Просмотр и удаление соединений

[an error occurred while processing this directive]

14-0 Просмотр и удаление соединений

Что такое активные соединения ?

К активным соединениям относятся TCP соединения или UDP сессии, которые в данный момент проходят через межсетевой экран. Они проходят через межсетевой экран либо в соответствии с правилом фильтрации, описанным администратором, либо в соответствии с записью в таблице состояний, автоматически добавленной межсетевым экраном Aker.

По каждому такому соединению межсетевой экран хранит массу информации в своих таблицах . Некоторые из этих информационных фрагментов представляют особую ценность для администратора, их в любой момент можно просмотреть с помощью окна активных соединений. Эта информация содержит точное время установления соединений и период неактивности, т.е. период времени, в течение которого через это соединение не было обмена пакетами.

14-1 Использование графического интерфейса пользователя

Для получения доступа к окну активных соединений необходимо:

Выбрать меню Вид в главном окне
Выбрать подпункт Соединения
Выбрать опцию TCP соединения или UDP соединения

Окно активных соединений

В окне активных соединений можно просматривать все соединения, которые прошли через межсетевой экран в течение определенного времени. Окна для TCP и UDP протоколов идентичны за исключением поля Текущее состояние, которое существует только в окне TCP соединений.

Часто для упрощения понимания термин соединение используется для TCP и UDP протоколов; это не совсем правильно хотя бы из-за того, что UDP протокол не является ориентированным на соединение. Смысл термина "UDP соединение" заключается в том, что оно представляет UDP сессию, в которой имеет место двусторонний трафик. Любой сеанс можно рассматривать как набор запросов и ответов через межсетевой экран к определенному сервису, который обеспечивается одной стороной и доступ к которому пытается получить другая сторона.

Окно соединений выглядит следующим образом

Окно состоит из списка с отдельным элементом для каждого активного соединения. В нижней части окна выводится сообщение о полном числе активных соединений в текущий момент времени.

Кнопка Да закрывает окно активных соединений.
Кнопка Обновить активизирует (или деактивизирует) автоматическое обновление выводимой на дисплей информации. Нажатие на эту кнопку деактивизирует процесс обновления. Интервал обновления можно задать в поле Автоматическое обновление.
Кнопка Помощь показывает окно помощи по данному разделу.
Кнопка Удалить удаляет выделенное соединение. Чтобы это сделать, необходимо сначала выделить удаляемое соединение (кнопка Удалить недоступна, если соединение не выделено)

При удалении TCP соединения межсетевой экран посылает пакеты с флагом reset всем хостам, участвующим в соединении, удаляет соединение, а затем удаляет соответствующий элемент из таблицы состояний. В случае UDP соединений межсетевой экран просто удаляет элементы из таблицы состояний.

Кнопка DNS позволяет включить или выключить разрешения имен хостов с помощью системы доменных имен (DNS) для адресов в списке соединений. Обратите внимание на следующее:

Если нажать кнопку DNS, прервется автоматическое обновление. Для его активизации нажмите кнопку Обновить.
После нажатия кнопки DNS показываемая на дисплее информация будет состоять только из имен хостов и портов источника и назначения. Заголовок в верхней части окна будет автоматически изменен, чтобы представлять новую информацию.
Процесс разрешения имен очень часто проходит довольно медленно, из-за чего он выполняется в фоновом режиме.
Часто из-за проблем с настройкой обратных зон ( соответствие IP адресов именам), разрешить некоторые IP адреса в имена невозможно. В этих случаях на экран будут выводиться адреса с указанием факта, что для них не описано обратное разрешение.

Поле Сортировать позволяет выбрать способ вывода на дисплей списка соединений. Оно содержит опции:

IP источника: Список соединений сортируется по IP адресам источника (этот порядок устанавливается по умолчанию).
IP назначения: Список соединений сортируется по IP адресам назначения
Сервисы: Список соединений сортируется по порту назначения соединения, соответствующему данному сервису.

Значения полей в окне активных соединений

Каждая строка списка активных соединений представляет одно соединение. Поля имеют следующие значения:

IP адрес источника: IP адрес хоста, который инициирует соединение.

Порт источника: Порт, используемый хостом источника для данного соединения.

IP адрес назначения: IP адрес хоста, с которым установлено соединение.

Порт назначения: Порт, с которым установлено соединение. Этот порт обычно соответствует определенному сервису.

Старт: Время образования соединения.

Занят: Период неактивности соединения ( в минутах и секундах).

Текущее состояние: Это поле выводится на дисплей только в случае TCP соединений. Оно представляет состояние соединения в момент вывода на экран. Поле может состоять из следующих значений:

SYN послан: Указывает, что пакет с запросом о соединении был послан (пакет с SYN-флагом), но сервер еще не ответил на него.

Обмен SYN : указывает, что был послан пакет с запросом о соединении и получен ответ сервера с подтверждением об установлении соединения.

Установлено: Указывает, что соединение установлено.

Слушает порт: Указывает, что сервер слушает данный порт (listen) в ожидании соединения от клиента. Подобное состояние возникает только для соединений передачи данных в FTP сессии.

14-2 Использование интерфейса командной строки

Интерфейс командной строки, позволяющий осуществить доступ к списку активных соединений, предоставляет те же возможности, что и графический интерфейс. Одна и та же программа используется для TCP и UDP соединений.

Путь к программе: /etc/firewall/fwconex

Синтаксис:

fwconex help
fwconex show [TCP | UDP]
fwconex remove [TCP | UDP] Source_IP Source_Port Dest_IP Dest_Port

Program help:

Aker Firewall - Version 3.01
fwconex - Просмотр и удаление активных TCP и UDP соединений
Usage: fwconex help
       fwconex show [TCP | UDP]
       fwconex remove [TCP | UDP] Source_IP Source_Port Dest_IP 
       Dest_port

       help   =  показывает данное сообщение
       show   = показывает список активных соединений
       remove = удаляет активное соединение

Пример 1: (просмотр активных TCP соединений)

#fwconex show TCP

Source IP/port           Destination IP/port      Start    Idle   Current State
-------------------------------------------------------------------------------
10.4.1.196       1067 - 10.4.1.11          23   15:35:19  00:00  Established 
10.4.1.212       1078 - 10.5.2.1           25   15:36:20  00:10  Established

Пример 2: (просмотр активных UDP соединений)

#fwconex show UDP

Source IP/port            Destination IP/port     Start    Idle 
-------------------------------------------------------------------------------
10.4.1.18         1023 - 10.4.1.11        111   15:41:48  00:02        
10.4.1.23         1078 - 10.4.1.11         53   15:45:47  00:09

Пример 3: (Удаление TCP соединения и просмотр списка соединений)

#fwconex remove tcp 10.4.1.196 1067 10.4.1.11 23

#fwconex show TCP 

Source IP/port           Destination IP/port      Start    Idle   Current State
-------------------------------------------------------------------------------
10.4.1.212       1078 - 10.5.2.1           25   15:36:20  00:10  Established

[an error occurred while processing this directive]