Przygotowanie odpowiednich, skrojonych na miarę potrzeb danej instytucji, reguł linuksowego firewalla to pracochłonne zajęcie, zwłaszcza wtedy gdy funkcja ta jest realizowana na maszynie z kilkoma interfejsami sieciowymi. Niestety, wielu administratorów kończy na tym pracę z zaporą, a przecież i ona, jak każdy system IT, wymaga okresowych przeglądów i optymalizacji. Warto poświęcić trochę czasu na to zadanie, zwłaszcza jeśli sprzęt, na którym uruchomiono firewalla, jest "słabszy" lub powierzyliśmy mu również inne zadania - przy dużym obciążeniu sieci jakość dodatkowych usług świadczonych przez serwer może ulec osłabieniu lub może się on w ogóle "nie wyrabiać". Ponadto optymalizacja zapory idzie w parze z podnoszeniem bezpieczeństwa serwera, jak i sieci, której strzeże.

Wraz z optymalizacją zwiększamy bezpieczeństwo, więc tym bardziej warto się przyjrzeć naszym regułom iptables, zwłaszcza gdy poważnie myślimy o ochronie naszej sieci. Przystępując do pracy nad linuksową zaporą, można wyróżnić następujące kryteria: kolejność reguł oraz ich analizę, wykorzystanie mechanizmu filtrowania z pamięcią stanu, zasady działania protokołów sieciowych oraz priorytet usług uwzględnionych w zaporze.

Kolejność reguł

Zasada, w myśl której iptables wstawia reguły do wybranego łańcucha, jest prosta, ale sama kolejność reguł jest bardzo ważna i nie jest to już takie proste. Jeżeli użyjemy polecenia iptables -A ..., to reguła zostanie wstawiona na końcu łańcucha, którego dotyczyła. Natomiast gdy wpiszemy iptables -I FORWARD 3 ..., to reguła zostanie wstawiona na trzeciej pozycji łańcucha FORWARD, a wszystkie reguły poprzednio znajdujące się na pozycji trzeciej i późniejszej zostaną przesunięte o jedną dalej.

W kolejności reguł warto zastanowić się jeszcze, ile może "obejmować" jedna reguła, ponieważ im reguła dotyczy większej liczby przypadków, tym mniej ich potrzeba.

[...]

Autor jest informatykiem w Centrum Kształcenia Ustawicznego w Białymstoku. Publikuje również w serwisach internetowych.