Muokataan sivua Palomuuri
Siirry navigaatioon
Siirry hakuun
Kumoaminen voidaan suorittaa. Varmista alla olevasta vertailusta, että haluat saada aikaan tämän lopputuloksen, ja sen jälkeen julkaise alla näkyvät muutokset.
Nykyinen versio | Oma tekstisi | ||
Rivi 1: | Rivi 1: | ||
==Mikä on palomuuri? == | |||
Palomuuri (englanniksi firewall) tarkoittaa ohjelmistoa tai | |||
laitetta joka suodattaa tietoliikennettä kahden verkon välillä. | |||
Palomuuri siis estää luvattoman liikenteen ja sallii vain sen | |||
mikä on määritetty palomuurin asetuksissa (säännöissä). | |||
Linuxin [[Kernel|ytimeen]] | Palomuuri kuluu Linuxin [[Kernel|ytimeen]] ja sen säätämiseen löytyy | ||
useita helppokäyttöisiä ohjelmia. | |||
Useimmissa kotikäyttöön tarkoitetuissa [[jakelu]]issa ei oletuksena ole mitään ulkoapäin tulevia pyyntöjä kuuntelevia palveluita käytössä, mikä vähentää oleellisesti palomuurin tarvetta. Usein palomuuri kannattaa silti varmuuden vuoksi kytkeä päälle, erityisesti mikäli on epävarma siitä, saako erilaiset jälkeenpäin asentamansa verkkopalvelut konfiguroitua oikein. Kotikäytössä riittää yleensä palomuurisääntö, joka estää | |||
kaikki ulkoapäin (Internetistä) tulevat yhteydenotot ja sallii mahdolliseen kotiverkkoon päin menevän liikenteen. | |||
== | == Toimintaperiaate == | ||
Linuxissa kaikki verkkoliikenne kulkee [http://www.netfilter.org/ netfilter]-nimisen rajapinnan kautta. | |||
Kaikki verkkoliikenteen suodattaminen tapahtuu sen avulla. | |||
Linuxissa kaikki verkkoliikenne kulkee [ | |||
Suodattamisen säännöt asetetaan [[iptables]]-työkalulla. Iptables purkaa tämänhetkiset säännöt ytimestä, muuttaa niitä tai lisää niihin uusia, ja pakkaa säännöt takaisin ytimeen. | Suodattamisen säännöt asetetaan [[iptables]]-työkalulla. Iptables purkaa tämänhetkiset säännöt ytimestä, muuttaa niitä tai lisää niihin uusia, ja pakkaa säännöt takaisin ytimeen. | ||
Rivi 15: | Rivi 19: | ||
Kaikissa jakeluissa on mahdollista luoda palomuuri kirjoittamalla skripti, joka kutsuu [[iptables]]ia useita kertoja asettaen joka kerralla yhden säännön. Tämän jälkeen tallennetaan säännöt antamalla komento '''/etc/init.d/iptables save'''. | Kaikissa jakeluissa on mahdollista luoda palomuuri kirjoittamalla skripti, joka kutsuu [[iptables]]ia useita kertoja asettaen joka kerralla yhden säännön. Tämän jälkeen tallennetaan säännöt antamalla komento '''/etc/init.d/iptables save'''. | ||
Yleensä jakelut tarjoavat kuitenkin myös graafisen liittymän | Yleensä jakelut tarjoavat kuitenkin myös graafisen liittymän, jolla on helppo ottaa käyttöön yksinkertainen ja peruskäyttöön täysin riittävä palomuuri. | ||
== Jakelukohtaiset ohjeet == | == Jakelukohtaiset ohjeet == | ||
Rivi 22: | Rivi 26: | ||
== Muita valmiita ratkaisuja == | == Muita valmiita ratkaisuja == | ||
Palomuuriskriptin kirjoittamiseksi on kehitetty useita helppokäyttöisiä ohjelmia kuten [ | Palomuuriskriptin kirjoittamiseksi on kehitetty useita helppokäyttöisiä ohjelmia kuten [http://www.simonzone.com/software/guarddog/ Guarddog], [http://www.fs-security.com firestarter], [http://www.fwbuilder.org fwbuilder], [http://fedora.redhat.com/projects/config-tools/redhat-config-securitylevel.html redhat-config-securitylevel/system-config-securitylevel] ja [http://packages.debian.org/lokkit lokkit]. On olemassa jopa [http://easyfwgen.morizot.net/gen/ nettipalvelu] joka generoi skriptin parin kysymyksen pohjalta. [http://firehol.sf.net Firehol] pohjautuu tekstipohjaiseen asetustiedostoon, jonka syntaksi on helppotajuinen ja kotisivuilta löytyy hyvä esimerkkitiedosto yksityiskohtaisesti selitettynä. Suositeltavaa on myös kokeilla [http://www.shorewall.net/] shorewall palomuuria jolla iptablejen ohjailu on todella kätevää, shorewall:ssa on oletuksena mukana saapuvan ja lähtevän liikenteen "torppaaminen". | ||
Ominaisuuksia, joita peruskäyttäjät tarvitsevat, ovat yleisesti [[NAT]] (eng. network address translation) ja porttien ohjaus ([http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html#ss6.2 DNAT]). Jos käytössä on kiinteä verkko-osoite, kannattaa käyttää MASQUERADE:in sijasta [http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html#ss6.1 SNAT:a.] | |||
On myös olemassa erikoistuneita palomuurilevityksiä, joissa on palomuuriasennus ja www-pohjainen työkalu tähän tarkoitukseen. Hyvänä esimerkkinä on esimerkiksi [http://www.smoothwall.org Smoothwall] ja ClarkConnect. | On myös olemassa erikoistuneita palomuurilevityksiä, joissa on palomuuriasennus ja www-pohjainen työkalu tähän tarkoitukseen. Hyvänä esimerkkinä on esimerkiksi [http://www.smoothwall.org Smoothwall] ja ClarkConnect. | ||
Rivi 56: | Rivi 60: | ||
== Katso myös == | == Katso myös == | ||
*[[NAT]] | *[[NAT]] | ||
[[Luokka:Verkko]][[Luokka:Järjestelmä]][[Luokka:Tietoturva]] | |||
[[Luokka:Verkko]] | |||
[[Luokka:Järjestelmä]] | |||
[[Luokka:Tietoturva]] |