Ipfw

Versiunea actuală a paginii nu a fost încă revizuită de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită la 18 octombrie 2014; verificările necesită 18 modificări .

ipfw
Tip de	Firewall
Dezvoltator	Echipa de voluntari FreeBSD
Sistem de operare	FreeBSD , DragonFlyBSD , Mac OS X
Licență	BSD
Site-ul web	freebsd.org

ipfirewall  este un firewall care este livrat cu FreeBSD începând cu versiunea 2.0. Cu acesta, puteți, de exemplu, să numărați traficul conform oricăror reguli rezonabile bazate pe datele din antetele pachetelor din protocoalele stivei TCP / IP , să procesați pachete cu programe externe, să ascundeți o întreagă rețea în spatele unui computer etc. [1]

Folosit de multe sisteme de operare încorporate bazate pe FreeBSD , cum ar fi m0n0wall .

Există o versiune portată - Wipfw pentru Windows 2000 , Windows XP și Windows Server 2003 .

ipfw  este numele unui utilitar de utilizator (lansat din linia de comandă) conceput pentru a gestiona sistemul IPFW. Administratorii îl folosesc pentru a crea și modifica reguli care controlează filtrarea și redirecționarea pachetelor .

ipfw poate fi încărcat ca modul sau încorporat în nucleu.

IPfirewall constă din următoarele componente:

• motor de reguli la nivel de nucleu, inclusiv un sistem de contabilitate a pachetelor
• mecanism de înregistrare
• mecanism de expediere
• ipstealth (mecanism de editare a câmpurilor TTL, protecție împotriva traceroute )
• Controale QoS bazate pe ALTQ
• instrumente pentru gestionarea mai multor reguli
• mecanisme de control al lățimii de bandă
• sistem anti-spoofing bazat pe tabel de rute
• contoare de pachete
• NAT , PAT și LSNAT încorporate ( de la FreeBSD 7)
• Suport IPv6 (cu unele restricții)

Istorie

Utilitarul ipfw a apărut pentru prima dată în FreeBSD 2.0. Suportul pentru dummynet a fost adăugat mai târziu, începând cu versiunea 2.2.8. Suport pentru socket de deviere împreună cu natd a fost adăugat începând cu versiunea 3.x (specificați). Suportul NAT la nivel de kernel a fost adăugat începând cu versiunea 7.0.

Autorii

• Ugen JS Antsilevici
• Tabăra Poul-Henning
• Alex Nash
• Archie Cobbs
• Luigi Rizzo

Suportul Kernel NAT a fost scris de Paolo Pisati și a apărut pentru prima dată în FreeBSD 4.0. Anterior, traducerea NAT era efectuată de demonul natd, către care pachetele erau transmise prin acțiunea de deviere.

Descriere

Firewall-ul configurat este reprezentat de o listă ordonată de reguli cu numere în intervalul 1-65535. Fiecare pachet provine de la niveluri diferite ale stivei de protocol, iar atunci când lovește firewall-ul, este comparat la rândul său cu criteriile fiecărei reguli din listă. Dacă se găsește o potrivire, atunci acțiunea atribuită acestei reguli este efectuată.

ipfw conține întotdeauna o regulă implicită (numerotată 65535) care nu poate fi schimbată sau eliminată. Această regulă este terminală, adică se aplică pachetelor care nu se încadrează în toate cele anterioare. În funcție de configurația nucleului, această regulă poate efectua acțiunile „deny” sau „allow” (în mod implicit este deny ip from any to any, pentru a schimba acest lucru, trebuie să adăugați opțiunile IPFIREWALL_DEFAULT_TO_ACCEPT la kernel). Toate celelalte reguli pot fi editate de administratorul de sistem.

Există mai multe acțiuni de bază care pot fi aplicate pachetelor:

• permit ( sin.  - trece, accept, permite) - permite trecerea pachetului. După această acțiune, nu sunt luate în considerare alte reguli.
• deny ( sin. drop) - deny (drop) pachetul. Pachetul nu se mai mișcă de-a lungul listei de reguli și sistemul uită complet de el.
• unreach  - refuza pachetul. Spre deosebire de deny, un mesaj de eroare este trimis expeditorului prin ICMP. După această acțiune, nu sunt luate în considerare alte reguli.
• respinge  - respinge pachetul și trimite „Gazda specificată nu a fost găsită” expeditorului
• skipto  - mergeți la regula cu numărul specificat, ocolind toate cele intermediare (folosit pentru a evita vizualizarea listei de reguli ale căror condiții evident nu sunt îndeplinite).
• fwd ( syn. forward) - redirecționarea pachetelor (folosită pentru a organiza un „proxy transparent”; precum și pentru a direcționa pachetele după adresa IP sursă sau orice alte semne care nu sunt procesate de rutarea normală).
• redirecționare  - transmiteți pachetul pentru analiză aplicației utilizator, care poate schimba pachetul și îl poate returna în firewall (pachetul returnat va fi trecut la următoarea regulă) sau poate distruge pachetul.
• tee  - similar cu redirecționarea, cu excepția faptului că o copie a pachetului este trimisă pentru analiză (utilizată cel mai adesea pentru a număra traficul).
• pipe , queue - trecerea unui pachet printr-un  "canal" sau "coadă" ( formarea ) dummynet . Folosit pentru a limita lățimea de bandă și a întârzia pachetele.

Includerea în FreeBSD

Când instalați un sistem FreeBSD prin mijloace standard, ipfw nu este activat implicit. Suportul se poate face fie prin includerea codului ipfw în nucleu (prin adăugarea de opțiuni și recompilarea nucleului și apoi repornirea sistemului), fie (oricand după pornirea sistemului) prin conectarea modulelor cu același nume (disponibile în ultima versiune). versiuni ale sistemului). Utilizarea procesorului este mai mică atunci când ipfw este inclus în nucleu, cu toate acestea, acest lucru este vizibil doar cu un număr mare de pachete și reguli procesate.

Dacă doriți să utilizați IPFW, atunci trebuie să reconstruiți nucleul cu opțiunea:

opțiuniIPFIREWALL

Implicit, IPFW are încorporată o regulă nedemontabilă „totul este interzis tuturor”, care are cel mai mare număr și, prin urmare, va fi procesată după toate regulile introduse de administratorul de sistem. Cu unele acțiuni eronate ale administratorului, sistemul poate fi închis de la orice acces prin rețea, iar administratorul va avea nevoie de acces la consolă; pentru a înlocui această regulă cu „toată lumea are voie”, trebuie să adăugați opțiunea

opțiuni IPFIREWALL_DEFAULT_TO_ACCEPT

Dacă doriți să utilizați NAT (prin demonul natd), atunci trebuie să adăugați opțiunea:

opțiuni IPDIVERT

Dacă doriți să utilizați NAT la nivel de kernel, atunci trebuie să adăugați opțiuni:

opțiuni LIBALIAS opțiuni IPFIREWALL_NAT

Dacă doriți să utilizați pipe/queue, atunci trebuie să adăugați opțiunea:

opțiuni DUMMYNET

Activarea ipfw prin încărcarea modulelor nucleului se face prin comenzi (superutilizator).

kldload ipfw kldload ipdivert kldload dummynet

respectiv.

Cum se construiesc reguli

Format general pentru regulile de construcție:

