- Типи протоколів: TCP, UDP, ICMP і т.д.
- Номери портів (для TCP / UPD)
- Типи пакетів: SYN / ACK, data, ICMP Echo Request і т.д.
- Звідки прийшов пакет
- Куди йде пакет
Важливо зрозуміти, що IP-фільтрація є засобом мережевого рівня. Це означає, що вона не розуміє нічого щодо прикладної програми, що використовує мережеві підключення, а розуміє тільки щось безпосередньо щодо підключень. Наприклад, Ви можете відкидати доступ користувачів до Вашої внутрішньої мережі через telnet-порт, але якщо Ви покладаєтеся ТІЛЬКИ на IP-фільтрацію, Ви не зможете заборонити використання програми telnet з портом, з якого Ви дозволяєте передавати пакети через Ваш firewall. Ви можете запобігати цим проблеми, використовуючи проксі-сервер для кожного сервісу, що проходить через firewall. Проксі-сервери розуміють прикладну програму, під яку вони були розроблені, і запобігають зловживанням типу використання програми telnet, щоб обійти firewall через порт для World Wide Web. Якщо Ваш firewall підтримує проксі для World Wide Web, telnet буде завжди з'єднуватися тільки з ним, і проходити будуть тільки HTTP-запити. Є багато проксі-серверів, як комерційних, так і вільних. Вони добре розглянуті в Firewall-HOWTO.
Тут використані два правила фільтрації. Ми повинні дозволити нашим даними виходити, але також повинні дозволити повертатися відповідей на запити. На ділі Linux спрощує це і дозволяє нам визначати ці правила в одній команді.
Що таке Firewall?
Налаштування Firewall в Linux