The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

IPFW - пример правил фильтрации для ADSL (ipfw adsl firewall freebsd)


<< Предыдущая ИНДЕКС Правка src / Печать Следующая >>
Ключевые слова: ipfw, adsl, firewall, freebsd,  (найти похожие документы)
From: Михаил Сгибнев <mixa(@).dreamcatcher.ru> Date: 2006-09-12 16:01:57 Subject: IPFW - пример правил фильтрации для ADSL
В связи с лавинообразным ростом числа пользователей ADSL-соединений и большим процентом наличия среди них начинающих пользователей FreeBSD, считаю разумным привести коротенький пример настроек правил фильтрции пакетного фильтра IPFW, штатного средства защиты этой ОС.

Разберем шаги, необходимые для задействования фильтрации пакетов: Внимание! Эта статья актуальна для FreeBSD 5.x, на более ранних версиях возможно пидется внести некоторые изменения.

Установка исходных текстов ядра

Если вы не установили исходные тексты ядра при инсталляции системы то вы можете воспользоваться утилитой /stand/sysinstall или сделать это вручную: После чего исходные тексты ядра будут распакованы в /usr/src/sys.

Внесение необходимых изменений и компиляция ядра

Для работы пакетного фильтра необходимо добавить в ядро несколько опций. общий порядок действий будет следующим: Добавляем опции в ядро: Где опции: IPFIREWALL - задействует фильтрацию пакетов
DIVERT - позволит нам в дальнейшем использовать NAT
DUMMYNET - предоставляет возможности ограничения полосы пропускания
IPFIREWALL_VERBOSE - включает режим регистрации
IPFIREWALL_VERBOSE_LIMIT=100 - ограничивает размер журнального файла

Опции DIVERT и DUMMYNET здесь описаны не будут, но их включение в состав ядра позволит избежать перекомпиляции ядра при возникновении желания раздавать Интернет локальной сети. После чего компилируем и устанавливаем ядро:

Установка опций rc.conf и написание правил

Добавляем в /etc/rc.conf следующие строки: У нас имеется сетевая карта Realtek 8139 (rl0), которая подсоединена к ADSL модему Zyxel Omni ADSL LAN EE. Для организации связи мы используем PPPoE, поэтому в правилах у нас будет использоваться именно rl0, а не tun0. Опции ppp_enable, ppp_mode и ppp_profile обеспечивают нам доступ в Интернет при загрузке машины, хотя скрипт ppp можно запускать и вручную. Пишем /etc/ppp/ppp.conf: Как уже неоднократно говорилось и писалось, что именно будет пропускаться во внешний мир и к чему будет доступ извне - решать только вам, руководствуясь советами и здравым смыслом. Например, /etc/firewall может выглядеть так: В данном примере в мир вещает в мир Darwin Streaming Server, разрешен вход по ssh c работы, причем эта же машина играет роль DNS сервера. Данный набор не является идеальным, но перед ним такая цель и не ставилась. Хороший набор правил для начинающего пользователя находится в /etc/rc.firewall, загружать эти вы можете с помощью опции firewall_type, которая может принимать значения:

open - открыто все
client - основные функции защиты локальной машины
simple - основные функции защиты локальной сети
closed - блокировка всего, за искоючением lo0
UNKNOWN - правила фильтрации не загружаются
filename - загружать правила из файла(необходимо указание полного пути)

Вот еще один пример правил фильтрации, наиболее полно подходящий, для использования с ADSL: В статье использовались материал Дмитрия Пупкова http://www.opennet.ru/tips/info/753.shtml

Сгибнев Михаил mixa@dreamcatcher.ru

<< Предыдущая ИНДЕКС Правка src / Печать Следующая >>

Обсуждение [ RSS ]
  • 1, admax (?), 22:06, 21/08/2007 [ответить]  
  • +/
    для FreeBSD 6.x вместо DIVERT нужно указывать IPDIVERT
     
  • 2, eto (?), 12:43, 06/09/2007 [ответить]  
  • +/
    /etc > grep fir rc.conf
    firewall_enable="YES"
    firewall_type="/usr/local/etc/firewall/rc.firewall"

    /etc > head /usr/local/etc/firewall/rc.firewall
    # already established connections continue going through
    add 01000 allow tcp from any to any established
    add 01100 allow all from any to any via rl0
    ...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру