته های دریافتی بجز آنهایی که از یک آدرس خاص می آیند ، یک علامت ! قبل از سوئیچ -s و آن آدرس قرار دهید. مثال زیر ، تمام بسته ها به جز بسته های آدرس IP شماره 192.168.0.45 را قبول می کند : 

iptables -A INPUT -j ACCEPT ! -s 192.168.0.55 

 

می توانید یک آدرس خاص را با استفاده از یک نام دامنه یا شماره IP آن مشخص کنید. برای محدوده ای از آدرسها می توانید از شماره IP شبکة آنها و پوشش IP شبکه ، استفاده نمایید. پوشش IP می تواند یک شماره IP یا به طور ساده تعدادی بیت باشد که پوشش را تشکیل می دهد. به عنوان مثال ، تمام آدرس ها در شبکه 192.168.0 می توانند توسط 192.168.0.0/255.255.255.0 یا 192.168.0.0/24 نمایش داده شوند. برای مشخص کردن هر آدرسی می توانید از 0.0.0.0/0.0.0.0 یا به سادگی از 0/0 استفاده کنید. به طور پیش فرض، قوانین آدرسها را مورد اشاره قرار می دهند ، اگر هیچ مشخصه -s یا -d وجود نداشته باشد. مثال زیر ، پیامهایی که از هر میزبانی در شبکه 192.168.0.0 در آن می آید ( مبدأ ) و به هر جایی می رود ( مقصد ) را قبول می کند ( سوئیچ -d نمی آید یا می تواند به صورت -d 0/0 نوشته شود) : 

iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT 

 

قوانین iptables معمولا برای یک رابط شبکه ای خاص ، مثل رابط اترنت که برای اتصال به اینترنت استفاده می شود، اعمال می گردد. برای یک سیستم تکی متصل به اینترنت، دو رابط دارید ، یکی که تماس اینترنت شماست و یک رابط میزبان محلی ( lo ) برای تماس های داخلی بین کاربران موجود در سیستم شما. رابط شبکه ای اینترنت ، با استفاده از نام دستگاه رابط مورد اشاره قرار می گیرد. به عنوان مثال ، یک کارت اترنت با نام دستگاه /dev/eth0 ، با نام eth0 مورد اشاره قرار می گیرد ، یک مودم که از پروتکل های ppp با نام دستگاه /dev/ppp0 استفاده می کند ، دارای نام ppp0 خواهد بود. در قوانین iptables ، از سوئیچ -i برای نشان دادن دستگاه ورودی استفاده می نمایید. -i تنها می تواند با زنجیر های INPUT و FORWARD استفاده شود سوئیچ -o دستگاه خروجی را نشان می دهد و تنها باید با زنجیرهای OUTPUT و FORWARD به کار رود. قوانین سپس می توانند به بسته هایی که به دستگاه های شبکه ای خاص می رسند و آن را ترک می کنند ، اعمال شود. در مثالهای زیر ، قانون اول ، دستگاه اترنت eth0 و قانون دوم ، میزبان محلی را مورد اشاره قرار می دهد : 

iptables  -A INPUT  -j DROP -i  eth0 -s 192.168.0.45
iptables  -A INPUT -j ACCEPT -i lo 

 

 

iptables طراحی شده تا بسط پذیر باشد و تعدادی سوئیچ با شرط انتخابی وجود دارد که می تواند به همراه iptables باشد. به عنوان مثال ، الحاق TCP شامل سوئیچ --syn است که بسته های SYN را بررسی می کند. الحاق ICMP ، سوئیچ --icmp-type را برای مشخص کردن بسته های ICMP ( آن طور که در عملیات ping استفاده می شد ) فراهم می نماید. الحاق limit شامل سوئیچ --limit است که با آن می توانید حداکثر تعداد بسته ها را مورد تطابق در طول زمان مشخص ( مثلا یک ثانیه ) را محدود کنید.

