2. 2.2 Разработка эксплуатационной документации

Руководства пользователя и оператора установки программного комплексаразработаны согласно ГОСТ 19.505-79.

Web-Iptables ИПК удалённого управления МСЭ netfilter/iptables Руководство пользователя Листов 19

2009

АННОТАЦИЯ

Руководство пользователя содержит 19 листов, 15 рисунков, 2 таблицы.

Данное руководство пользователя содержит сведения по эксплуатации программного комплекса удалённого управления межсетевым экраном netfilter/iptables через защищённый веб-интерфейс.

Данный документ предназначен для системных администраторов POSIX-совместимых ОС, использующих веб-интерфейс ИПК по локальной сети.

Содержание

1 Назначение программного комплекса ...............................................................................	4
2 Условия выполнения программного комплекса ..............................................................	5
3 Выполнение программного комплекса .............................................................................	6
3.1 Начало работы ...........................................................................................................	6
3.2 Выполнение системных команд ...............................................................................	8
3.3 Таблица правил ..........................................................................................................	10
3.4 Конструктор правил ..................................................................................................	12
3.5 Модули .......................................................................................................................	13
3.6 Сохранение и восстановление конфигурации ........................................................	14
3.7 Справочные руководства ..........................................................................................	16
3.8 Выход ..........................................................................................................................	19

1Назначение программного комплекса

Программный комплекс Web-Iptables предназначен для более эффективного использования межсетевого экрана netfilter/iptables. Также ИПК может послужить удобным обучающим пособием по возможностям и командам утилиты iptables.

С помощью веб-интерфейса ИПК можно удалённо выполнять команды сетевого администрирования на сервере, получать справку по этим командам, сохранять и восстанавливать конфигурацию правил межсетевого экрана, просматривать и редактировать правила МСЭ.

2Условия выполнения программного комплекса

Таблица 1 — Требования к операционной среде сервера

Компонент, характеристика	Минимально допустимое значение
Процессор, частота	x86, 233 МГц
Оперативная память	64 Мб
Свободное место на жёстком диске	10 Мб
Пропускная способность линии связи	56 Кбит/с
Дисплей	не требуется
Устройство ввода	не требуется
Операционная система	семейства GNU/Linux
Другое ПО	iptables, apache

Таблица 2 — Требования к операционной среде пользователя

Компонент, характеристика	Минимально допустимое значение
Процессор, частота	x86, 233 МГц
Оперативная память	64 Мб
Свободное место на жёстком диске	10 Мб
Пропускная способность линии связи	56 Кбит/с
Дисплей	- разрешение экрана: 800х600 - цветопередача: 256 цветов
Устройство ввода	клавиатура, мышь
Операционная система	cемейств GNU/Linux, BSD, UNIX, MacOS, Windows
Другое ПО	веб-браузер с поддержкой AJAX

3Выполнение программного комплекса

3.1 Начало работы

Чтобы начать работу с ИПК Web-Iptables, необходимо открыть веб-браузер и набрать в адресной строке urlсервера, на котором установлен ИПК. В общем случае должна появиться форма авторизации (рисунок 1). Вторым шагом будет ввод имени пользователя (логина) и пароля. НажатиеEnterили кнопки «Вход >» на форме позволит продолжить работу..

Рисунок 1 — Экранная форма «Авторизация»

В случае неверного сочетания «логин-пароль» система выдаст сообщение об ошибке (рисунок 2), после чего вернёт обратно на страницу авторизации. Чтобы не дожидаться автоматического перенаправления, можно воспользоваться ссылкой «редирект на главную»,

Рисунок 2 — Экранная форма «Ошибка авторизации»

Если введённые логин и пароль совпадают с данными сервера, система выдаст сообщение об успешной авторизации (рисунок 3) и автоматически перенаправит на главную страницу веб-интерфейса ИПК (рисунок 4).

Рисунок 3 — Экранная форма «Успешная авторизация»

Рисунок 4 — Экранная форма «Главная страница»

В левой части страницы расположено меню навигации, доступное с большинства страниц сайта.

3.2 Выполнение системных команд

Выбор пункта меню «Системные команды», приведёт на страницу выполнения системных команд (рисунок 5).

Рисунок 5 — Экранная форма «Командная строка»

На странице находится многострочное текстовое поле вывода информации (1) размером 80х25 символов с полосой прокрутки, а также поля ввода (3, 5), управляющие элементы (2, 4, 6), и инструменты вызова контекстной справки (7, 8).

