Ipfw

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 18. lokakuuta 2014 tarkistetusta versiosta . tarkastukset vaativat 18 muokkausta .

ipfw
Tyyppi	Palomuuri
Kehittäjä	FreeBSD:n vapaaehtoistiimi
Käyttöjärjestelmä	FreeBSD , DragonFlyBSD , Mac OS X
Lisenssi	BSD
Verkkosivusto	freebsd.org

ipfirewall  on palomuuri , joka toimitetaan FreeBSD :n kanssa versiosta 2.0 lähtien. Sen avulla voit esimerkiksi laskea liikennettä kaikkien järkevien sääntöjen mukaan TCP / IP -pinoprotokollien pakettiotsikoiden tietojen perusteella , käsitellä paketteja ulkoisilla ohjelmilla, piilottaa koko verkon yhden tietokoneen taakse jne. [1]

Useat FreeBSD-pohjaiset sulautetut käyttöjärjestelmät , kuten m0n0wall , käyttävät .

Windows 2000 :lle , Windows XP :lle ja Windows Server 2003 :lle on siirretty versio - Wipfw .

ipfw  on käyttäjäapuohjelman nimi (käynnistetään komentoriviltä ), joka on suunniteltu hallitsemaan IPFW-järjestelmää. Järjestelmänvalvojat käyttävät sitä sääntöjen luomiseen ja muokkaamiseen, jotka ohjaavat pakettien suodatusta ja edelleenlähetystä .

ipfw voidaan ladata moduulina tai rakentaa ytimeen.

IP-palomuuri koostuu seuraavista osista:

• ydintason sääntömoottori, mukaan lukien pakettilaskentajärjestelmä
• kirjausmekanismi
• edelleenlähetysmekanismi
• ipstealth (mekanismi TTL-kenttien muokkaamiseen, suojaus traceroutea vastaan )
• ALTQ - pohjaiset QoS-säätimet
• työkaluja useiden sääntöjen hallintaan
• kaistanleveyden ohjausmekanismit
• reittitaulukkoon perustuva huijauksenestojärjestelmä
• pakettilaskurit
• sisäänrakennettu NAT , PAT ja LSNAT (FreeBSD 7:stä lähtien)
• IPv6- tuki (joillakin rajoituksilla)

Historia

IPfw-apuohjelma ilmestyi ensimmäisen kerran FreeBSD 2.0:ssa. Tuki dummynetille lisättiin myöhemmin versiosta 2.2.8 alkaen. Tuki siirtopistorasialle yhdessä natd:n kanssa on lisätty versiosta 3.x (täsmennä). NAT-tuki ydintasolla on lisätty versiosta 7.0 lähtien.

Tekijät

• Ugen JS Antsilevitš
• Poul-Henningin leiri
• Alex Nash
• Archie Cobbs
• Luigi Rizzo

Ytimen NAT-tuen kirjoitti Paolo Pisati, ja se ilmestyi ensimmäisen kerran FreeBSD 4.0:ssa. Aiemmin NAT-käännöksen suoritti natd-daemon, jolle paketit välitettiin siirtotoiminnolla.

Kuvaus

Määritettyä palomuuria edustaa järjestetty sääntöjen luettelo, jonka numerot ovat välillä 1-65535. Jokainen paketti tulee protokollapinon eri tasoilta, ja kun se osuu palomuuriin, sitä verrataan vuorotellen kunkin luettelon säännön kriteereihin. Jos vastaavuus löytyy, tälle säännölle määritetty toiminto suoritetaan.

ipfw sisältää aina oletussäännön (numero 65535), jota ei voi muuttaa tai poistaa. Tämä sääntö on terminaalinen, eli sitä sovelletaan paketeihin, jotka eivät kuulu kaikkiin edellisiin. Ytimen kokoonpanosta riippuen tämä sääntö voi suorittaa toiminnot "kiellä" tai "salli" (oletuksena se on deny ip mistä tahansa mihin tahansa, muuttaaksesi tätä, sinun on lisättävä ytimeen asetukset IPFIREWALL_DEFAULT_TO_ACCEPT). Järjestelmänvalvoja voi muokata kaikkia muita sääntöjä.

Paketeissa voidaan soveltaa useita perustoimintoja:

• salli ( syn.  - läpäise, hyväksy, salli) - salli paketin kulkea. Tämän toimenpiteen jälkeen muita sääntöjä ei oteta huomioon.
• kieltää ( syn. drop) - kieltää (pudottaa) paketin. Paketti lakkaa liikkumasta sääntöluettelossa ja järjestelmä unohtaa sen kokonaan.
• tavoittamaton  - hylkää paketti. Toisin kuin deny, virheviesti lähetetään lähettäjälle ICMP:n kautta. Tämän toimenpiteen jälkeen muita sääntöjä ei oteta huomioon.
• hylkää  - hylkää paketti ja lähetä "Määritettyä isäntä ei löytynyt" lähettäjälle
• skipto  - siirry sääntöön määritetyllä numerolla ohittaen kaikki välivaiheet (käytetään välttämään sellaisten sääntöjen luettelon katselemista, joiden ehdot eivät ilmeisesti täyty).
• fwd ( syn. eteenpäin) - pakettien uudelleenohjaus (käytetään "transparent-välityspalvelimen" järjestämiseen; sekä pakettien reitittämiseen lähteen IP-osoitteen tai muiden merkkien mukaan, joita ei käsitellä normaalilla reitityksellä).
• divert  - välitä paketti analysoitavaksi käyttäjäsovellukselle, joka voi muuttaa paketin ja palauttaa sen palomuuriin (palautettu paketti välitetään seuraavaan sääntöön) tai tuhota paketin.
• tee  - samanlainen kuin siirto, paitsi että paketin kopio lähetetään analysoitavaksi (useimmiten käytetään liikenteen laskemiseen).
• putki , jono - paketin välittäminen dummynet  "kanavan" tai "jonon" kautta ( muotoilu ). Käytetään rajoittamaan kaistanleveyttä ja viivästämään paketteja.

Sisällytys FreeBSD:hen

Kun asennat FreeBSD-järjestelmän vakiomenetelmin, ipfw ei ole oletusarvoisesti käytössä. Tuki voidaan tehdä joko sisällyttämällä ipfw-koodi ytimeen (lisäämällä valintoja ja kääntämällä ydin uudelleen ja käynnistämällä sitten järjestelmä uudelleen) tai (milloin tahansa järjestelmän käynnistyksen jälkeen) yhdistämällä samannimiset moduulit (viimeisin järjestelmän versiot). Suorittimen käyttö on pienempi, kun ipfw on sisällytetty ytimeen, mutta tämä on havaittavissa vain suurella määrällä käsiteltyjä paketteja ja sääntöjä.

Jos haluat käyttää IPFW:tä, sinun on rakennettava ydin uudelleen vaihtoehdolla:

vaihtoehdotIPPALMUURI

Oletuksena IPFW:ssä on sisäänrakennettu ei-poistamaton sääntö "kaikki on kielletty kaikille", jolla on suurin määrä ja siksi se käsitellään kaikkien järjestelmänvalvojan syöttämien sääntöjen jälkeen. Joidenkin järjestelmänvalvojan virheellisten toimintojen vuoksi järjestelmä voidaan sulkea kaikilta verkon kautta ja järjestelmänvalvoja tarvitsee pääsyn konsoliin. Jos haluat korvata tämän säännön sanalla "kaikki ovat sallittuja", sinun on lisättävä vaihtoehto

asetukset IPFIREWALL_DEFAULT_TO_ACCEPT

Jos haluat käyttää NATia (natd-daemonin kautta), sinun on lisättävä vaihtoehto:

vaihtoehdot IPDIVERT

Jos haluat käyttää ydintason NATia, sinun on lisättävä vaihtoehtoja:

vaihtoehdot LIBALIAS asetukset IPFIREWALL_NAT

Jos haluat käyttää putkea/jonoa, sinun on lisättävä vaihtoehto:

vaihtoehdot DUMMYNET

IPfw:n käyttöönotto ytimen moduulien lataamisen kautta tapahtuu (superkäyttäjä)-komennoilla

kldload ipfw kldload ipdivert kldload dummynet

vastaavasti.

Kuinka luoda sääntöjä

Rakennussääntöjen yleinen muoto:

ipfw [todennäköisyys match_probability ] toiminto [loki logamount number ] proto src :stä dst : hen [ valinnat ] ipfw add 00001 salli icmp mistä tahansa mihin tahansa salli(salli) kaikki liikenne ICMP -protokollan (icmp) kautta mihin tahansa suuntaan. (mikä tahansa mihin tahansa) ensimmäisen (00001) säännön mukaan ipfw add deny all 192.168.0.0/24, 10.0.0.0/8 - 192.168.1.0/24 Estä (estä) kaikki liikenne minkä tahansa protokollan (kaikki) kautta suuntaan 192.168.0.0-192.168.0.255 tai 10.0.0.0-10.255.255.255 aliverkkoon 192.168.1.0/24 (192.16.5.9.192.168). Sääntönumero on tässä tapauksessa otettu viimeksi käytetystä +100:sta, paitsi viimeinen oletussääntö (nro 65535); ipfw add deny all from 192.168.0.1 minulle Estää kaiken liikenteen osoitteesta 192.168.0.1 kaikkiin määritettyä ipfw:tä käyttävän laitteen verkkoliitäntöihin; ipfw add salli kaikki taulukosta (1) mihin tahansa Sallii kaiken liikenteen taulukon #1 osoitteista kaikkiin osoitteisiin; ipfw add salli kaikki taulukosta (1) mihin tahansa ulos Sallii kaiken lähtevän (ulos)

liikenne taulukon 1 osoitteista mihin tahansa osoitteeseen;

ipfw add salli kaikki taulukosta (1) mihin tahansa ulos em0:n kautta Sallii kaiken lähtevän (ulos)liikenteen taulukon #1 osoitteista mihin tahansa osoitteeseen em0-liitännän kautta; ipfw lisää skipto 1700 ip taulukosta (8) mihin tahansa Aloittaa pyynnön säännön 1701 noudattamisen tarkistamisen (eli kaikki säännöt alkaen tästä 1700 asti ohitetaan tätä pakettia tarkistettaessa) IP-osoitteiden osalta taulukosta 8; ipfw add set 31 todennäköisyys 0.95 salli tcp minulta mihin tahansa ulos dst-porttiin 80 Sallii kaiken lähtevän (ulos)liikenteen tästä laitteesta mihin tahansa osoitteeseen portissa 80 tcp (dst-port 80, tcp) 95 %:n todennäköisyydellä (todennäköisyys 0,95). Sääntö lisätään erikoissääntöjoukkoon #31, katso alla (ipfw flush); ipfw-taulukko 1 lisää 192.168.1.2 ipfw-taulukko 1 lisää 192.168.1.128/25 Lisää taulukkoon 1 osoite 192.168.1.2 (maski /32 - oletuksena) ja aliverkko 192.168.1.128/25. ipfw taulukko 1 luettelo Näytä taulukon 1 sisältö; ipfw poista 00001 poista aiemmin luotu sääntö nro 1. Kuvaus on valinnainen - jos tämän numeron alla on useampi kuin yksi sääntö, kaikki poistetaan. ipfw flush poista kaikki säännöt, jotka eivät sisälly joukkoon 31, sääntö nro 65535 sisältyy siihen oletuksena;

Katso myös

• IPFilter
• Pakettisuodatin
• NPF
• WIPfw
• iptables

Muistiinpanot

1. ↑ Kuzmich FireWallin (ipfw) määrittäminen FreeBSD:ssä (downlink) . Haettu 16. joulukuuta 2008. Arkistoitu alkuperäisestä 8. toukokuuta 2012. (Venäjän kieli) 

Linkit

• WIPFW virallinen käsikirja (voit myös ladata ohjelman)  (venäjäksi)
• Virallinen opas  (englanniksi)
• ipfw: pakettien läpikulkujärjestys, hankalia tapauksia
• Opetusohjelma FreeBSD:stä, OpenBSD:stä, NetBSD:stä, DragonFlystä (BSDA Q&A): ipfw
• WIPFW:n asentaminen Windows XP:hen ja 2003 x64:ään
• Epävirallinen wipfw-portti

Palomuurit
Vapaa	BSD : ipfw IPFilter PF NPF Linux : netfilter ( iptables eptables nftables Palonsytytin iplist NuFW Shorewall ufw ) Windows : iSafer PeerBlock
Vapaa	Ashampoo FireWall ilmainen Comodo ydinvoima Armor verkossa Etuvartio PC-työkalut PeerGuardian Yksityinen palomuuri Sygate_
kaupallinen	Ashampoo FireWall Pro AVG Internet Security CA henkilökohtainen palomuuri Dr. Web Ideco UTM Jetico Personal Firewall Kaspersky Kerio Control Eturintaman TMG Norton Etuvartio Panda Pilvi aurinkovyö_ Liikennetarkastaja Trend Micro Internet Security UserGate VIPet Personal Firewall ZoneAlarm Windowsin palomuuri Internetin ohjauspalvelin Mac OS : NetBarrier Mac OS : Little Snitch
Laitteisto	tarkistuspiste Cisco Fortinet Kataja VIPNet-koordinaattori HW Manner