مقدمه
یکی از ویژگی های جدید در Issabel 2.2 افزودن قابلیت تنظیم Firewall از محیط گرافیکی است. IPTables یکی از بخش های اصلی لینوکس می باشند که مهمترین وظیفه آنها کنترل پورت های شبکه بر روی لینوکس است، Issabel با طراحی یک محیط گرافیکی زیبا کار با این جداول را آسان نموده است.
از عبارت راه اندازی اولیه استفاده می کنم چرا که تنها بخش هایی از این کار را توضیح می دهد، اما این بخش ها برای راه اندازی Firewall موجود در Issabel کفایت می نماید. شایان ذکر است که IPTable ها قادرند بسیاری کار های دیگر را انجام دهند. اگر می خواهید Firewall را در Issabel اجرا نمایید، دو انتخاب دارید، یا IPTable را در Commandline اجرا نمایید، یا اینکه Palosanto’s Firewall را اجرا نمایید. باید یکی را انتخاب کنید و نمی توانید هر دو را اجرا نمایید
همه ی آنچه که به آن اشاره شد، دلیل این مسئله است که Palesanto ، Firewall خود را به گونه ای طراحی کرده است که که به بهترین شکل با پروژه های Issabel همخوانی داشته باشد. اما باز هم اگر می اندیشید که چیزی بیشتر از پیاده سازی Palesanto را نیاز دارید، کافیست که آن را خاموش نمایید و به حالتی سوئیچ کنید که می توانید خودتان IPTable ها را کدنویسی نمایید تا به این ترتیب بتوانید قابلیت های پیشرفته تری را که نیاز دارید را بدست آورید.
یک نکته را هیچگاه فراموش نکنید، و آن هم اینکه حتی اگر Firewallتان به طور کامل و به صورت درست پیاده سازی شد، باز هم نباید تنها سپر دفاعیتان باشد. شخصا معتقدم که همواره باید یک Firewall ثانویه هم مورد استفاده قرار بگیرد. این بدان معناست که Firewall اصلی تان نباید روی دستگاهی قرار گرفته باشد که قصد محافظت از آن را دارید.، بلکه باید روی دستگاه دیگری نصب شود. (بنا به بودجه ای که دارید) از هر نوع از Firewall ی که استفاده می کنید باید Firewall اولیه تان باشد و Issabel Firewall باید به عنوان Firewall ثانویه کار کند. اما به هر حال نصب Issabel Firewall بهتر از ان است که کلا از هیچ firewall ی استفاده نکنید.
اگر تجربه زیادی در زمینه ی مفاهیم مرتبط با Firewall ندارید، با این وجود که واسط گرافیکی Firewall کمک بسیاری در ساده کردن کارها برایتان می کند، برخی مفاهیم وجود دارد که باید حتما با آن ها آشنا شوید تا بتوانید پیاده سازی آن را به خوبی انجام دهید و این همان موضوعیست که امیدوارم بقیه ی این راهنما در این زمینه یاریتان نماید.
منوی Firewall
برای یافتن بخش Security کافیست پس از ورود به Issabel به Tab اصلی Security (امنیت) مراجعه نمایید.
وقتی روی Security کلیک کنید منوی زیر را مشاهده خواهید کرد.
حال شما در بخش Firewall GUI هستید. از روی متن قرمز می توانید در یابید که هم اکنون Firewall غیر فعال است.
Palesanto مجموعه ای از قوانین را به صورت پیش فرض ایجاد کرده است که قوانین مورد نیاز برای همه ی برنامه های کاربردی ای را که به عنوان بخشی از Issabel به صورت پیش فرض نصب شده اند، پوشش می دهد. آن ها به تنهایی امنیت خیلی بالایی را برایتان فراههم نمی کنند چرا که به هر ترافیکی اجازه ی دسترسی به برنامه های کاربردی موجود در لیست را می دهند. همچنین از دسترسی هر گونه ترافیک تماسی که در لیست موجود نباشد به سیستم Issabel جلوگیری به عمل می آورد.
بگذارید اینگونه راهنماییتان کنیم که شما در واقع webmin را اجرا کرده اید، از آنجا که پورت 10000(پورت پیش فرض Webmin) باز نیست، قادر نیستید به آن دسترسی داشته باشید.
به هر حال حالا دیگر با ان آشنایید، اجازه دهید نگاهی به مفاهیم اولیه اش بیندازیم.
مفاهیم اصلی در مورد Issabel Firewall GUI
همه چیز با منوی اصلی شروع می شود.
- قوانین Firewall
- تعریف پورت ها
حتما فکر می کنید که تا به اینجا همه چیز بسیار شبیه به همه ی دیگر Firewall هاییست که تا به کنون استفاده کرده اید. باید بگویم که این Firewall می توانند کاملا مشابه با آنچه باشد که بر روی Firewall/Router تان قرار دارد.
این با همه ی Firewall ها مشترک است، باید قادر باشید که قوانین را تعریف کنید، همچنین باید بتوانید پورت هایی را که در قوانین مورد استفاده قرار می گیرد تعریف نمایید.
