Интернет магазин китайских планшетных компьютеров

Компьютеры - Ipfw - Включение во FreeBSD

При установке системы FreeBSD стандартными средствами, ipfw по умолчанию не включен. Поддержка может быть выполнена включением кода ipfw в ядро, либо подключением одноимённых модулей. Загрузка процессора меньше при включении ipfw в ядро, однако это заметно лишь при большом количестве обрабатываемых пакетов и правил.

Если вы хотите использовать IPFW, то вам необходимо пересобрать ядро с опцией:

options    IPFIREWALL

Если вы хотите использовать NAT, то вам необходимо добавить опцию:

options    IPDIVERT

Если вы хотите использовать pipe/queue, то вам необходимо добавить опцию:

options    DUMMYNET

Включение ipfw через загрузку модулей ядра выполняется командами

kldload ipfw
kldload ipdivert
kldload dummynet

соответственно.

Как строить правила

Общий формат для построения правил:

ipfw action proto from src to dst

ipfw add 00001 allow icmp from any to any

разрешить любой трафик по протоколу ICMP в любом направлении. первым правилом

ipfw add deny all from 192.168.0.0/24, 10.0.0.0/8 to 192.168.1.0/24

запретить любой трафик по любому протоколу в направлении от 192.168.0.0-192.168.0.255 или от 10.0.0.0-10.255.255.255 к подсети 192.168.1.0/24. Номер правила в таком случае берется от последнего испольованного +100, за исключением последнего правила по умолчанию;

ipfw add deny all from 192.168.0.1 to me

Запрещает весь трафик от адреса 192.168.0.1 ко всем сетевым интерефейсам устройства, на котором работает конфигурируемый ipfw;

ipfw add allow all from table to any

Разрешает весь трафик от адресов в таблице №1 к любым адресам;

ipfw add allow all from table to any out

Разрешает весь исходящий

трафик от адресов в таблице №1 к любом адресам;

ipfw add allow all from table to any out via em0

Разрешает весь исходящий трафик от адресов в таблице №1 к любом адресам через интерфейс em0;

ipfw add skipto 1700 ip from table to any

Начинает проверять запрос соответствию с правила 1701 для ip адресов из таблицы 8;

ipfw add set 31 prob 0.95 allow tcp from me to any out dst-port 80

Разрешает весь исходящий трафик от данного устройства к любому адресу по порту 80 tcp с вероятностью 95%. Правило добавляется в специальный набор правил №31, см.ниже;

ipfw table 1 add 192.168.1.2

ipfw table 1 add 192.168.1.128/25

Добавить в таблицу 1 соответственно адрес 192.168.1.2 и подсеть 192.168.1.128/25

ipfw table 1 list

Показать содержимое таблицы 1;

ipfw delete 00001

удалить ранее созданное правило №1. Описание необязательно - в случае, если под данным номером не одно правило, удаляются все.

ipfw flush

удалить все правила, не входящие в набор №31;правило №65535 входит в него по умолчанию;