webmin/firewall/help/intro.ru.html

<header>Межсетевой экран Linux</header>

<h3>Введение</h3>

Этот модуль позволяет вам конфигурировать функции брандмауэра IPtables имеющиеся в ядре Linux 2.4.
В отличии от некоторых других программ конфигураторов, вместо того, чтобы создавать shell script для добавления правил брандмауэра, он считывает и редактирует файл сохраненный в формате, который считывается и записывается командами <tt>ipi(6)tables-restore</tt> и <tt>ipi(6)tables-save</tt> соответственно. <p>

Если в вашей системе уже есть брандмауэр настроенный вручную или при помощи скрипта, модуль предложит конвертировать ваши настройки в IPtables-save файл, и создаст скрипт активирующий правила из этого файла при запуске системы. 

Однако, если Вы сделаете это, вы больше не будете редактировать вручную свой скрипт добавляющий правила в брандмауэр, и должны будете отключить его автозагрузку при старте системы. <p>

<h3>Краткий обзор IPtables</h3>
Каждый входящий (Input), исходящий (Output) или перенаправляемый (Forward) сетевой пакет, проверяется одной или несколькими цепочками правил, для определения того, что с ним делать. Каждая цепочка может содержать несколько правил или может быть пустой. У каждого правила есть Условие (для указания того, какие пакеты будут обрабатываться этим правилом), и Действие (для указания того, что необходимо сделать с пакетом если он соответствует Условию). Если пакет не соответствует Условию, он перемещается дальше по цепочке к следующему правилу. Каждая цепочка правил имеет также "действие по-умолчанию", которое производится с пакетом достигшим конца цепочки.<p>

Каждая цепочка является частью таблицы.
Таблиц всего три:
<ul>
<li><b>Фильтрация пакетов (<tt>filter</tt>)</b><br>
Цепочки в этой таблице могут использоваться для управления информацией приходящей в вашу систему от других хостов в сети, отправляемой пользователями и процессами вашей системы, и перенаправляемой вашей системой, если она используется как маршрутизатор. <p>
<li><b>Преобразование сетевых адресов (<tt>nat</tt>)</b><br>
Эта таблица может быть использована для организации NAT или masquerading, которые понадобятся, если вы захотите предоставить пользователям внутренней сети доступ в интернет через один внешний IP-адрес. <p>
<li><b>Преобразование сетевых пакетов (<tt>mangle</tt>)</b><br>
Эта таблица используется для модификации пакетов отправляемых вашей системой, или перенаправляемых от других хостов в сети. <p>
</ul>

В дополнение к стандартным цепочкам, которые входят в каждую из таблиц, вы можете создать свои собственные Пользовательские цепочки. Их можно вкладываться в другие цепочки в пределах одной таблицы, и если пакет достигнет конца такой цепочки, пакет вернется в вызвавшую его цепочку и продолжит движение по ней.
Пользовательские цепочки можно использовать для группировки часто повторяющихся правил (чтобы не повторять их по несколько раз, а просто пересылать пакет в соответствующую цепочку) или распределения пакетов отвечающих различным условиям по разным цепочкам (например, можно сделать для пакетов принадлежащих разным протоколам отдельные цепочки: чтобы UDP-пакеты не проходили через правила для TCP-пакетов и т.п) .<p>

<h3>Главная страница</h3>

На главной странице этого модуля перечислены все цепочки и правила одной из
доступных таблиц Iptables. 
Выбрать таблицу для отображения можно при помощи выпадающего меню в левом верхнем углу экрана. 
На странице находятся разделы, в каждом из которых отображается одна из цепочек текущей таблицы, с перечислением всех правил.
В конце каждого раздела находятся кнопки, которые позволяют изменить <tt>Действие по-умолчанию</tt> для встроенных цепочек, и переименовать или удалить ранее созданные Пользовательские цепочки. Так же, там находятся кнопки для добавления, перемещения и удаления правил из цепочек.
Создать новую Пользовательскую цепочку, можно при помощи кнопок в правом верхнем углу экрана. <p>

Для каждого правила в списке цепочек, указано его Условие, Действие и Описание.
Щелчком на любом из правил можно его отредактировать. Стрелки справа позволят переместить правило по цепочке вверх или вниз, а так же, сразу создать новое правило в необходимом месте цепочки. 
При попытке добавить или отредактировать правило, откроется новая страница на которой вы сможете выбрать <tt>Действие</tt> для правила, а так же <tt>Условие</tt>, при котором это Действие должно выполняться. <p>

В самом низу главной страницы находятся несколько кнопок: <tt>Применить конфигурацию</tt> - активирует текущие настройки брандмауэра, загружая их в ядро командой <tt>ipi(6)tables-restore</tt>. <tt>Вернуть конфигурацию</tt> действует наоборот - загружает в окно для конфигурирования настройки, активные в данный момент в ядре. <tt>Включать при запуске</tt> позволяет настроить автозапуск брандмауэра (если поддерживается вашим дистрибутивом). <tt>Сбросить конфигурацию</tt> - очищает все цепочки и таблицы, чтобы начать настройку с нуля.<p>

<h3>Filtering chains</h3>

For better collaboration with external iptables scripts you can exclude individual
chains from the processing by the firewall. To do this, you must select direct
processing of rules in the settings and enter a filter list, which excludes
the appropriate chains from processing.
Chains that are not exculded from editing are flagged with a "not managed by firewall" message.
<p>

<h3>IP Sets</h3>

Newer versions of ip(6)table support the ipset extension.
IP sets are lists of IP addresses in the main memory, which can be searched very efficiently
and used as a condition in rules. On the main page, existing IP sets that can be used by 
rules are displayed. Currently, however, it is not possible to manage these in the firewall.
<p>

<hr>