Squid web cache server, ipchains csomagszûrõvel telepítés

v1.0 Kedd Július 17 14:28:45 2001

Írta: Micskó Gábor [ trey trey@debian.szintezis.hu ]


Ez a dokumentum leírja, hogyan telepítsük fel egy Squid web cache servert, ipchains csomagszûrõvel Debian GNU/LiNUX -ra


Tartalom :

1.0 Miért is kell webcache ?

2.0 A tervezés

3.0 Milyen legyen a hardware ?

4.0 Milyen cache servert használjunk ?

5.0 Milyen operációs rendszert használjunk ?

6.0 Mi kell még a SQUID -en kívül ?

7.0 A feladat

8.0 Hardware elõkészítés

9.0 Az operációs rendszer telepítése

10.0 A SQUID

11.0 Biztonsági beállítások

12.0 Az ipchains

13.0 Végszó


1.0 Miért is kell webcache ?

 

Egy cég számítógépes hálózatán több számítógép használhatja az internetet egyidõben. Több felhasználó nézheti ugyanazt az oldalt, töltheti le ugyanazt a filet ftp -rõl. Felmerülhet a kérdés, hogy nem volna e célszerû a naponta nézett weboldalak tartalmát cache -elni (lokálisan tárolni) egy bizonyos ideig. De bizony célszerû. A lokális másolat gyorsabban elérhetõ, mintha ugyanazt a dokumentumot mindíg az eredeti helyérõl kérnénk le. Az internetszolgéltatók is használnak ilyen cache szervereket. A számítások azt mutatják, hogy olyan vállalatnál, cégnél ahol ~15 munkaállomásnál több használja az internetet, érdemes egy proxy szervert építeni. A statisztikák azt mutatják, hogy egy jól felépített proxy szervernél a találati arány akár 30% is lehet. A proxy szervereknek kettõs feladata van. Egyrészt a már említett cache funkció, másrészt hogy egy valamilyen szabályok szerinti forgalom irányítást végezzen az Internet káosza, és a szép rendezett lokális hálózatunk között.

 

2.0 A tervezés

Ha úgy döntünk, hogy kell nekünk egy ilyen szerver, az alábbiakra lesz szükségünk :

-egy valamilyen un*x operációs rendszer (szándékosan nem írtam linux -ot ;] )

-egy stabil hardware -ra

-2 db ethernet kártyára

-egy gyors HDD -re

-sok-sok RAM -ra

 

3.0 Milyen legyen a hardware ?

Ez egy jó kérdés. Mondhatnám azt, hogy a leggyorsabb processzor, a leggyorsabb HDD, meg amennyi RAM -unk van. De szerintem egy kis cégnél (40-60 kliens), egy hasonló konfigurációval már jó eredményt lehet elérni.

- PII processzor (a belsõ cache sokat számít, aki tudja mi a kulönbség a random I/O és a szekvenciális I/O között az tudja mire gondolok)

-9 Gb SCSI HDD (természetesen lehet kisebb, esetleg IDE diszk is de akkor számolnunk kell a lassabb adateléréssel)

-RAM a memóriát ugy méretezzük, hogy a SQUID 'zabálja' a memoriát, tehát ne sajnáljuk, én minimum 128MB -ot ajánlok, de ha van lehetõségünk akkor tegyünk többet a gépbe.

Azt szokták mondani, hogy a SQUID minden 1 GB lemezterülethez 10MB RAM -ot használ. Ezt ajánlatos észben tartani, mert láttam már olyan alulméretezett proxy szervert ami nem gyorsította az internet elérést, hanem ellenkezõleg. Az volt a szûk keresztmetszet a hálózaton.

Ennél pontosabban tudod a hardwaret méretezni, ha ellátogatsz a http://www.squid-cache.org/ -ra, ami a SQUID hivatalos weblapja.

 

4.0 Milyen cache servert használjunk ?

Én ebben az írásban a Squid 2.xx proxy szervert ismertetem. Hogy miért? Azért, mert a legelterjedtebb, majdnem minden platformon megtalálható, kis angol nyelvtudás birtokában, viszonylag egyszerûen konfigurálható.

