Ipfw és forgalomirányítás szabadon
Ahhoz, hogy a rendszermag elvégezhesse a csomagszűrést, szükséges, hogy a megfelelő modulok beépüljenek a rendszerbe.
Ehhez javítania kell a rendszermag konfigurációs fájlját, és újra kell építeni a rendszermag rendszermagját. A / usr / src / sys / i386 / conf / YOUR_YADRO fájlban a következő sorokat kell hozzáadni:
és fordítsd újra. Options. . opcionálisak. Az opciót mindig használni kell, ha engedélyezni kívánja az ipfw támogatását a rendszermagban.
A dummynet modul támogatásához adja hozzá a DUMMYNET opciót a kernel konfigurációs fájljához:
További paraméterek, amelyek hasznosak lehetnek a dummynet finomhangolásakor, az NMBCLUSTERS és a HZ. Az első lehetővé teszi a hálózati pufferek kötetének meghatározását, a második pedig az időzítő granularitását.
6. táblázat: A csomagszűrőhöz kapcsolódó rendszermag konfigurációs beállítások
Adja be a csomagszűrés végrehajtására szolgáló rendszermag-kódot
Adjon engedélyt a csomagokról a syslogban. Ha ez az opció nem engedélyezett, az ipfw szabályok log opciója nem fog működni.
Ha a logban rögzített rekordok száma meghaladja a megadott határértéket (ebben az esetben 10), a rekordok leállnak. Annak érdekében, hogy újból hozzáadhassa azokat, újra kell állítania a számlálót a nulla parancs segítségével.
Kapcsolja be az alapértelmezett szabályt, hogy engedélyezze. Ha ez az opció nincs megadva, akkor az alapértelmezett szabály meg van tagadva.
A csomagszűrő beállításai, amelyeket az ipfw segédprogramjaival végeznek el, csak az újraindítás előtt érvényesek. Annak érdekében, hogy azok állandóak legyenek, szükség van arra, hogy a szűrés minden alkalommal beálluljon, amikor a rendszer megindul.
Emlékezzünk vissza, hogy a rendszer indítási konfigurációját a /etc/rc.conf fájl határozza meg. Olyan változókat ír le, amelyek megmondják a rendszerindítási szkripteknek, hogyan kell viselkedniük. A rendszerindítási parancsfájlok működésének befolyásolása érdekében módosítania kell a fájlban telepített változók értékeit.
Amikor a gép indításakor a fő boot szkript /etc/rc.conf van a hálózati konfigurációs script /etc/rc.network [3]; ez viszont hívja az /etc/rc.firewall nevet. Az /etc/rc.firewall szkript konfigurálja a tűzfalat.
A FreeBSD több tipikus tűzfal-konfigurációt ismertet. Egy tipikus konfiguráció a változó tűzfal_típus használatával van kiválasztva.
A tűzfal átadja az összes csomagot.
A tűzfal úgy van beállítva, hogy egy standard Clino számítógépre legyen beállítva. Lehetővé teszi az összes kimenő kapcsolatot, és letiltja az összes bejövő kapcsolatot, kivéve a 25-ös csatlakozást.
átugorja a host $ által a helyi hálózathoz küldött csomagokat. ;
megoldja a kimenő kapcsolatokat a fogadóból;
Lehetővé teszi az összes bejövő kapcsolatot a 25-ös porthoz
megakadályozza az összes többi bejövő TCP kapcsolatot;
lehetővé teszi az UDP csomagok átjutását a DNS (53) és NNTP (123) portokon.
az összes többi csomagot az alapértelmezett szabály kezeli, amelyet a rendszermag konfiguráció határoz meg
Egy egyszerű tűzfal, amely védi a helyi hálózatot az internetről való behatolás ellen. A szűrési szabályok pontosan ugyanazok, mint a CLIENT. de
A natd támogatása. Transzfer IP csomagok a natd démon átirányító aljzatába. feltéve, hogy natd_enable = YES;
A $ értékek. $ és $ manuálisan kell telepíteni az /etc/rc.firewall fájlba.
Lehetővé teszi a forgalom csak a lo0 helyi kezelőfelületen keresztül. A többi forgalom átadását az alapértelmezett szabály határozza meg.
A ZÁRÓ üzemmódban lévő tűzfal csak akkor zárva van, ha az alapértelmezett szabályt a kernel megtagadja
A tűzfal egyáltalán nem konfigurálható. Függetlenül attól, hogy a forgalom átadja-e vagy sem, a rendszermag konfigurációja határozza meg. Ezt alapértelmezésben használják.
A tűzfalszabályok külső fájlból töltődnek le. A fájl nevét a változó tűzfal_típus értéke határozza meg. Az ipfw további argumentumai a firewall_flags segítségével adhatók meg.
A fájlnak tartalmaznia kell az ipfw parancsokat, amelyek a parancssorban jelennek meg. Például:
A legegyszerűbb esetekben használhatja az egyik lehetőséget, de ha finomhangolásra van szüksége, akkor magának kell leírnia a szűrési szabályokat. Szükség van egy szűrési szabályokat tartalmazó fájl létrehozására, és megadja a fájl neve tűzfal típusának.
A csomagszűrő konfigurációjának módosítása a számítógép újraindítása után lép életbe. Annak érdekében, hogy érvényesek legyenek most, megteheti. [4]
A távoli adminisztrációval óvatosnak kell lenni, nehogy véletlenül bezárja a gazdagéphez való hozzáférését.
7. táblázat: Az /etc/rc.conf néhány paramétere