Shorewall
„Shorewall“ – aukšto lygio ugniasienė. Vartotojas gali napibrėžti ugniasienės reikalavimus pasinaudodamas nustatymais, esančiais konfiguraciniuose failuose. „Shorewall“ pasinaudodamas konfiguraciniais failais ir tokiomis programomis kaip „iptables“, „iptables-restore“, „ip & tc utilities“ sugeba nustatyti „Netfilter“ ir Linux operacinės sistemos tinklo posystėmę taip, kad jos atitiktų vartotojo saugumo reikalavimus.
Juodųjų sarašų kūrimas (Shorewall Blacklisting)
Shorewall juodujų sarašų (Blacklist) palaikolo du tipus: statinį (static) ir dinaminį (dynamic). Pagal nutylėjimą, jei juodojo sąrašo taisyklės nėra pakeistos, tada vyksta tik šaltinio adreso tikrinamas. Tame sarašę esantiems adresams neleidžiama prisijungti prie galutinio tikslo – serverio, tačiau šis tipas sudarinėjantis juoduosius sarašus negali nutraukti jau vykstančių susijungimų su jau ęsančių juodajame saraše adresais. Dinaminis juodujų sarašų sudarymo tipas nėra tinkamas atskirti iš tukstančių, ar daugiau, adresų blogus nuo gerų. Statinis juodųjų sarašų sudarymo tipas gali atlaikyti didelius kiekius skirtingų adresų ęsančių saraše tik tada jei naudojamas ipsets. Nenaudojant ipsets, juodasis sarašas krausis labai ilgai ir daris neigiamą įtaką ugniasienės veikimui.
Paprasta duomenų srauto kontrolė ir formavimas
Shorewall duomenų srauto formavimas leidžia vartotojui nustatyti tokį pralaidumo juostos dydį, kokį gali palaikyti sąsaja. Ši ugniasienė duomenų srauto formavimui naudoja tris algoritmus: „Hierarchical Token Bucket“( HTB), „Hierarchical Fair Service Curves“ (HFSC), „Stochastic Fairness Queuing“ (SFQ). SFQ – bando sekti tcp arba udp susijungimų srautus ir balansuoti duomenų srautą tarp jų. HTB ir HFSC leidžia vartotojui/administratoriui apibrėžti klasių nustatymus, pagal kuriuos bus skirstomas duomenų srautas. Klasėms galima apibrėžti minimumą ir maksimumą pralaidumo juostos pločio, kurį jos naudotų arba juostos plotį skirstyti hierarkiškai (mažesnį prioritetą turinčios klasės gautų joms reikalingą pralaidumo juostos plotį tik tada jei klasės su didesniu prioritetu gautų tiek kiek joms reikia). Be to HFSC leidžia apibrėžti didžiausiąeilių užlaikymo laiką, kurį paketai, ęsantys eilėje, gali patirti. Shorewall ugniasienės sukuriamas duomenų srauto formavimas leidžia nustatyti klases (ir jų pralaidumo juostos dydį) ir klasių viduje naudoja SFQ, tam kad užtikrintų skirtingų duomenų sratutų vienodą tvarkymą. Naudojant Intermediate Functional Block (IFB) įrankį galima formuoti įeinantį duomenų srautą. Išeinantis duomenų srautas formuojamas ir kontroliuojamas pasinaudojant klasėmis, kurių kiekviena yra susieta tik su viena tinklo sąsaja ir turi tam tikrus požymius:
1) PRIORITY - naudojama suskirstyti klasių prioritetams, kai yra parenkami siuntimui paketai. Prioritetas skirstomas numeruojant: 1 - turi didžiausią prioritetą, 2 – didžiausias prioritetas po pirmojo ir t.t..
2) RATE – pralaidumo juostos minimumas, kurį turi gauti klasė, kai padidėja duomenų srauto kiekis. Klasės su didesniou prioritetu visada yra „aptarnaujamos“ net jei yra kitos klasės, turinčios karantuoą duomenų srauto juostos plotį, bet su mažesniu prioriteto lygiu t.y. nėra tokios svarbios.
3) CEIL – pralaidumo juostos maksimumas, kurį galima naudoti, kai sąs aja neturi darbo
Literatūra
http://www.shorewall.net/blacklisting_support.htm