 

5.0 Milyen operációs rendszert használjunk ?

A SQUID tesztelve van LiNUX -on, Solarison, *BSD -ken, es még egy rakás oprendszeren. Én most a Debian GNU/LiNUX 2.2 potato operációs rendszert választom. Miért ? Mert egy stabil, gyorsan telepíthetõ, minimális konfigurációval telepítve jól áttekinthetõ, gyorsan upgrade -lhetõ, a biztonsági frissítések akár órákon belül elérhetõek hozzá. (apt-get update, apt-get upgrade)

 

6.0 Mi kell még a SQUID -en kívül ?

Ha tûzfalat szeretnénk építeni, szükség van a gép védelméhez valamilyen kernel szintû védelemre. Ez jó dolog mert, gyors. Erre a LiNUX ban 2 eszköz is a rendelkezésünkre áll. Az egyik az ipchains, a másik az iptables. Az iptables az ipchains továbbfejlesztett verziója, amely a 2.4.xx -es kernelektõl használhatjuk. Én ebben az írásban az ipchains -t ismertetem, mert az iptables a jelen pillanatban meg nem teljesen kiforrott, és néhány biztonsági rés is van rajta. A jó tûzfal mindíg valamilyen kernelszintû + applikáció szintû komponensbõl épül fel.

Jelen esetben a kernel szintû védelemet az ipchains http://debian.szintezis.hu/ipchains/index.html , az applikáció szintû megvalósítást pedig a SQUID biztosítja.

Ennyi bevezetõ után térjünk a lényegre:

 

7.0 A feladat

Adott egy vállalat amelynek a belsõ hálózata 10.0.0.0/24 -es tartományból kiosztott ipcímeket használ. A tarományban kb. 40 kliens található, amelyek szeretnék elérni az internetet. Szeretnénk a belsõ hálózatot megvédeni a gonosz crackerektõl. A levelezést és http szervert (DMZ) egy külön géppel oldjuk meg, ez nem témája ezen írásnak. Hogyan csinaljuk ?

Megoldhatjuk többféleképpen is. Az ipchains -t használva masq -olhatjuk a belsõ hálózatot, így mindegyik gép elérheti az internetet, kis ügyeskedéssel az internet felõl is elérhetõek a belsõ gépek. De akkor le kell mondanunk az authentikációról, és a cachelésról.

Vagy pedig építünk egy proxy szervert. Hát építsünk!

 

Egy példa a tûzfal elhelyezésére

 

8.0 Hardware elõkészítés

Építsük be a két hálózati kártyát a gépbe. Ügyeljünk a megfelelõ slotba kerüljenek, lehetõleg használjunk PCI -os 10/100 as kártyákat. Ne akarjunk 10 BASE-Típusú hálózati kártyából proxyt építeni, semmi értelme. Ha hálózati kártyát választunk, probáljunk meg valamilyen server kártyát venni aminek saját processzora van, és nem a CPU -t terheli. Esetleg ami a busmaster -t támogatja. Tippet nem adok, lehet 3 ezer forintos Realtek8139 -bõl is építeni, mindenki döntse el mire van szüksége.

Én az alábbi gépre telepítettem :

PII 350 Klamath processzor 512kB cache

6GB SCSI HDD

256 MB SDRAM

2db Realtek8139 NIC

 

9.0 Az operációs rendszer telepítése

Használjuk a Debian legutolsó terjesztését. Ez jelen pillanatban a Debian GNU/LiNUX 2.2r3.

Helyezzük a cd -t a meghajtóba, és bootoljunk róla. Ha a géped nem támogatja az El Torito szabványt, kénytelen leszel floppyról elinditani a telepítõt. Itt találsz hozzá segítséget:

http://debian.szintezis.hu/stuff/install.txt

 

1. Állítsuk be a billentyût

2. Partícionálás

Bootable /boot 20 MB

/home 1000MB

/ 2500MB

/var 2794MB

swap 128 MB

- inicializáljuk a swap partíciót

- inicializáljuk a linux partíciókat

elõször a / partíciót

majd a /boot , /home, /var partíciókat.

 

Következik az operációs rendszer kernel moduljainak a telepítése. Tõltsük be az rtl8139 nevû modult.

Konfiguráljuk a Hálózatot:

Hostname : debian

válaszzuk ki a a két ethernet kártya közül melyik lesz a külsõ interface. Legyen ez az eth0.

