IPFW в FreeBSD 8. Обзор, настройка, примеры.

Честно стыреная статейка, больно уж понравилась мне, как бы не затерять ее, в дебрях интернета.
(с)http://ifreebsd.org/freebsd/pfw-в-freebsd-8-обзор-настройка-примеры

В Этой статье я коснусь важной темы в FreeBSD – настройке ipfw.
ipfw – это штатный файервол (firewall, брандмауэр) для систем FreeBSD.

Статья  построена следующим образом -

1.сначала мы рассмотрим IPFW –  синтаксис команд ipfw, возможности.

2.примеры ipfw для разных задач с описанием.

*** !Буду очень рад вашими примерами настройки ipfw, добавляете комментарии. !

FreeBSD 8 как и предыдущие версии этой операционной системы – это прежде всего сетевая система, поэтому защищать  ее в сети Интернет задача архиважная. Я уже косвенно касался этого вопроса при настройке шлюза на FreeBSD 8 и описывал как можно добавить его (ipfw) в ядро системы ( – с этой статьей я предлагаю вам ознакомиться потому как тут это рассматриваться не будет). Также вскольз ipfw был затронут в этой статье – настройке nat (маскарадинг) с помощью ipfw nat.

Итак ipfw. Это один из лучших (если не самый) firewall с которым мне приходилось работать, описать все его возможности просто нереально, он полностью отвечает идеологии UNIX и просто поражает своей гибкостью.  Для его использования необходимы знания работы протоколов TCP/IP и модели OSI. IPFW состоит из семи компонентов  - цепочки  правил, регистратор событий, divert правила, dummynet управление трафиком, модуль моста (bridge), правила fwd (forward), модуль ipstealth.Стандартный набор правил расположен по адресу /etc/rc.firewall, конечно он не планировался для использования без изменений, в нем к примеру нету весьма полезных правил динамической фильтрации. Хотя самый простой способ использования ipfw это конечно использование стандартных правил. Рассмотрим что нужно для их запуска.

		firewall_enable="YES"

		firewall_type="!значение!"

!значение! может быть следующим  open – просто пропускает весь трафик.

client -стандартный правила для защиты текущего компьютера.

simple – стандартные правила для защиты всей сети.

closed- закрывает весь трафик кроме петлевого (loopback )

UNKNOWN- не загружает вообще никаких правил.

путь к файлу из которого загрузить правила.

Последний способ нам вполне подходит, хотя можно просто поместить скрипт * в автозагрузку и в процессе запуска FreeBSD считает правила для ipfw из него . (*! важно ! в FreeBSD 8 нельзя чтобы этот файл имел расширение .sh – такие файлы не будут запущенны в процессе автозагрузки.) В случае запуска ipfw правил скриптом из автозагрузки можно установить

	firewall_type="UNKNOWN"

Пример файла ipfw.rule помещенный /etc/rc.d/ который запрещает прохождения любого трафика

#!/bin/shipfw -q flush
ipfw add deny in
ipfw add deny out

# ipfw list

#ipfw zero

    #!/bin/sh
    fwcmd=”/sbin/ipfw”
    natdcmd=”/sbin/natd”
    int_if=”rl0″
    int_if2=”rl1″
    ext_if=”xl0″
    ${fwcmd} -f flush
    ${natdcmd} -s -m -u -a 1.1.1.1
    ${fwcmd} add 10 reset tcp from any to any 135,137,138,139,445,593,4444
    #== main
    ${fwcmd} add 30 divert natd ip from any to any via ${ext_if}
    ${fwcmd} add 40 allow icmp from any to any
    #==  ssh
    ${fwcmd} add 41 allow tcp from me to 1.1.1.0/23 dst-port 22 via ${ext_if}
    ${fwcmd} add 42 allow tcp from 1.1.1.0/23 to me dst-port 22 via ${ext_if}
    #== all
    ${fwcmd} add 43 deny log all from any to any dst-port 22 via ${ext_if}
    ${fwcmd} add 44 allow all from 192.168.30.2 to any
    ${fwcmd} add 45 allow all from any to 192.168.30.2
    ${fwcmd} add 46 allow all from 192.168.30.12 to any via ${int_if}
    ${fwcmd} add 47 allow all from any to 192.168.30.12 via ${int_if}
    ${fwcmd} add 50 allow all from any to any via lo0
    ${fwcmd} add 60 allow all from any to any via ${ext_if}
    ${fwcmd} add 65532 deny log ip from 192.168.30.0/24 to 192.168.30.1
    ${fwcmd} add 65322 deny log ip from 192.168.30.0/24 to 1.1.1.1
    ${fwcmd} add 65534 deny log ip from any to any