ipfw [prob match_probability ] acțiune [log logamount number ] proto de la src la dst [ opțiuni ] ipfw add 00001 permit icmp de la oricare la oricare permite (permite) orice trafic prin protocolul ICMP (icmp) în orice direcție. (oricare către oricare) prin prima regulă (00001) ipfw add deny all de la 192.168.0.0/24, 10.0.0.0/8 la 192.168.1.0/24 Interzice (interfiază) orice trafic prin orice protocol (toate) în direcția de la 192.168.0.0-192.168.0.255 sau de la 10.0.0.0-10.255.255.255 la subrețeaua 192.168.1.0/24 (192.168.0.0/24 (192.168.0.0-168...12.0.0.0-10.255.255.255) Numărul regulii în acest caz este luat din ultimul +100 folosit, cu excepția ultimei reguli implicite (nr. 65535); ipfw adaugă deny all de la 192.168.0.1 pentru mine Respinge tot traficul de la adresa 192.168.0.1 către toate interfețele de rețea ale dispozitivului care rulează ipfw configurat; ipfw add permit all from table(1) to any Permite tot traficul de la adresele din tabelul #1 către orice adresă; ipfw add allow all from table(1) to any out Permite toate ieșirile (ieșirile)

trafic de la adresele din tabelul nr. 1 la orice adrese;

ipfw add permit all from table(1) to any out prin em0 Permite tot traficul de ieșire (ieșire) de la adresele din tabelul #1 către orice adresă prin interfața em0; ipfw adaugă skipto 1700 ip de la tabel (8) la oricare Începe verificarea cererii de conformitate cu regula 1701 (adică toate regulile începând de la aceasta și până la 1700 sunt ignorate la verificarea acestui pachet) pentru adresele IP din tabelul 8; ipfw add set 31 prob 0.95 permite tcp de la mine la orice out dst-port 80 Permite tot traficul de ieșire (ieșire) de pe acest dispozitiv către orice adresă de pe portul 80 tcp (dst-port 80, tcp) cu o probabilitate de 95% (prob 0,95). Regula este adăugată la setul de reguli speciale #31, vezi mai jos (ipfw flush); ipfw tabelul 1 adăugați 192.168.1.2 ipfw tabelul 1 adăugați 192.168.1.128/25 Adăugați în tabelul 1 adresa 192.168.1.2 (mască /32 - implicit) și respectiv subrețeaua 192.168.1.128/25 ipfw tabelul 1 lista Afișați conținutul tabelului 1; ipfw șterge 00001 ștergeți regula creată anterior nr. 1. Descrierea este opțională - dacă există mai multe reguli sub acest număr, toate sunt șterse. ipfw flush ștergeți toate regulile care nu sunt incluse în setul nr. 31, regula nr. 65535 este inclusă implicit în acesta;

Vezi și

• IPFilter
• Filtru de pachete
• NPF
• WIpfw
• iptables

Note

1. ↑ Kuzmich Configurarea Firewall (ipfw) în FreeBSD (downlink) . Consultat la 16 decembrie 2008. Arhivat din original pe 8 mai 2012. (Rusă) 

Link -uri

• Manual oficial WIPFW (puteți descărca și programul)  (rusă)
• Ghid oficial  (engleză)
• ipfw: ordinea de traversare a pachetelor, cazuri complicate
• Tutorial despre FreeBSD, OpenBSD, NetBSD, DragonFly (BSDA Q&A): ipfw
• Instalarea WIPFW pe Windows XP și 2003 x64
• Port neoficial din wipfw

Firewall-uri
Gratuit	BSD : ipfw IPFilter PF NPF Linux : netfilter ( iptables ebtables nftables Pornitor de foc iplist NuFW Shorewall ufw ) Windows : iSafer PeerBlock
Gratuit	Ashampoo Firewall gratuit Comodo forța centrală Armura online Avanpost Instrumente PC PeerGuardian Firewall privat Sygate
Comercial	Ashampoo FireWall Pro AVG Internet Security CA Personal Firewall Dr. Web Ideco UTM Jetico Personal Firewall Kaspersky Kerio Control Forefront TMG Norton Avanpost Panda Cloud centura solara Inspector de trafic Trend Micro Internet Security UserGate Firewall personal ViPNet ZoneAlarm Windows Firewall Server de control Internet Mac OS : NetBarrier Mac OS : Little Snitch
Hardware	punct de control Cisco Fortinet Ienupăr Coordonator ViPNet HW Continent