fireOrion - linuxov firewall v prosted Orion
-----------------------------------------------

Na nsledujcch strnkch najdete aktuln informace o balku fireOrion:

http://support.zcu.cz/index.php/Iptables
http://support.zcu.cz/bezpecnost


vod
----
firewall - vechna een, kter maj za cl zabezpeovat pipojenou privtn 
	s nebo jednotliv pota ped veejnm Internetem, zejmna pak chrnit ji
        ped takovm druhem pstupu, jak provozovatel privtn st povauje za 
        nedouc.

Popis firewallu
---------------
fireorion je konfigurace Netfilteru, paketovho filtru z jdra linuxu (2.6).

Je to soustava pravidel nad vstupnm etzcem INPUT a stavovm firewallem nad
navzanmi spojenmi. Defaultn politikou pro nakldn s pakety je DROP 
(FORWARD a OUTPUT jsou ACCEPT). Povolen spojen pes INPUT jsou z:
  loopbacku (127.0.0.0/8)
  z rozsahu st ZCU (147.228.0.0/16)
  pakety RELATED, ESTABLISHED (pakety patc ke spojenm
    zahajenm chrnnm potaem; nap. datov FTP spojen)
  spojen na port SSH (odkudkoliv)
  ICMP echo (odkudkoliv)

Konfiguran soubor pro firewall je umstn v souboru /var/lib/iptables/active. Ten 
pouvaj nstroje (iptables-save, iptables-restore) z balku iptables
ve startovacm skriptu systmu (/etc/init.d/iptables). Dle nech
zavst zbytek potebnch modul (ip_conntrack_ftp, ip_conntrack_irc).
V souasnm Debianu (Sarge - 08/2006) se situace se startovacmy skripty mn,
podrobnosti lze nalzt v dokumentaci k balku iptables v souboru 
/usr/share/doc/iptables/README.Debian.gz.

Pro ovldn firewallu je mon pout grafick nstroje, nap. ipmenu
(http://users.pandora.be/stes/ipmenu.html) nebo Shorewall
(http://www.shorewall.net/).

Kompilace jdra
---------------
Pro provoz firewallu potebujeme nainstalovat balek iptables
$ apt-get install iptables

a zkompilovan jdro s potebnmi moduly a volbami (nejlpe pes 
make menuconfig), nebo standartn jdro z distribuce.

Networking ->
    Networking Options ->
	[*] Network packet filtering (replaces ipchains) ->
    	     Core Netfilter Configuration  ->
    		<M> Netfilter Xtables support (required for ip_tables) 
    		<M>   Multiple port match support
		<M>   "state" match support
	    IP: Netfilter Configuration ->
		<M> Connection tracking (required for masq/NAT) [CONFIG_IP_NF_CONNTRACK]
    		<M>   FTP protocol support [CONFIG_IP_NF_FTP]
    		<M>   IRC protocol support [CONFIG_IP_NF_IRC]
		<M> IP tables support (required for filtering/masq/NAT)
		<M>   Packet filtering [CONFIG_IP_NF_FILTER]
		<M>     REJECT target support 

Odkazy
------
.. na lnky souvisejc s problematikou firewall.

http://www.root.cz/clanek/980 
http://www.abclinuxu.cz/clanky/ViewRelation?relationId=19245 
http://www.abclinuxu.cz/clanky/ViewRelation?relationId=19969 

http://www.netfilter.org 
http://www.netfilter.org/documentation/index.html#documentation-howto 

