2. Opcję jądra

Na początek będziemy musieli przekompilować jądro. Wiecej informacji na temat kompilowania jądra znaleźć można w części Podręcznika poświęconej konfiguracji jądra. Do pliku konfiguracyjnego jądra dopisujemy następujące opcje:

options IPFIREWALL

Właczenie obsługi firewalla w jądrze.

options IPFIREWALL_VERBOSE

Wysyłanie informacji o pakietach do logów systemowych.

options IPFIREWALL_VERBOSE_LIMIT=100

Ograniczenie liczby pakietów zapisywanych w logach; dzięki temu plik loga nie zostanie zapchany wieloma powtarzającymi się wpisami. Wartość 100 jest sensowna, można jednak wstawić inną, odpowiednią dla własnych potrzeb.

options IPDIVERT

Włączenie gniazd divert.

Można dopisać jeszcze kilka wierszy opcjonalnych, które zwiększają poziom bezpieczeństwa. Firewall pracuje poprawnie również bez nich, jednakże bardziej ostrożni użytkownicy mogą zechcieć z nich skorzystać.

options TCP_DROP_SYNFIN

Ignorowanie pakietów TCP z ustawionymi flagami SYN i FIN. Zapobiega to możliwości identyfikacji stosu TCP/IP przy pomocy narzędzi takich jak nmap, jest to jednak wbrew ustaleniom dokumentu RFC1644. Nie powinno być stosowane, jeśli na maszynie ma działać serwer WWW.

Po kompilacji jądra nie trzeba od razu przeładowywać systemu. Jeśli wszystko pójdzie zgodnie z planem, wystarczy jedno przeładowanie po ukończeniu konfiguracji firewalla.

Ten i inne dokumenty można pobrać z ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

W przypadku pytań o FreeBSD prosimy przeczytać dostępną dokumentację przed kontaktem z <questions@FreeBSD.org>.
W sprawie zapytań o tę dokumentację prosimy o kontakt z <doc@FreeBSD.org>.