 

 در مثال زیر، کاربر یک قانون به زنجیر INPUT اضافه می کند تا تمام بسته هایی که از آدرس 192.168.0.55 ناشی می شود را قبول کند. هر بسته دریافتی ( INPUT ) که آدرس مبدأ آن ( -s ) مطابق با 192.168.0.55 است، قبول می شود و انتقال می یابد    ( -j ACCEPT ). 

iptables -A INPUT -s 192.168.0.55 -j ACCEPT 

 

 

قوانین زنجیر را با استفاده از دستورات iptables ، اضافه و اصلاح می کنید. یک دستور iptables ، شامل لغت کلیدی iptables است که با یک آرگومان دنبال می شود و دستور مورد اجرا را مشخص می نماید. به عنوان مثال، iptables -A دستوری برای اضافه کردن یک قانون جدید است ، در حالی که iptables -D ، دستوری برای خذف یک قانون می باشد ، دستورات iptables  در جدول 4 لیست شده اند. دستور زیر به سادگی زنجیر ها را به همراه قوانین فعلی آنها که برای سیستم شما تعریف شده اند لیست می کند. خروجی ، مقادیر پیش فرض ایجاد شده توسط دستورات iptables را نشان می دهد. 

iptables -L -n 
Chain iput (policy ACCEPT);
Chain forward (policy ACCEPT);
Chain output (policy ACCEPT);

جدول 4 : دستورات iptables 

زنجیر

عملکرد

-A chain

یک قانون را به یک زنجیر می افزاید.

-D chain [rulenum]

قانون مورد تطابق را از یک زنجیر حذف می کند. قانون rulenum ( 1-اولی ) را از chain حذف می نماید.

-I chain [rulenum]

قوانین مربوط به بسته های انتقالی

-R chain rulenum

قوانین مربوط به تغییر مسیر یا اصلاح بسته های دریافتی ( تنها جدول NAT )

RETURN

قوانین مربوط به تغییر مسیر یا اصلاح بسته های ارسالی ( تنها جدول NAT )

-L [chain]

قوانین موجود در chain یا تمام رنجیر ها را لیست می کند.

-E [chain]

یک زنجیر را تغییر نام می دهد.

-F [chain]

تمام قوانین موجود در chain یا تمام زنجیر ها را حذف ( خالی ) می کند.

-R chain

یک قانون را جایگزین می کند. قانونها از 1 شماره گذاری می گردند.

-Z [chain]

شمارنده ها را در chain یا تمام زنجیر ها صفر می کند.

-N chain

یک زنجیر توسط کاربر تعریف شده جدید ایجاد می کند.

-X chain

یک زنجیر تعریف شده توسط کاربر را حذف می کند.

-P chain target

خط مشی روی chain را به target تغییر می دهد.

برای اضافه کردن یک قانون جدید به یک زنجیر ، از -A استفاده می کنید. از -D برای حذف آن و -R برای جایگزین نمودن آن استفاده نمایید. در زیر دستور ، زنجیری را لیست کنید که قوانین به آن اعمال می شود. مثلا زنجیر INPUT ، OUTPUT یا FORWARD ویا یک زنجیر تعریف شده توسط کاربر. سپس ، سوئیچ های مختلفی لیست می کنید که عملیاتی که می خواهید انجام شود را مشخص می کند ( اکثر آنها همانند آنچه برای ipchains استفاده می شود است ، بجز چند استثناء ). سوئیچ -s آدرس مبدأ الحاقی به بسته ، -d آدرس مقصد و -j هدف را مشخص می کند. هدف ACCEPT به یک بسته اجازه می دهد تا عبور کند. سوئیچ -i اکنون دستگاه ورودی را نشان می دهد و فقط می تواند با زنجیر های INPUT و FORWARD استفاده شود. سوئیچ -o دستگاه خروجی را بیان می کند و تنها برای زنجیر های OUTPUT و FORWARD به کار می رود. جدول 5 ، چند سوئیچ اصلی را لیست کرده است. 