Adjuk meg az adatait :

ip: 195.56.253.243

netmask: 255.255.255.248

default gateway: 195.56.253.246

domain: szintezis.hu

Természetesen ezeket az adatokat nem kitaláltam, hanem az ISP bocsátotta rendelkezésre.

nameserver: 195.56.253.245 egy nameserver a domain -ben

nameserver: 194.149.0.157 a datanet egyik nameservere

Ha ez megvan telepítsük fel a base rendszert.

Konfuguráljuk a base rendszert :

A földrajzi helynél válasszuk értelemszerûen az Europe -> Budapest beállításokat.

A telepítõ megkérdezi, hogy szertnénk e, hogy a GMT idõt a hardware óra tárolja ? Válaszoljunk bátran _nem_ -el.

Tegyük a merevlemezünket boot -olhatóvá. Install lilo in the MBR. Azaz a lilot installáljuk a Master Boot Record -ba.

Megkérdezi, hogy szeretnénk e bootfloppyt készíteni? Erre mit mondjak ? =) Erõsen ajánlott.

Reboot System.

Az alaprendszer ezzel felkerült a gépünkre. Ha mindent jól csináltunk, akkor a reboot után a rendszer már a HDD -rõl indul.

A telepítõ rákérdez, hogy akarjuk e az MD5 típusú passwordok használatát. Akarjuk. Igaz figyelmeztet, hogy gondok lehetnek a NIS, NIS+ egyéb dolgokkal, de mi azokat nem akarjuk használni.

Akarunk e shadow passwordot ? Naná. A válasz : yes.

Utánna bekéri a root jelszót. Írjuk be. Lehetõleg ne 'alma' vagy valami hasonló legyen, használjunk szám-írásjel-betû kombinációt.

Hozzunk létre egy normál usert a mindennapi használathoz. Igaz a firewallon nem lesz user (optimális esetben), de azert jó ha nem root -ként, dolgozunk a gépünkön. A root accountot csak szigorúan rendszeradminisztrációs célból használjuk! Ez alapszabály.

Megkérdezi a telepítõ, hogy eltávolíthatja-e a pcmcia csomagokat. Hadd szedje le, kell a bánatnak.

Kérdi, hogy kell e a PPP (Point to Point Protocol)? Nem kell.

 

Következik az Apt konfigurációja.

Akarunk e non-us csomagokat ? Igen.

Akarunk e non-free csomagokat ? Igen.

Akarunk e contrib csomagokat ? Igen.

Megkérdi honnan telepítsen ? Válasszuk a hozzánk közel esõ mirrort. Nekem a ftp://ftp.at.debian.org jött be.

Megkérdezi, hogy akarunk e más apt source -t hozzáadni ? Igen.

deb ftp://ftp.hu.debian.org/debian potato main contrib non-free

deb ftp://ftp.us.debian.org/debian potato main contrib non-free

deb http://security.debian.org potato/updates main contrib non-free

deb http://non-us.debian.org/debian-non-US potato/non-US main contrib non-free

valami ilyen legyen a /etc/apt/sources.list -ben.

Kérdi milyen telepítést szeretnénk. Mivel a jó proxy lényege, hogy minel kevesebb applikáció legyen rajta, minél biztonságosabb legyen, ezért válasszuk az Advanced telepítést.

Elindítja a dselect -t. Ne válasszunk ki semmit. Remove packages. Ezzel leszedi a pcmcia csomagot.

Lépjünk ki a dselect -bõl.

Have a lot of fun.

Loginoljunk be root -ként. Ezzel egy teljesen minimális alap debian rendszert telepítettünk a gépünkre, amiból hiányzik minden sallang, X server meg ilyen tök fontos dolgok a proxy szempontjából =).

Ha sikeresen bejelentkeztünk, frissitsük fel a rendszerünket. Nagyon fontos a tûzfal naprakész frissítése, a security bugok kijavítása. A Debian disztibúció szerencsére ehhez minden támogatást megad. Tehát az elsõ lépés :

apt-get update

apt-get upgrade

Ezzel a rendszerünket up-to-date állapotba hoztuk. Ezt az eljárást ezentúl cészerû lesz naponta elvégezni. Ha lusták vagyunk irhatunk rá egy scriptet, amit crontab -olva, ezt automatizálhatjuk is.

Mivel a telepített rendszerünk mentes minden felesleges elemtõl, a müködéshez néhány dolgot telepítenünk kell :

apt-get install mc (hogy a rutintalan arcok is boldoguljanak)

Mivel a telepítés folyamán a telepítõ csak az egyik hálózati csatolót állítja be, itt az ideje hogy a másikat konfiguráljuk. Tehát :

/etc/network/interfaces

iface eth0 inet static

address 195.56.253.245

netmask 255.255.255.0

network 195.56.253.240

broadcast 195.56.253.247

gateway 195.56.253.246

ezt látjuk benne. Ennek a mintájára irjuk meg a belsõ intercace adatait :

iface eth1 inet static

address 10.0.0.252

netmask 255.255.255.0

broadcast 10.255.255.255

 

Ezzel beállítottuk a két hálózati interfacet. Az ifdown -a parancsal húzzuk le a csatolókat, majd az ifup -a -val fel. Az ifconfig parancsak ellenõrizzük, és ha minden jól megy akkor a kimeneten 3 interfacet kell látnunk :

 

eth0 a külsõ csatoló 195.56.253.245 -ös ip -vel

eth1 a belsõ csatoló 10.0.0.252 es ip -vel

lo a localhost 127.0.0.1 ip -vel

 

No, ellenõrizzük is le, hogy mennyire mûködik a dolog :

ping 10.0.0.1 O.K.

ping 195.56.253.245 O.K.

ping www.bme.hu O.K.

Ha ezek mennek, akkor megy a belsõ hálózat, és a külsõ hálózat (internet) is. És amint látjuk a névfeloldás is. Ezzel tulajdonképpen a hálózati beállítások végére értünk.

Hogy ne nagyon kelljen bolygatni a proxyt a késõbbiekben, keressünk egy szimpatikus kernelt, amit használni fogunk. Én a 2.4.5 -öst használom. Töltsük le az ftp.hu.kernel.org -ról. Konfiguráljuk, fordítsuk le, installáljuk.

 

Most jön egykét szükséges komponens telepítése :

apt-get install binutils

apt-get install make

apt-get install gcc

apt-get install apache

apt-get install squid

apt-get install exim

apt-get install logrotate

apt-get install dnsutils

 

10.0 A SQUID

Nos most, hogy az operációs rendszert feltelepítettük, installáljuk fel a SQUID -et. Ehhez az apt-get install suid borzasztóan bonyolult parancsot kell kiadni. Ha feltelepült szerkeszzük a /etc/squid.conf -ot.

Lássuk mit is kell állítni benne :

http_port 3128 - ezen a porton fog figyelni a squid

icp_port 3130 - ezen a porton fog a squid ICP kéréseket fogadni és küldeni más cache serverekhez

cache_peer hostname type 3128 3130 - itt tudunk a proxy hierarchiába beállítani, ez lehet parent, vagy child proxy

hierarcy_stoplist cgi-bin \ ?

acl QUERY urlpath_regex cgi_bin \ ?

no_cache deny QUERY - ezeket a sorokat a SQUID fejlesztõi erõsen ajánlják hogy uncommentezzük ki . Hát tegyük azt.

cache_mem 8MB - ez a default, igény szerint állítsuk be

cache_dir /var/spool/squid 100 16 256 - ahol a '100' a cache mérete megabyte -ban, a '16' a cache könyvtárak száma, és a '256' a könyvtárakon belüli subdirectory -k száma

cache_access_log /var/log/squid/access.log

pid_filename /var/run/squid.pid

ftp_user squid@gep.valahol.hu - anonymous ftp esetén ezt a e-mail címet küldi el jelszóként

ftp_list_width 32 - a browserbe a megjelenítendõ ftp lista szélessége

ezek az általános beállítások.

Lássuk az authentikációt. ncsa_auth -ot fogunk használni :

authenticate_program /usr/lib/squid/ncsa_auth /usr/etc/passwd - az elsõ tag az auth program helye, a második a felhasználók:jelszavak helye

Most jön a legfontosabb rész, az ACL avagy az Access Control List. Ebben szabályozzuk, hogy ki használhatja a proxy szervert.

acl local proxy_auth REQUIRED - ahol a 'local' az általam definiált felhasználói csoport

http_access allow local -ezt remélem nem kell magyarázni

proxy_auth_realm Squid proxy caching web server - amit az authentikációt kérõ ablakba kiír

Namost ezzel már egy alapszinten konfigurált web cache -ünk van. Ez egy kliens browserébe beállítva (10.0.0.252:3128), autentikációt fog kérni. Létre kéne hoznunk a passwd filet. Ehhez az apache htpasswd segédprogramját fogjuk használni.

cd /usr/etc

htpasswd -c passwd user

kérni fog az 'user' nevû felhasználóhoz egy jelszót, írjuk be. Innentõl ez a felhasználó tudja használni a proxy -t. A következõ felhasználó hozzáadása :

htpasswd passwd jozsi

felhasználó törlése :

a passwd file -ból a megfelelõ felhasználó kitörlésével.

A squid egy eleg jól konfigurálható szerver. Ezer beállítása van, én ennek az egy százalékát ismertettem, ezt mindenkinek a saját rendszeréhez kell igazítani. A squid.conf nagyon jól van kommentezve, el kell olvasni, és a megfelelõ helyen átírni.

11.0 Biztonsági beállítások

Egy firewall esetén fokozottan oda kell figyelni a biztonság kérdésére. A gépen lehetõleg minél kevesebb service fusson. A gépnen ne legyenek fölöslegesen nyitott portok. Szerezzük be az nmap nevû programot. (apt-get install nmap) Ez egy security scanner, amellyen egy masik géprõl le tudjuk ellenõrizni a nyitot portjainkat. A nyitott portok, fõleg az 1024 alatti portok (és a mögöttük futó servicek) veszélyesek lehetnek.

nmap 195.56.253.245

7/tcp echo
9/tcp discard
13/tcp daytime
19/tcp chargen
23/tcp telnet
37/tcp time
79/tcp finger
111/tcp sunrpc
512/tcp exec
513/tcp login
514/tcp shell
515/tcp printer

3128/tcp squid

4045/tcp lockd
32771/tcp sometimes-rpc5
32772/tcp sometimes-rpc7
32773/tcp sometimes-rpc9
32774/tcp sometimes-rpc11
32775/tcp sometimes-rpc13
32776/tcp sometimes-rpc15
32777/tcp sometimes-rpc17
32778/tcp sometimes-rpc19

látjuk, hogy egy rakás fölösleges dolog fut. Nézzük az UDP portokat :

nmap -sU 195.56.253.245

3130/udp squid-ipc

na, szedjük ki a szükségtelen portokat. Mire van szüksége a egy jó tûzfalnak ?

Szerintem:

nmap host

Port State Protocol Service

22 open tcp ssh

3128 open tcp squid_http

nmap -sU host

Port State Protocol Service

3130 open udp squid-ipc

Ennyire van szükség, a többi teljesen felesleges, és a tûzfal szempontjából további támadási pont. Ne feledjük el,hogy a tûzfal lesz az 'átjáró' az internet, és a saját lokális hálózatunk között. Tehát a legnagyobb figyelemet kell rá fordítanunk.

Ha nem ezeket látjuk, a megfeleõ serviceket távolítsuk el.

update-rc.d -f portmap remove !!!

utánna szerintem egy tûzfalon nem kell inetd

update-rc.d -f inetd remove

ha megvan, allítsuk le a portmappert és az inetd -t.

Elvileg ha lescanneljük a gépünket, ah ssh -n és a squiden kívül nem fut semmi. Good.

12.0 Ipchains

Fokozzuk a védelemet. Állítsuk munkába a kernel szintû védelemet is.

-------------------------------------------------------------------------

#!/bin/bash
#simple firewall script by trey
#

ipchains='/sbin/ipchains'
pub_ip='195.56.253.243'
priv_ip='10.0.0.252'
dns='195.56.253.245'
dns1='194.149.0.157'

case "$1" in
start)

echo -n "Starting up firewall : ipchains"

echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/ip_always_defrag
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