Составление системной команды начинается с выбора утилиты, к которой необходимо обратиться. Это можно сделать с помощью ниспадающего списка (2). Список команд ограничен только самыми необходимыми. Здесь можно управлять сетевыми интерфейсами, беспроводными соединениями, таблицей маршрутизации и т.д.

Справку по соответствующей утилите можно получить, выбрав команду и нажав кнопку со знаком вопроса (7). Страница справка откроется в новом окне или вкладке в зависимости от возможностей и настроек веб-браузера пользователя.

Ключи и параметры для вызова утилиты следует набирать в поле вводе (3). Здесь бесполезно набирать конвееры или перенаправления — они, как и команды после них будут обрезаны из соображений безопасности.

Единственная возможность конвеерного перенаправления предусмотрена самой системой: поставив галочку в поле «grep» (4), Вы активируете поле ввода (5), в котором можно ввести ограничения для выводимой информации, что полезно для поиска. Информацию по утилитеgrepможно получить, нажав на ссылку (8).

После ввода команды, она будет отправлена на сервер, проанализирована и выполнена. При этом в поле вывода информации (1) будет занесена как сама команда, так и результат её выполнения или сообщение об ошибках, возникших во время выполнения команды утилитой.

3.3 Таблица правил

Пункт меню «Таблица правил» приведёт на страницу отображения и редактирования таблицы правил (рисунок 6).

Рисунок 6 — Экранная форма «Таблица правил»

В верхней части страницы расположены элементы управления, позволяющие добавить цепочку (1), отобразить пустые цепочки (2), открыть шлюз (3) или закрыть шлюз (4). В последних двух случаях происходит очистка всех таблиц. В случае открытия шлюза для всех таблиц будет установлено действие по умолчанию ACCEPT, а в случае закрытия —DROP. Поскольку последние два действия могут привести к нарушениям в работе сети (а закрытие шлюза в том числе прервёт сеанс работы пользователя), перед выполнением команд пользователю будут выданы предупреждения.

Правила распределены по цепочкам и таблицам. Для каждой цепочки определено действие по умолчанию (5), которое можно изменить (6). Кроме этого, в заголовке цепочки присутствуют элементы управления, позволяющие добавить правило (7) и очистить цепочку (8). При очищении цепочки будет выдано предупреждение. Нестандартные цепочки также можно переименовать. Это выполняется с помощью диалогового окна (рисунок 7).

Для каждого правила определён его текст (9), кнопки изменения (10) и удаления (11). Перед удалением правила пользователю будет выдано предупреждение, а изменение, равно как и добавление нового правила, переведёт пользователя на страницу конструктора правил.

Рисунок 7 — Диалоговое окно «Переименование цепочки»

3.4 Конструктор правил

Правила в системе можно изменять двумя способами:

• набрав вручную все ключи на странице выполнения системных команд;

• с помощью конструктора правил.

Последний расположен на странице, которая открывается переходом по соответствющему пункту меню или контекстным переходом по ссылкам со страницы просмотра таблицы правил (рисунок 8).

Рисунок 8 — Экранная форма «Конструктор правил»

На странице конструктора расположена форма (1), поля которой соответствуют опциям, которые можно использовать при создании правил. Количество полей и опции ниспадающих списков зависят от активированных модулей, а также от уже выбранных опций. Для активации дополнительных моделей следует воспользоваться пунктом меню «Модули» (2) (см. пункт 3.5).

Если выбрать вариант контекстного перехода для изменения правила, то параметры этого правила автоматически пропишутся в поля формы, а поле «Что сделать» (3) будет заблокировано в позиции «Изменить».

Когда все манипуляции с опциями проделаны, следует нажать кнопку «Отправить» (4). Система проверит составленное правило на наличие противоречий с другими правилами и потенциально опасных комбинаций. В этом случае, система выдаст пользователю предупреждение.

3.5 Модули

Страница модулей (рисунок 9) представляет собой список модулей с описанием доступных опций в случае их подключения (1), указанием статуса (2) и кнопкой, позволяющей изменить этот статус (3), т.е. загрузить модуль в окружение ядра или выгрузить его. Выгрузить модуль можно только в том случае, если его опции не используются на данный момент в списке правил МСЭ.

Рисунок 9 — Экранная форма «Модули»

Также строчка каждого модуля снабжена ссылкой (4) на раздел справочного руководства с подробным описанием его возможностей.

3.6 Сохранение и восстановление конфигурации

Окружение МСЭ содержит утилиты iptables-saveиiptables-restore, позволяющие сохранять и восстанавливать список правилnetfilterодним текстовым файлом. В составе веб-интерфейса ИПК Web-Iptables содержится страница «Сохранить/восстановить» (рисунок 10), предоставляющая пользователю возможности этих утилит.

Рисунок 10 — Экранная форма «Сохранить/восстановить»

При входе пользователя на эту страницу, эму сразу выдаётся конфигурационный файл, но только в виде текста в многострочном текстовом поле (1). Чтобы сохранить этот файл на локальном компьютере, пользователь может скопировать выданную информацию и вставить как текст в любом простейшем текстовом редакторе. Но лучше использовать для этого кнопку «Сохранить» (2), расположенную над полем (1). При этом конфигурация будет выдана пользователю для сохранения уже в виде файла (рисунок 11).

Рисунок 11 — Диалоговое окно «Сохранение файла конфигурации»

Чтобы загрузить файл конфигурации на сервер (восстановить ранее сохранённую конфигурацию), необходимо воспользоваться формой, которая находится под текстовым полем (1). На этой форме нужно выбрать нужный файл (3) и нажать кнопку «Восстановить» (4). Система загрузит файл, проанализирует:

• синтаксис;

• совпадение имён интерфейсов;

• совпадение адресации;

• наличие потенциально опасных инструкций;

• активность модулей, возможности которых используются в конфигурационном файле;

• доступность этих модулей.

В случае недоступности модулей, несовпадения имён интерфейсов или при наличии ошибок синтаксиса, пользователю будет выдано сообщение об ошибке.

Если необходимые модули доступны, но неактивны, система сообщит об этом пользователю и предложит перейти к странице «Модули» (см. пункт 3.5).

В случаях несовпадения адресации и наличия потенциально опасных конструкций пользователю будут выданы соответствующие предупреждения, но при желании пользователя и отсутствии других проблем, такой конфигурационный файл будет установлен.

Если проблем не обнаружено, система устанавливает загруженный конфигурационный файл и перезагружает страницу, выводя обновлённую конфигурацию в текстовом поле (1).

3.7 Справочные руководства

Справочную информацию непосредственно в рамках веб-интерфейса ИПК Web-Iptables пользователь может получить в двух формах.

Во-первых, воспользовавшись пунктом меню «Системная справка», пользователь получает доступ к системной справке (man, info), загружаемой непосредственно с сервера, на котором установлен ИПК. Страница системной справки (рисунок 12) содержит ниспадающий список доступных элементов справки (1), который определяется использованием соответствующих утилит в рамках Web-Iptables.

Рисунок 12 — Экранная форма «Системная справка»

Выбранный раздел справки сразу загружается с сервера и отображается в многострочном текстовом поле (2). По умолчанию выдаётся справочная информация по iptables.

Во-вторых, ИПК Web-Iptablesсодержит собственную встроенную справочную систему (рисунок 13) приемущественно на русском языке.

Рисунок 13 — Экранная форма «Справочное руководство»

Элементы этой справочной системы (рисунок 14) могут быть вызваны как из оглавления справочного руководства, так и в качестве элементов контекстной помощи с соответствующих страниц ИПК.

Рисунок 14 — Экранная форма «Раздел справочного руководства»

Раздел справочного руководства кроме информации может содержать ссылку на соответствующий раздел системной справки (1), обратные ссылки на страницы ИПК (2), позволяющие реализовать возможности, описанные непосредственно в текущем разделе руководства, а также ссылки на внешние полезные источники (3).

3.8 Выход

По завершении работы с программным комплексом настоятельно рекомендуется вручную выйти из системы. Автоматически сеанс завершится только через 10 минут, при этом нельзя быть до конца уверенным, что никогда не найдётся злоумышленник, способный за эти 10 минут добраться до компьютера пользователя, открыть сайт программного комплекса и внести в работу межсетевого экрана коррективы, способные подорвать информационную безопасность организации. По этой же причине не стоит сохранять логин и пароль в браузере.

Для выхода достаточно выбрать пункт «Выход» в главном меню. Пользователю будет выдано сообщение об успешном выходе (рисунок 15), при этом данные сессии авторизации будут удалены. После этого пользователь будет автоматически перенаправлен на страницу авторизации.

Рисунок 15 — Экранная форма «Выход»