Manapság már minden rendszer esetében az egyik legfontosabb dolog a védelem a káros behatolások ellen, amennyiben nyilvános hálózaton található. Ennek pedig egyik leghatásosabb formálya, ha valamilyen tűzfal segítségével korlátozzuk, hogy ki, mit, honnan, hova érhet el. Nincs ez máshogy a Mac OS X Serverrel sem. Külön szolgáltatás segít nekünk ezt szabályozni.
Fontosnak érzem leszögezni, hogy a Tűzfal, nem egy csoda dolog, ami ha van, akkor már biztos nem lehet gond. A tűzfal egy hálózati forgalom szabályzó eszköz. Nekünk kell beállítani megfelelő képpen, mi mehet és mi nem.
Menjünk a Server Admin tool-ban válasszuk ki az aktuális gépünket, és ott menjünk a Settings menüben a Services fülre.
Ott jelöljük be a Firewall-t, ez azt fogja eredményezni, hogy a baloldali menüben megjelenik a szerverünk alatt a Firewall elem.
Válasszuk ki ezt a menüpontot és a következő panelokat fogjuk látni:
Itt az első menüpont az Overview. Ezen a fülön lehet látni mindig egy gyors számszerű kiértékelést arról, hogy mennyi szabályunk van, és ezen szabályokra mennyi adat illeszkedett. A második a Log nézet, ahol beállításoktól függően láthatjuk ténylegesen milyen csomagok letten engedélyezve, vagy tiltva.
A harmadik fül az aktív szabályok. Ez egy folyamatosan frissülő szöveges képernyő, amin látszanak az aktív kapcsolatok.
A negyedik fül a beállításokért felelős. Most nézzük a beállításokon belül miket tudunk állítani.
Először is csoportokat kell meghatároznunk. Az alapértelmezett csoport az any. Amennyiben nincs más csoport amire érvényes lehetne egy szabály, akkor az any csoport szabályai fognak érvényesülni rá.
A csoportok esetében IP tartományokat kell megadnunk, ahonnan kapcsolatokat szeretnénk engedélyezni vagy tiltani.
A services részen először is ki kell választanunk melyik csoportra kívánjuk a szabályokat állítani, majd az alatta lévő részen bekattingatni, hogy mit akarunk engedélyezni, és mit tiltani. Az Apple előre legyártott nekünk sok szabályt, ami megfelelő elnevezéssel magába foglalja a szükséges portokat. Természetesen lent a plusz gombbal lehetőségünk van saját ilyen Service-ket definiálni, és azokat engedélyezni.
A következő a logolás. Bekapcsolhatjuk mit akarunk logolni, és egy limitet adni neki, hogy maximum mennyi bejegyzést tároljon el.
Az advanced részen speciális szabályokat is definiálhatunk. Itt van lehetőség kihasználni azon előnyöket, amiket a command line-os ipfw is szolgáltat nekünk.
Mac OS X Firewall command line-ból
Ahogy már említettem a Server Admin tool grafikus menüje se csinál mást, mint a command line-ból elérhető ipfw parancsot megfelelőképpen lefuttatja, szabályokat generálva.
$ sudo ipfw list
Értlem szerűen, ezt a listát parancssorból is lehetőségünk van módosítani az ipfw megfelelő használatával.
Port Forwarding
Ami hasznos és fontos lehet, az a port forwardolás. Azt a következő képpen kell definiálni.
% sudo ipfw add fwd 127.0.0.1,8080 ip from any to any dst-port 143 in
Ez a parancs a localhost 8080-as portjára küld minden olyan adatot, ami bárhonnan, bárhova a 143-mas portra érkezik. Most nézzük meg, hogy a grafikus Advanced beállító képernyőn, hogy állítható be ugyan ez.
Összegzés
A Mac Os X Server által kívánt tűzfal szolgáltatás elegendő eszközrendszerrel rendelkezik ahhoz, hogy kellő védelemmel láthassuk el a servereinket, illetve, hogy naplózni tudjuk a támadásokat. A fejlettebb rendszerekhez képest persze fapados, viszont minden szükséges szűrést meg tudunk vele majd oldani.