 

جدول 5 : سوئیچ های iptables 

سوئیچ

عملکرد

-p [!] proto

یک پروتکل مثل TCP ، UDP ، ICMP یا ALL را مشخص می کند. 

-s [!] address[imask] [!] [port[:port]]

آدرس مبدأ برای تطابق. با آرگومان port می توانید درگاه را مشخص کنید.

--sport [!] [porto:port]

مشخصه درگاه مبدأ. می توانید محدوده ای از درگاه ها را با استفاده از دو نقطه مشخص کنید (port:port).

-d [!] address[imask] [!] [port[:port]]

آدرس مقصد برای تطابق. با آرگومان port می توانید در گاه را مشخص کنید.

 

--dport [!] [port[:port]]

مشخصة درگاه مقصد.

-icmp-type [!] typename

نوع ICMP را مشخص می کند.

-l [!] name[+]

یک رابط شبکه ای ورودی با استفاده از نامش مشخص می کند ( مثلا eth0 ). علامت + ، مثل یک کاراکتز عمومی عمل می کند. علامت + چسبیده به انتهای نام ، تمام رابطها با آن پیشوند را مورد اشاره قرار می دهد ( eth+ به تمام رابط ها اشاره می کند ) تنها می تواند با زنجیر INPUT استفاده می شود.

-i target [port]

هدف یک قانون را مشخص می کند (  [port] را برای هدف REDIRECT مشخص کنید).

--to-source <ipaddr> [-<ipaddr>] [:port-port]

با هدف SNAT استفاده می شود ، بسته ها را با آدرس IP جدید مبدأ ، مجددأ می نویسد.

--to-destination <ipaddr> [-<ipaddr>] [:port-port]

با هدف dNAT استفاده می شود ، بسته ها را با آدرس IP جدید مقصد ، مجددأ می نویسد.

-n

خروجی عددی آدرس ها و درگاهها که با -L استفاده می شود.

-o [!] name[+]

یک رابط شبکه ای خروجی ، با استفاده از نامش مشخص می کند ( مثلا eth0 ) تنها می تواند با زنجیر های FORWARD و OUTPUT استفاده شود.

-t table

یک جدول برای استفاده ( مثل -t nat برای جدول NAT ) مشخص می کند.

-v

حالت مفصل ، جزئیات قانون را نشان می دهد ، با -L استفاده می شود.

-x

اعداد را گسترش می دهد (مقادیر دقیق را نمایش می دهد)، با -L استفاده می شود.

[!] -f

دومین تطابق را در قطعه های آخر یک بستة قطعه قطعه شده ، مورد تطابق قرار می دهد.

[!] -v

نگارش بسته را چاپ می کند.

!

یک سوئیچ یا آدرس را منفی می کند.

-m

یک ماژول جهت استفاده را مشخص می کند. مثلا state.

--state

سوئیچ هایی مثل NEW ، INVALID ، RELATED و ESTABLISHED را برای ماژول state مشخص می کند. برای تعیین وضیعت بسته استفاده می شود. NEW ، بسته های SYN را مورد اشاره قرار می دهد ( تماسهای جدید ).

--syn

بسته های SYN ، تماس های جدید.

--tcp-flags

پرچمهای TCP : PS, URG, RST, FIN, ACK, SYN و ALL را برای تمام پرچمها.

--limit

سوئیچی برای ماژول limit ( -m limit ). برای کنترل نرخ تطابقها استفاده می شود. تعداد مشخصی در هر ثانیه ، عمل تطابق را انجام می دهد.

-limit-burst

سوئیچی برای ماژول limit ( -m limit )، حداکثر ترتیب را مشخص می کند قبل از اینکه حد به پایان برسد. برای کنترل حملات denial-of-service استفاده می شود.

 

 

کرنل از سه زنجیر فایروال استفاده می کند : INPUT ، OUTPUT و FORWARD . وقتی که یک بسته از طریق یک رابط دریافت می شود ، زنجیر INPUT برای تعیین اینکه چه کاری انجام شود ، استفاده می گردد. سپس کرنل از اطلاعات مسیریابی برای تصمیم به اینکه آن را کجا بفرستد ، استفاده می کند. اگر کرنل ، بسته را به میزبان دیگری بفرستد، زنجیر FORWARD بررسی می گردد. قبل از اینکه بسته حقیقتاً ارسال شود ، زنجیر OUTPUT نیز بررسی می گردد. به علاوه ، دو زنجیر جدول NAT ، یعنی POSTROUTING و PREROUTING پیاده سازی می شوند تا ماسک و اصلاحات آدرس بسته بندی را پیاده سازی کنند. زنجیر های داخلی Netfilter در جدول 3 لیست شده اند. 

زنجیر
عملکرد
INPUT
قوانین مربوط به بسته های دریافتی 
OUTPUT
قوانین مربوط به بسته های ارسالی 
PREROUTING
قوانین مربوط به بسته های انتقالی 
POSTROUTING
قوانین مربوط به تغییر مسیر یا اصلاح بسته های دریافتی (
  تنها جدول NAT ) 
RETURN
قوانین مربوط به تغییر مسیر یا اصلاح
  بسته های ارسالی ( تنها جدول NAT ) 

یک هدف ( Target ) خودش می تواند زنجیر دیگری از قوانین یا حتی زنجیری از قوانین تعریف شده توسط کاربر باشد. یک بسته می تواند قبل از رسیدن به یک هدف ، از طریق چند زنجیر انتقال یابد. در مورد زنجیر های تعریف شده توسط کاربر ، هدف پیش فرض ، معمولاً قانون بعدی در زنجیر می باشد که از آنجا فراخوانی شده است. این کار یک فراخوانی رویه با تابع را باعث می شود.  مثل جریان کنترل موجود در زبان برنامه نویسی. وقتی که یک قانون ، یک زنجیر تعریف شده توسط کاربر را به عنوان هدفش داشته باشد ، هنگامی که فعال شود ، آن زنجیر تعریف شده توسط کاربر اجرا می گردد. اگر با هیچ قانونی مطابقت نکند ، اجرا به قانون بعدی در زنجیر منشأ بر می گردد. 

 

نکته : سوئیچ ها و هدفهای خاص می توانند توسط بسته های کرنل موجود در سایت Netfilter اضافه شوند. به عنوان مثال ، بسته SAME ، آدرس یکسان برای تمام تماسها بر می گرداند. یک سوئیچ patch-o-matic برای فایل ساخت Netfilter ، کد اصلی کرنل شما را بسته بندی می کند و پشتیبانی از هدفها و سوئیچ های جدید را اضافه می نماید. سپس می توانید کرنل خود را مجدداً بسازید و نصب نمایید. 

 

قوانین در زنجیر های مختلف ترکیب می شوند. کرنل از زنجیرها برای مدیریت بسته هایی که دریافت می کند و می فرستد ، استفاده می نماید. یک زنجیر ، به طور ساده یک فهرست از قوانین است. این قوانین ، مشخص می کنند که چه عملی برای بسته هایی که شامل عناوین خاص می باشند ، انجام گیرد. قوانین با یک ساختار if-then-else عمل می کنند. اگر بسته با قانون اول مطابقت نکرد ، سپس قانون بعدی بررسی می شود و همین طور الی آخر. اگر بسته با هیچکدام از قوانین مطابقت نداشت ، کرنل با خط مشی زنجیر مشورت می کند. معمولا در این مرحله بسته رو می شود. اگر بسته ، با یک قانون مطابقت نداشته باشد ، به هدفش انتقال می یابد که تعیین می کندبا بسته چه کاری انجام دهد. هدفهای استاندارد ، در جدول 2 لیست شده اند. اگر یک بسته ، با هیچکدام از این قوانین مطابقت نداشت ، به هدف پیش فرض زنجیر فرستاده می شود. 