برخی دیگر از Firewall های موجود در بازار ممکن است که اکثر پورت ها را برایتان تعریف کرده باشند و شما نیاز داشته باشید که قادر باشید پورت هایتان را تعریف کنید تا در Rule ها مورد استفاده قرار بگیرند.حتی در این صورت نیز معمولا متد هایی وجود دارد که بتوان پورت های اضافی ایجاد کرد
تعریف/ویرایش پورت ها
بنابراین قبل از اینکه به این قوانین بپردازیم، بیایید ابتدا نگاهی به تعریف پورت بیندازیم، به این منظور در سمت چپ منو روی Define Port کلیک کنید و سپس مشاهده خواهید کرد که این صفحه بالا می آید:
همانطور که قبلا اشاره کردیم میبینید که Palesanto از پیش تعدادی پورت تعریف کرده است که با نصب پیش Issabel می توان از این پیش فرض ها استفاده کرد، این کار به شما کمک می کند که در زمان صرفه جویی کنید.
بیایید نگاهی به دو تا از این پورت ها بیندازیم. در خطی که نام HTTP را دارد روی لینک VIEW کلیک کنید.
خواهید دید که صفحه ی زیر بالا می آید:
در حالت View Mode قرار دارد بنابراین با ورود به این صفحه هیچ تغییری را ایجاد نکرده اید. این کار فقط به شما اجازه می دهدکه جزئیاتی را که برای این پورت مورد استفاده قرار می گیرد، تایید نمایید.
همانطور که می دانید پورت استاندارد صفحه ی وب پورت 80 است. Name باید یک نام معنی دار باشد و Comment توضیحی است که خودتان اضافه می کنید، همچنین دو گزینه Protocol و Port Numberمی بایست حتما پر شوند.
روی دکمه ی EDIT کلیک کنید تا صفحه ی زیر را مشاهده نمایید:
حالا در حالت Write Mode برای پورت ها قرار داریم و در نتیجه هر تغییری که ایجاد کنید، در صورتیکه آن را Save نمایید دائمی خواهد بود.
همه ی مواردی که ستاره قرمز رنگ دارند فیلدهای اجباری محسوب می شوند.
فعلا اجازه دهید از این کار انصراف دهیم و به پورت دیگری بپردازیم که قدری متفاوت است.
روی لینک View در خطی که پورتی با نام RTP دارد کلیک کنید تا صفحه ی زیر بالا بیاید:
همانطور که مشخص است، این کار تعریف کردن رنج پورت هاست. در این مورد، وقتی RTP را انتخاب می کنیم از قوانین تنظیم Firewall استفاده می نماییم، در حقیقت در حال گفتن ای مطلب به Firewall هستیم که می خواهیم به پورت های 10000 تا 20000 اجازه دهد. آن هایی که پیش نیاز های SIP لازم را برای Asterisk شان می دانند، تشخیص می دهند که 10000 تا 20000 پورت هایی برای RTP هستند که به عنوان پیکربندی پیش فرض Asterisk تنظیم شده اند.
تفاوت دیگری که خواهید دید پروتکل است. پروتکل این پورت طوری تنظیم شده است که فقط به UDP اجازه دهد، بنابراین اگر کسی بخواهد به سیستم Issabel تان متصل شود، و از TCP روی پورت های بین 10000 تا 20000 استفاده کند، حالا مجاز به این کار است.
بیایید نگاهی به Option های این پروتکل بیندازیم.
همانطور که می بینید، 4 گزینه در اختیار ماست
TCP_ در این پورت تنها با بسته های TCP تطبیق دارد. به صورت مشخص HTTP، HTTPS از TCP استفاده می کنند.
UDP_ در این پورت تنها با بسته های UDP تطبیق دارد. به صورت مشخص SIP و RTP پروتکل هایی هستند که از UDP استفاده می نمایند.
ICMP_تنها با بسته های تطبیق دارد از قیبل بسته های Internet Control Message Protocol. می تواند Ping، TraceRoute و ... باشد. به بیان دیگر آنها بخودی خود اطلاعات نیستند، بلکه اطلاعات مربوط به وضعیت شبکه را در خود دارند. اگر می خواهیدکه توانایی Ping گرفتن افراد از سیستم Issabel تان را محدود کنید این موضوع می تواند مفید باشد. باید برای این Option نوع ICMP و شماره کد را مشخص نمایید.
فقط یک نکته، توجه داشته باشید که هر گزینه ی پروتکلی که انتخاب می نمایید، Option ها را تغییر می دهد.
با وجود اینکه تا کنون شما را تا حدی با پورت های از پیش تنظیم شده آشنا کردم، اگر می خواهید پورت های جدیدی را راه اندازی کنید، باید دکمه ی DEFINE PORT را بزنید، و این کار دقیقا مشابه همان ویرایش پورت هاست که در بالا به آن ها اشاره شد.
همواره مفید خواهد بود اگر اطمینان حاصل نمایید که قبل از ایجاد قوانین پورت ها را ایجاد نموده باشید. با شروع نوشتن قوانین ممکن است تمرکزتان را از دست بدهید اگر لازم باشد که برگردید و پورت های فراموش شده را تعریف نمایید.