Warning: Declaration of action_plugin_safefnrecode::register(Doku_Event_Handler &$controller) should be compatible with DokuWiki_Action_Plugin::register($controller) in /usr/home/www/rtfm/lib/plugins/safefnrecode/action.php on line 14

Warning: Declaration of action_plugin_popularity::register(&$controller) should be compatible with DokuWiki_Action_Plugin::register($controller) in /usr/home/www/rtfm/lib/plugins/popularity/action.php on line 57

Warning: Cannot modify header information - headers already sent by (output started at /usr/home/www/rtfm/lib/plugins/safefnrecode/action.php:14) in /usr/home/www/rtfm/inc/auth.php on line 377

Warning: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead in /usr/home/www/rtfm/inc/auth.php on line 656

Warning: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead in /usr/home/www/rtfm/inc/auth.php on line 656

Warning: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead in /usr/home/www/rtfm/inc/auth.php on line 656

Warning: Declaration of Doku_Renderer_metadata::table_open($maxcols = NULL, $numrows = NULL) should be compatible with Doku_Renderer::table_open($maxcols = NULL, $numrows = NULL, $pos = NULL) in /usr/home/www/rtfm/inc/parser/metadata.php on line 24

Warning: Declaration of Doku_Renderer_metadata::table_close() should be compatible with Doku_Renderer::table_close($pos = NULL) in /usr/home/www/rtfm/inc/parser/metadata.php on line 24

Warning: Cannot modify header information - headers already sent by (output started at /usr/home/www/rtfm/lib/plugins/safefnrecode/action.php:14) in /usr/home/www/rtfm/inc/actions.php on line 187
freebsd:ipfw [FreeBSD - Записки математика]

IPFW

Теория

Краткое резюме из статьи1) Александра Сысоева о работе сетевого стека.

Стек

  • Существует два прохода трафика: IN и OUT.
  • Система, исходя из правил маршрутизации, помечает, какому сетевому итерфейсу соответствует трафик. Таким образом, логически на каждом сетевом интерфейсе мы имеем два направления трафика.
  • При поступлении в каждый из проходов трафика он попадает на правила фильтрации firewall-а, согласно которым и обрабатывается.
  • Правила firewall-а могут выводить трафик из прохода, запускать в проход во второй раз (при смене информации в пакете), а также убивать его.
  • При выходе трафика из прохода, он либо отправляется на сетевой интерфейс, либо обрабатывается и направляется в другой проход.

NAT

  • NAT разделяет трафик на входящий и исходящий: из прохода OUT трафик маскируется, из IN - демаскируется.
  • NAT позволяет запускать несколько своих экземпляров с собственными таблицами.
  • После применения NAT-фильтрации выйти из текущего прохода firewall-а
    net.inet.ip.fw.one_pass=1
  • После применения NAT-фильтрации снова попасть в проход для прохождения СЛЕДУЮЩИХ правил
    net.inet.ip.fw.one_pass=0

Включение IPFW

В /etc/rc.conf:

firewall_enable="YES"

Там же указываются дополнительные опции:

  • NAT:
    firewall_nat_enable="YES"
  • логирование:
    firewall_logging="YES"
  • режим фильтрации:
    firewall_type="тип(open, closed,...)"

    в этом случае применяются стандартные настройки firewall-а указанного типа,

  • скрипт обработки:
    firewall_script="путь к скрипту"

    вместо стандартных правил

В /etc/sysctl.conf:

  • метод прохождения:
    net.inet.ip.fw.one_pass=1
  • уровень логирования:
    net.inet.ip.fw.verbose_limit=5

Пример

Ссылки

1) см. ссылку ниже

Warning: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead in /usr/home/www/rtfm/inc/auth.php on line 656
freebsd/ipfw.txt · Последние изменения: 2014/10/29 20:14 — ladilova
Наверх
CC Attribution-Noncommercial-Share Alike 3.0 Unported
chimeric.de = chi`s home Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0