Pentru ca kernelul să efectueze filtrarea pachetelor, este necesar ca modulele corespunzătoare să fie incluse în structura sa.
Pentru a face acest lucru, trebuie să corectați fișierul de configurare a kernel-ului și să reconstruiți nucleul sistemului. În fișierul / usr / src / sys / i386 / conf / YOUR_YADRO trebuie să adăugați următoarele rânduri:
și recompilați-l. Opțiuni. . sunt opționale. Opțiunea ar trebui utilizată întotdeauna dacă doriți să activați suportul ipfw în kernel.
Pentru a susține modulul dummynet, adăugați opțiunea DUMMYNET la fișierul de configurare a kernel-ului:
Parametrii suplimentari care pot fi folosiți la reglajul fin al dummynet sunt NMBCLUSTERS și HZ. Primul vă permite să specificați volumele de tampoane de rețea, iar al doilea - granularitatea cronometrului.
Tabelul 6. Opțiunile de configurare a kernelului legate de filtrul de pachete
Includeți în codul kernelului care efectuează filtrarea pachetelor
Permiteți informații despre pachetele din syslog. Dacă această opțiune nu este activată, opțiunea de jurnal din regulile ipfw nu va funcționa.
Dacă numărul înregistrărilor înregistrate în jurnal cu o singură regulă depășește limita indicată (în acest caz, 10), înregistrările se opresc din momentul înregistrării. Pentru a începe să le adăugați din nou, trebuie să resetați contorul cu comanda zero.
Activați regula implicită. Dacă această opțiune nu este specificată, regula implicită este setată să refuze.
Setările filtru de pachete, care sunt efectuate utilizând utilitarele ipfw, sunt valabile numai înainte de a reporni. Pentru a le face permanente, este necesar ca filtrarea să fie ajustată de fiecare dată când sistemul se învârte.
Rețineți că configurația de încărcare a sistemului este determinată de fișierul /etc/rc.conf. Acesta descrie variabile care spun script-uri de boot cum ar trebui să se comporte. Pentru a influența funcționarea scripturilor de boot, trebuie să modificați valorile variabilelor instalate în acest fișier.
Când mașina pornește, scriptul principal de pornire /etc/rc.conf apelează scriptul de configurare a rețelei /etc/rc.network [3]; la rândul său, sună /etc/rc.firewall. Scriptul /etc/rc.firewall configurează paravanul de protecție.
FreeBSD descrie mai multe configurații firewall tipice. O configurație tipică este selectată utilizând tipul de firewall variabil.
Paravanul de protecție transmite toate pachetele.
Paravanul de protecție este configurat deoarece ar trebui să fie configurat pentru un computer standard Clino. Permite toate conexiunile de ieșire și dezactivează toate conexiunile de intrare, cu excepția conexiunilor din portul 25.
ignoră pachetele trimise de gazdă $ la rețeaua locală. ;
rezolvă toate conexiunile de ieșire de la gazdă;
Permite tuturor conexiunilor de intrare la portul 25
împiedică toate celelalte conexiuni TCP primite;
permite pachetelor UDP să treacă prin porturile DNS (53) și NNTP (123).
toate celelalte pachete sunt tratate prin regula implicită, determinată de configurația kernel-ului
Un firewall simplu care protejează rețeaua locală împotriva penetrării de pe Internet. Regulile de filtrare sunt exact aceleași ca în CLIENT. dar
Există suport pentru natd. Transferați pachetele IP către mufa de deviere a daemonului natd. cu condiția ca natd_enable = DA;
Valorile de $. $ și $ ar trebui să fie instalate manual în fișierul /etc/rc.firewall.
Permite numai traficul prin interfața locală lo0. Trecerea restului traficului este determinată de regula implicită.
Paravanul de protecție în modul ÎNCHIS este închis numai dacă regula implicită este setată de către kernel în deny
Paravanul de protecție nu este configurabil deloc. Indiferent dacă trece traficul sau nu este determinată de configurația kernel-ului sistemului. Este folosit în mod implicit.
Regulile firewall sunt descărcate de pe un fișier extern. Numele fișierului este determinat de valoarea parametrului firewall_type variabil. Argumente suplimentare pentru ipfw pot fi transmise folosind firewall_flags.
Fișierul trebuie să conțină comenzile ipfw așa cum apar în linia de comandă. De exemplu:
În cele mai simple cazuri, puteți utiliza una dintre aceste opțiuni, dar dacă aveți nevoie de mai multă ajustare, va trebui să descrieți propriile reguli de filtrare. Este necesar să creați un fișier care să conțină reguli de filtrare și să specificați numele acestui fișier ca tip de firewall.
Schimbarea configurației filtrului de pachete va avea efect după ce computerul repornește. Pentru ca ele să poată deveni valide chiar acum, puteți face acest lucru [4].
Cu administrarea de la distanță, trebuie să aveți grijă să nu vă închideți accidental accesul la gazdă.
Tabelul 7. Unii parametri ai /etc/rc.conf
Articole similare
Trimiteți-le prietenilor: