Набор правил Stateful
В следующем наборе правил без NAT показано, как реализовать включающий пакетный фильтр. Включающий пакетный фильтр разрешает только те сервисы, которые соответствуют правилам, и блокирует по умолчанию все остальные. Все пакетные фильтры имеют как минимум два интерфейса, на каждом из которых должны быть указаны правила.
Как и все UNIX-системы, FreeBSD разработана с использованием интерфейса lo0 и IP-адреса 127.0.0.1 для внутреннего взаимодействия с ОС. Правила пакетного фильтра должны разрешать свободную пересылку этих внутренних пакетов.
Будем предполагать, что один интерфейс соединен с Интернетом. Для этого интерфейса должны быть определены правила управления доступом в Интернет и из Интернета. Это может быть РРР tun0 интерфейс или сетевая карта, которая соединяется с Интернетом.
В случае наличия более одной сетевой карточки, которые соединены с локальными сетями, расположенными позади пакетного фильтра, эти интерфейсы должны иметь правила, разрешающие свободную пересылку пакетов с этих интерфейсов.
Первым делом правила должны быть разбиты на три основных раздела:
- Правила для интерфейсов, на которых не определено управление доступом.
- Правила для интерфейсов, на которых определено управление доступом для исходящего трафика.
- Правила для интерфейсов, на которых определено управление доступом для входящего трафика.
Порядок, в котором правила указываются для конкретного интерфейса, должен быть такой, чтобы более часто используемое правило было бы размещено выше, чем редко используемое. Последнее правило должно блокировать все пакеты на данном интерфейсе.
Раздел для исходящего трафика в следующем наборе правил содержит только правила allow, определяющие значения выбора, которые уникально идентифицируют сервис, разрешенный в Интернете. Все правила имеют proto, port, in/out, via и keep state опции. proto tcp правила имеют опцию setup, определяющую начальный пакет запроса установления сессии для передачи этой информации в таблицу поддержки состояния.
Раздел для входящего трафика первым делом блокирует все нежелательные пакеты. Должно иметься правило, которое явно блокирует пакеты, получаемые редко, и информацию о которых нет необходимости заносить в лог. В результате они не будут обработаны последним правилом в разделе, которое блокирует и заносит в лог все пакеты, не соответствовавшие ни одному правилу.
В данном случае отправителю не возвращается ответ, эти пакеты просто удаляются. При таком подходе у атакующего нет информации о том, что его пакеты достигли системы.