$ipchains -P input DENY
$ipchains -P forward DENY
$ipchains -P output ACCEPT

$ipchains -A input -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
$ipchains -A input -p UDP -s $pub_ip -d $pub_ip -j ACCEPT
$ipchains -A input -p TCP -s $dns domain -d $pub_ip -j ACCEPT
$ipchains -A input -p UDP -s $dns domain -d $pub_ip -j ACCEPT
$ipchains -A input -p TCP -s $dns1 domain -d $pub_ip -j ACCEPT
$ipchains -A input -p UDP -s $dns1 domain -d $pub_ip -j ACCEPT
$ipchains -A input -p TCP ! -y -d $pub_ip -j ACCEPT
$ipchains -A input -p TCP -d $pub_ip ssh -j ACCEPT
$ipchains -A input -s 10.0.0.0/24 -d $priv_ip -j ACCEPT


echo "."
;;

stop)

echo -n "Shutting down firewall : ipchains"

echo "0" > /proc/sys/net/ipv4/tcp_syncookies
echo "0" > /proc/sys/net/ipv4/ip_always_defrag
echo "0" > /proc/sys/net/ipv4/conf/all/rp_filter


$ipchains -P input ACCEPT
$ipchains -P forward ACCEPT
$ipchains -P output ACCEPT

$ipchains -D input -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
$ipchains -D input -p UDP -s $pub_ip -d $pub_ip -j ACCEPT
$ipchains -D input -p TCP -s $dns domain -d $pub_ip -j ACCEPT
$ipchains -D input -p UDP -s $dns domain -d $pub_ip -j ACCEPT
$ipchains -D input -p TCP -s $dns1 domain -d $pub_ip -j ACCEPT
$ipchains -D input -p UDP -s $dns1 domain -d $pub_ip -j ACCEPT
$ipchains -D input -p TCP ! -y -d $pub_ip -j ACCEPT
$ipchains -D input -p TCP -d $pub_ip ssh -j ACCEPT
$ipchains -D input -s 10.0.0.0/24 -d $priv_ip -j ACCEPT

echo "."

;;

flush)

echo -n "Flushing firewall settings : "

echo "0" > /proc/sys/net/ipv4/tcp_syncookies
echo "0" > /proc/sys/net/ipv4/ip_always_defrag
echo "0" > /proc/sys/net/ipv4/conf/all/rp_filter

$ipchains -F
$ipchains -P input ACCEPT
$ipchains -P forward ACCEPT
$ipchains -P output ACCEPT

echo "done."

;;


*)
echo "Usage: ./firewall { start | stop }"
exit 1
;;
esac

exit 0

-------------------------------------------------------------------------

Ezzel a tûzfal beállításait elvégeztük. A tûzfal a jelen beállítások mellett az input és forward láncon minden forgalmat tilt. Az output láncon minden forgalmat enged.

$ipchains -P input DENY
$ipchains -P forward DENY
$ipchains -P output ACCEPT

A tûzfalon a lokális forgalmat engedélyzzük:

$ipchains -A input -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

(ipchains -A input -i lo -j ACCEPT)

a következõ beállitás az snmpd eléréséhez kell :

$ipchains -A input -p UDP -s $pub_ip -d $pub_ip -j ACCEPT

Biztosítjuk a DNS szerverek elérését:

$ipchains -D input -p TCP -s $dns domain -d $pub_ip -j ACCEPT
$ipchains -D input -p UDP -s $dns domain -d $pub_ip -j ACCEPT
$ipchains -D input -p TCP -s $dns1 domain -d $pub_ip -j ACCEPT
$ipchains -D input -p UDP -s $dns1 domain -d $pub_ip -j ACCEPT

Engedélyezzük az általunk felépített kapcsolatra érkezõ válaszcsomagok fogadását, de tiltjuk a tõlünk a kapcsolat felépítését kérõ csomagokat.

$ipchains -A input -p TCP ! -y -d $pub_ip -j ACCEPT

Engedélyezzük az SSH kapcsolatot:

$ipchains -D input -p TCP -d $pub_ip ssh -j ACCEPT

és engedélyezzük a gép elérését a belsõ hálózat irányából:

$ipchains -D input -s 10.0.0.0/24 -d $priv_ip -j ACCEPT

 

13.0 Végszó

Ennyit szerettem volna leírni a Squid proxy -val kapcsolatban. A leírás a saját tapasztalataim alapján készült, a mûködéséért semmilyen feleõsséget nem vállalok. Remélem segít egy alapszintû tûzfal felállításában, de a legnagyobb biztonság elérésének céljából mindenkinek a saját rendszeréhez kell igazítania az itt olvasottakat.

Ha valami kérdésed, építõ jellegû kritikád, hozzáfûzni valód lenne : trey@debian.szintezis.hu

Sok szerencsét!