جدول 2 : هدفهای iptables

هدف

عملکرد

ACCEPT

اجازه می دهد تا بسته از طریق فایروال عبور کند.

DROP

دسترسی توسط بسته را محدود می کند.

REJECT

دسترسی را مسدود می کند و به فرستنده اطلاع می دهد.

QUEUE

بسته را به فضای کاربر می فرستد.

RETURN

به انتهای زنجیر پرش می کند و به هدف پیش فرض اجازه می دهد تا آن را پردازش کند.

Netfilter ضرورتاً یک چهار چوب کاری برای مدیریت بسته است که می تواند بسته ها را برای پروتکل های خاص شبکه بررسی می کند  و به بخشهای کرنل که به آنها گوش می دهند ، اطلاع دهد. در چهار چوب کاری Netfilter ، سیستم انتخاب بسته است که توسط جداول IP پیاده سازی می شود. با جداول IP ، جدولهای مختلفی از قوانین می توانند بنا شوند تا بسته ها را طبق معیار های مختلف ، انتخاب کنند. Netfilter اکنون سه جدول را پشتیبانی می کند : filter ، nat و mangle. فیلتر کردن بسته با استفاده از یک جدول filter پیاده سازی می شود که قوانینی برای قبول یا رد بسته ها را نگه می دارد. عملیات ترجمه آدرس شبکه ، مثل IP ماسک ، با استفاده از جدول NAT پیاده سازی می شوند که قوانین ماسک IP را نگه می دارد. جدول mangle برای تغییرات خاص بسته استفاده می شود. تغییرات می توانند در بسته ها قبل از ارسال آنها ، هنگام دریافت آنها ، یا هنگام انتقال آنها اعمال شوند. این ساختار از این نظر قابل گسترش است که ماژول های جدید می توانند جداول خودشان را با قوانین مربوط به خود تعریف کنند و همچنین به طور وسیعی کارآیی را افزایش می دهد. به جای اینکه تمام بسته ، یک جدول را بررسی کند ، آنها فقط به یک جدول قوانینی که نیاز دارند دسترسی می یابند. 

 

قوانین جدول IP با استفاده از دستور iptables مدیریت می شوند. برای این دستور ، باید جدولی که می خواهید آن را مدیریت کنید ، مشخص نمایید. پیش فرض جدول filter می باشد که نیاز به مشخص کردن ندارد. می توانید با سوئیچ های –L و –t که در اینجا نشان داده شده است ، قوانینی را که اضافه کرده اید در هر زمان لیست بگیرید. سوئیچ –n می گوید که تنها از خروجی عددی برای آدرسهای IP و در گاه ها استفاده شود که باعث جلوگیری از یک جستجوی DNS برای نام میزبانها می گردد. به هر حال می توانید از سوئیچ –L استفاده نمایید تا برچسبهای درگاه و نامهای میزبان را ببینید : 

iptables –L –n

 

نکته : در دستورات iptables ، نام زنجیرها باید با حرف بزرگ وارد شود. همانند نام زنجیرهای INPUT ، OUTPUT و FORWARD . 

 

یک کار اساسی برای امنیت شبکه خود ، قرار دادن یک سیستم  لینوکس به عنوان یک فایروال در شبکه خود می باشد تا از تا از دستیابی غیر مجاز محافظت کند . می توانید از یک فایروال برای پیاده سازی فیلتر کردن بسته یا پراکسی استفاده نمایید. به طورساده به عمل تصمیم گیری در مورد فرستادن یک بسته دریافتی میزبان فایروال به شبکه محلی فیلترکردن بسته می گویند. نرم افزار فیلتر کردن بسته ، آدرس های مبدأ و مقصد را بررسی می کند و بسته را در صورت مجاز بودن می فرستد. حتی اگر سیستم شما بخشی از یک شبکه نباشد اما به طور مستقیم به اینترنت متصل باشد ، باز می توانید از ویژگی هاب فایروال برای کنترل دستیابی به سیستم خود استفاده کنید. البته این کار امنیت بیشتری را برای شما فراهم می کند. 

 

با پراکسی می توانید دستیابی به سرویس های خاصی مثل سرویس دهنده های وب یا FTP را کنترل کنید. برای هر سرویسی که می خواهید کنترل نمایید ، به یک پراکسی نیاز دارید. سرویس دهنده وب ، دارای پراکسی وب خاص خودش می باشد. در حالی که یک سرویس دهنده FTP ، یک پراکسی FTP دارد. پراکسی ها همچنین می توانند برای کش نمودن داده های رایج مورد استفاده ( مثل صفحات وب ) به کار روند ، تا کاربران مدام مجبور نباشند تا به سایت اصلی دسترسی پیدا کنند. نرم افزار پراکسی که معمولا در سیستم های لینوکس استفاده می شود ، Squid است. 

 

یک وظیفه دیگر که توسط فایروال ها انجام می شود ، ترجمه آدرس شبکه ( NAT ) می باشد. NAT ، بسته ها را به مقصد های مناسب می فرستد. NAT وظایفی چون فرستادن بسته ها به میزبانهای خاص ، انتقال بسته به شبکه های دیگر ، و تغییر مبدأ میزبان بسته ها برای پیاده سازی ماسک IP را انجام می دهد. 

 

نکته : توجه کنید که ipchains سر آغاز iptables است که روی سیستم های لینوکس که کرنل 2/2 را اجرا می کردند ، استفاده می شد و اکنون نیز در سیستم های لینوکس بسیاری استفاده می شود. سایت وب لینوکس مر بوط به ipchains که جانشین ipfwadm است و روی نگارشهای قدیمی لینوکس به کار می رفت ، اکنون netfilter.samba.org/ipchains/ می باشد. 

 

بسته نرم افزاری Netfilter دو وظیفه فیلتر کردن بسته و NAT را برای کرنل لینوکس 2/4 به بالا پیاده سازی می کند. نرم افزار Netfilter ، توسط پروژه Netfilter نوشته شده است که اطلاعات بیشتر را می توانید در www.netfilter.org بیابید. دستور مورد استفاده برای اجرای وظایف فیلتر کردن بسته و NAT ، iptables است و نرم افزار را به طور ساده با iptables مورد اشاره قرار می دهیم. به هر حال Netfilter ، وظایف فیلتر کردن بسته و NAT را با استفاده از جداول و دستورات مختلف به طور مجزا پیاده سازی می کند. یک جدول ، مجموعه ای از دستورات را برای برنامه کاربردی خود ، نگه می دارد. این روش ، وظیفه فیلتر کردن بسته را ساده می کند و به iptables اجازه می دهد تا بررسیهای فیلتر کردن بسته را بدون کار اضافی ترجمه های آدرس انجام دهد. عملیات NAT همچنین از ترکیب با برسیهای فیلتر کردن بسته ، آزاد هستند. از دستور iptables برای وظایف هر دو وظیفه فیلتر کردن بسته و NAT استفاده می شود اما برای NAT ، سوئیچ –nat را اضافه می کنید. 

 

نرم افزار iptables می تواند به طور مستقیم در کرنل 4/2 ساخته شود یا به عنوان یک ماژول کرنل ( iptable_filter.o ) بارگذاری شود. برخلاف نسخه قبل آن ( ipchains ) ، Netfilter طراحی شده است تا ماژول هایی مثل وضعیت اضافه شوند که مسیریابی تماس را می افزایند. 

 

نکته : iptables شامل ماژول های سازگار رو به عقب برای ipfwadm و ipchains می باشد. در عمل ، iptables خیل شبیه به ipchains است. هنوز می توانید با بارگذاری ماژول های ipchains.o یا ipfwadm.o که به همراه نرم افزار Netfilter هستند ، از ipchains و دستورات ipfwadm استفاده کنید. اینها قابلیت کامل رو به عقب را فراهم می نمایند. 

 

فایروال های شبکه : Netfilter 

اکثر سیستم هایی که اکنون به اینترنت وصل هستند ، برای دستیابی غیر مجاز کاربران از خارج باز هستند. کاربران خارجی با برقراری یک تماس غیر قانونی با قطع ارتباطات مجاز کاربران راه دور که به سیستم متصل هستند ، یا با وانمود کردن خود به عنوان یک کاربر مجاز می توانند دسترسی مستقیم پیدا کنند. فایروال ها ، رمز نگاری ، و عملیات اعتبار سنجی ، راه هایی برا مقابله با این تهاجمات هستند. یک فایروال ، باعث جلوگیری از هر تماس مستقیم غیر مجاز برای دستیابی می شود ، رمز نگاری ، انتقال از کاربران راه دور مجاز را مصون می دارد ، و اعتبار سنجی بررسی می کند که یک کاربر که تقاضای دستیابی می نماید ، حق این کار را دارد یا خیر. کرنل  فعلی لینوکس ، شامل پشتیبانی از فایروال ها با استفاده از بسته فیلتر گذاری Netfilter ( iptable ) می باشد ( نگارش قبلی یعنی ipchains در سیستم های قدیمی استفاده می شود ). برای پیاده سازی یک فایروال ، به سادگی قوانینی را تنظیم می کنید تا مشخص نمایید که چه نوع دسترسی ای می خواهید به سیستم خود بدهید. اگر آن سیستم همچنین یک دروازه برای یک شبکه خصوصی است ، قابلیت فایروال سیستم ، می تواند به طور مؤثر  شبکه را از حملات خارجی محفوظ بدارد. 

 

نکته : می توانید محافظت اساسی فایروال Netfilter را با ابزار redhat-config-security تنظیم کنید ( Security Level روی منو یا پنجره System Setting ) این ابزار ، یکسری قوانین iptable تولید می نماید تا سیستم و شبکه شما را محافظت کند. 
 

برای محافظت از ارتباطات راه دور ، به سادگی می توان انتقال را رمز نگاری کرد. برای سیستم های لینوکس ، می توانید از مجموعه برنامه های لایه امن ( SSH ) جهت رمز نگاری انتقال ها استفاده کنید و از خوانده شدن توسط هر شخص دیگری جلوگیری نمایید. اعتبار سنجی کربروس ، سطح امنیتی دیگری  را فراهم می کند که سرویس های شخصی می توانند محافظت شوند ، و فقط اجازه استفاده به کاربرانی داده می شود که دستیابی به آنها شفاف است. کاربران خارجی ممکن است همچنین از طریق سرویس های اینترتی ای که شما میزبان آنها هستید ( مثل یک سایت وب ) سعی در دسترسی غیر مجاز نمایند. در چنین حالتی ، می توانید یک پراکسی تنظیم کنید تا از سرویس دهنده وب خود محافظت کنید. در جدول 1 چند برنامه کاربردی امنیت شبکه که به طور متداول در لینوکس استفاده می شوند را لیست نموده است.

 

سایت وب                                 برنامه کاربردی امنیتی 

www.netfilter.org                       پروژه Netfilter ، iptables و NAT 

www.netfilter.org/ipchains           فایروال زنجیره های IP 

www.openssh.org                      رمز نگاری لایه امنیتی 

www.squid-cache.org                 سرویس دهنده پراکسی وب Squid 

www.mit.edu/kerberos               اعتبار سنجی شبکه کربروس

 

 "Add-ons"ها نرم افزارهایی جهت افزایش امکانات موجود در مرورگرهای اینترنتی می باشند

بطور مثال افزونه"TabAlarm"در مرورگر فایرفاکس به منظور باز شدن وب سایت های اینترنتی در زمان و تاریخ مشخص مورد استفاده قرار می گیرد

برای نصب ابتدا درلینک"addons.mozilla.org"

پربازدیدترین مطالب

"«قیمتی که در هنگام سفارش مشتري در پیش‌فاکتور منظور گرديده است، معتبر مي‌باشد»."