Интернет магазин китайских планшетных компьютеров

Компьютеры - Ipfw - История

Утилита ipfw впервые появилась во FreeBSD 2.0. Поддержка dummynet была добавлена позже, начиная с версии 2.2.8.

Авторы

• Ugen JS Antsilevich
• Poul-Henning Kamp
• Alex Nash
• Archie Cobbs
• Luigi Rizzo

Поддержка NAT на уровне ядра была написана Paolo Pisati и впервые появилась в FreeBSD 4.0. До этого преобразование NAT осуществлялось демоном natd, пакеты которому передавались действием divert.

Описание

Настроенный брандмауэр представлен упорядоченным списком правил с номерами из диапазона 1-65535. Каждый пакет приходит с различных уровней стека протоколов, и попадая на брандмауэр поочередно сравнивается с критерием каждого правила в списке. Если совпадение найдено, то выполняется действие, закрепленное за данным правилом.

ipfw всегда содержит правило по умолчанию которое не может быть ни изменено, ни удалено. Это правило является терминальным, т.е оно применяется к пакетам, не попавшим во все предыдущие. В зависимости от конфигурации ядра это правило может выполнять действия «запретить» или «разрешить». Все остальные правила могут редактироваться администратором системы.

Существует несколько основных действий, которые могут применяться к пакетам:

• allow — разрешить прохождение пакета. После этого действия другие правила не рассматриваются.
• deny — запретить пакет. Пакет прекращает движение по списку правил и система полностью про него забывает.
• unreach — запретить пакет. В отличие от deny, отправителю отправляется сообщение об ошибке по протоколу ICMP
• reject — запретить пакет, и послать отправителю «Заданный узел не найден»
• skipto — перейти к правилу с заданным номером, минуя все промежуточные.
• fwd — перенаправление пакета. Часто используется для организации «transparent-proxy».
• divert — передать пакет на анализ пользовательскому приложению, которое может изменить пакет, уничтожить или вернуть в firewall.
• tee — аналогичен divert, за исключением того, что на анализ передается копия пакета. Чаще всего используют для подсчета трафика.
• pipe, queue — прохождение пакета через «канал» или «очередь» dummynet. Используется для ограничения пропускной способности и внесения задержек в прохождение пакетов.