3.2 Фрагментація пакетів

У різних типах локальних мереж (наприклад, Ethernet, ATM, token ring) накладаються різні обмеження на довжину переданих кадрів. По шляху проходження пакета від джерела до приймача зустрічаються ділянки мереж, що підтримують кадри меншої довжини. Щоб передати дані через таку ділянку мережі, маршрутизатор змушений розбивати пакет на частини, називані фрагментами. Перший фрагмент пакета містить номера вихідного порту і порту призначення, у наступних фрагментах ці зведення відсутні.

Конфігурація компютера, що виконує функції брандмауера, повинна бути обрана так, щоб пакети, розбиті на фрагменти, відновлювалися перед передачею на вузол призначення. Така конфігурація автоматично встановлюється в Red Hat 6.0. У попередніх версіях системи засобу дефрагментації повинні були бути явно включені перед компіляцією ядра.

3.3 Фільтрація вихідних пакетів

Якщо компютери вашої локальної мережі і користувачі, що працюють за ними, заслуговують довіри, питання фільтрації вихідних пакетів не так важливі, як фільтрація пакетів, адресованих локальної мережі. Якщо брандмауер не пропускає небажані повідомлення, вузли локальної мережі не будуть передавати відповіді на них. Проте симетрична фільтрація забезпечує високий ступінь захисту. Якщо брандмауер фільтрує не тільки вхідні, але і вихідні пакети, вузли Internet захищені від помилок, що допускаються вашими користувачами.

Яку ж загрозу може представляти ваша локальна мережа для інших компютерів, підключених до Internet? Якщо події будуть розвиватися найгіршим образом, може статися так, що зловмисник одержить доступ до вашої локальної мережі. При цьому фільтрація пакетів забезпечить визначений рівень захисту глобальної мережі, принаймні, доти, поки зловмиснику не потрапить у руки пароль root. Одержавши права суперкористувача, він зможе попросту відключити брандмауер.

Фільтрація вихідних повідомлень дозволить виключити влучення повідомлень, переданих по локальній мережі, у Internet. Варто помітити, що витік конфіденційної інформації може відбуватися не тільки внаслідок незаконного проникнення в систему, але й у результаті неправильного настроювання вузлів локальної мережі, при якій передані зведення безперешкодно проникають у Internet. До такого неконтрольованого поширення інформації може привести використання серверів dhcpd, timed, routed і rwhod. Служби wall і syslogd також не ідеальні з погляду безпеки системи.

Фільтрація вихідних пакетів дозволить припинити небажані звертання до серверів з вузлів локальної мережі. Джерелом таких звертань можуть бути неперевірені програми, що запускаються користувачами на їхніх компютерах. Так, наприклад, програми, що застаріли, розроблені без обліку особливостей мережного середовища, можуть поводитися непередбачено на компютері, підключеному до Internet.

3.4 Фільтрація на основі адреси джерела

Сформувати правила фільтрації за адресою джерела нескладно. Якщо розміри локальної мережі невеликі, IP-адреса кожного з компютерів точно відомий. Отже, правила фільтрації повинні бути побудовані так, щоб пакет, у якому зазначена адреса джерела, не співпадав з жодним з адресів компютерів, не був пропущений брандмауером.

Якщо на вузлах локальної мережі встановлено кілька загальнодоступних серверів, ситуація ускладнюється. Якщо компютеру, що виконує функції брандмауера, IP-адреса виділяється динамічно, фільтрація вихідних пакетів обовязково повинна виконуватися.