Firewalle i proxy serwery: Konfigurowanie filtrowania IP (IPFWADM)
Następna strona
Poprzednia strona
Spis treści
6. Konfigurowanie filtrowania IP (IPFWADM)
By zacząć musisz włączyć przesyłanie pakietów IP w swoim jądrze
i twój system powinien odsyłać wszystko co mu się prześle. Twoja
tablica trasowania powinna być ustawiona i powinieneś miś dostęp
tak wewnątrz jak do zewnętrznej Sieci.
Ale budujemy firwalla tak więc trzeba ograniczyć wszystkim dostęp
do niego.
W moim systemie stworzyłem parę skryptów ustawiających zasady
odsyłania pakietów i polityki dostępu. Wywołuję je z w skryptach
z /etc/rc.d
w czasie konfiguracji.
Domyślnie IP Forwarding w jądrze systemu odsyła wszystko.
Dlatego twoje skrypty startowe firewalla powinny rozpoczynać swoja
pracę od
zakazania dostępu dla wszystkich i zerwania wszelkich połączeń
dozwolonych w
poprzednim uruchomieniu ipfw.
Skrypt ten wykorzystuje pewien trick.
#
# Ustawianie rozliczania i odsyłania pakietów IP
#
# Forwarding
#
# Domyślnie wszystkie usługi są zakazane.
ipfwadm -F -p deny
# Zerwij wszystkie połączenia
ipfwadm -F -f
ipfwadm -I -f
ipfwadm -O -f
Teraz mamy doskonały firewall. Nic nie przechodzi. Bez
wątpliwości
pewna cześć usług powinna być przesyłana (i tego dotyczy następny
przykład).
# przesyłanie poczty do twojego MTA
ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D 192.1.2.10
25
# przesyłanie połączeń pocztowych do innych MTA
ipfwadm -F -a accept -b -P tcp -S 196.1.2.10 25 -D 0.0.0.0/0
1024:65535
# przesyłanie WWW do twojego serwera
/sbin/ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D
196.1.2.11 80
# przesyłanie WWW do serwerów zewnętrznych
/sbin/ipfwadm -F -a accept -b -P tcp -S 196.1.2.* 80 -D 0.0.0.0/0
1024:65535
# przesyłanie ruchu DNS
/sbin/ipfwadm -F -a accept -b -P udp -S 0.0.0.0/0 53 -D
196.1.2.0/24
Możesz byc zaintersowany w rozliczaniu ruchu przechodzącego przez
twój
firewall. Poniższy skrypt liczy każdy z pakietów. Powinieneś dodać
linię
albo liczyć ruch tylko dla jednego systemu.
# Zerwanie wszystkich połączeń
ipfwadm -A -f
# Rozliczanie
/sbin/ipfwadm -A -f
/sbin/ipfwadm -A out -i -S 196.1.2.0/24 -D 0.0.0.0/0
/sbin/ipfwadm -A out -i -S 0.0.0.0/0 -D 196.1.2.0/24
/sbin/ipfwadm -A in -i -S 196.1.2.0/24 -D 0.0.0.0/0
/sbin/ipfwadm -A in -i -S 0.0.0.0/0 -D 196.1.2.0/24
Jeśli potrzebowałeś firewalla filtrującego możesz skończyć lekturę.
Miłego konfigurowania. ; -)
Następna strona
Poprzednia strona
Spis treści
Wyszukiwarka
Podobne podstrony:
firewall howto plfirewall howto pl 8firewall howto plfirewall howto pl 9Firewall HOWTO plfirewall howto pl 3firewall howto pl 1firewall howto pl 10firewall howto pl 2firewall howto pl 4firewall howto pl 5firewall howto pl 7bootdisk howto pl 8PPP HOWTO pl 6 (2)NIS HOWTO pl 1 (2)cdrom howto pl 1jtz howto pl 5Keystroke HOWTO pl (2)więcej podobnych podstron