Sada smo već pri kraju. Sve što je preostalo jeste da definišemo pravila po kojim će se firewall ponašati i posle toga možete da restartujete mašinu i firewall bi trebao da bude podignut i aktivan. Svakako razumem da će svako želeti nešto drugačija pravila za njihov firewall, tako da sam pokušao da napišem pravila koja će odgovarati većini korisnika dialup konekcije. Možete lako modifikovati već postojeća pravila kao osnovu za vaš set pravila. Krenimo prvo sa osnovama zatvorenog firewall-inga. Ono što bi trebalo da uradite jeste da u osnovnoj konfiguraciji sve zatvorite i onda po potrebi otvorite samo ono što vam je potrebno. Pravila se pišu tako da se prvo pišu pravila dozvole (allow), a onda pravila zabrane (deny). Pretpostavka je da ćete prvo dodati pravila dozvole, a zatim sve ostalo zabraniti. :)
Napravimo sada direktorijum /etc/firewall. Udjite u taj direktorijum i potom napravite file fwrules koji smo naznačili u rc.conf fajlu i editujte ga prema vašim potrebama. Molim vas da obratite pažnju na to da možete da promenite ime ovog fajla kako vama odgovara. Ovo uputsvo samo daje ovo ime kao primer.
Pogledajmo sada primer konfiguracionog fajla, gde ćete videti i detalje podešavanja:.
# Pravila za konfigurisanje firewall-a # Written by Marc Silver (marcs@draenor.org) # http://draenor.org/ipfw # Slobodna distribucija # Definišite firewall komadu (kao u /etc/rc.firewall) radi # lakšeg referenciranja. Omogućava lakše čitanje istog . fwcmd="/sbin/ipfw" # Prisiljava preuzimanje novih pravila prilikom restartovanja. $fwcmd -f flush # Preusmerava sve pakete kroz tunnel interfejs. $fwcmd add divert natd all from any to any via tun0 # Dozvoljava protok svih podataka kroz mrežne karte i localhost. # Proverite da li ste promenili identifikaciju mrežne karte pre # nego što restartujete mašinu (moja je bila fxp0) :) $fwcmd add allow ip from any to any via lo0 $fwcmd add allow ip from any to any via fxp0 # Dozvoli sve konekcije koje ja iniciram $fwcmd add allow tcp from any to any out xmit tun0 setup # Pošto su konekcije napravljene, dozvoli im da ostanu otvorene $fwcmd add allow tcp from any to any via tun0 established # Svima na internetu je dozvoljeno da se konektuju na sledeće # servise na ovoj mašini. U ovom primeru ljudi mogu da se # konektuju na ssh i apache (ili neki drugi web server koji # sluša na portu 80) $fwcmd add allow tcp from any to any 80 setup $fwcmd add allow tcp from any to any 22 setup # Ova linija šalje RESET svim ident paketima. $fwcmd add reset log tcp from any to any 113 in recv tun0 # Omogući izlazne DNS upite SAMO ka određenim serverima. $fwcmd add allow udp from any to x.x.x.x 53 out xmit tun0 # Dozvoli im da daju povratnu infomaciju.... :) $fwcmd add allow udp from x.x.x.x 53 to any in recv tun0 # Dozvoli ICMP (potreban za ping i traceroute). Možda ćete # želeti da ovo onemogućite, ali to mojim potrebama odgovara $fwcmd add 65435 allow icmp from any to any # Zabrani sve ostalo. $fwcmd add 65435 deny log ip from any to any
Sada imate potpuno funkcionalan firewall koji ce dozvoliti konekcije na portove 80 i 22, i koji će prijaviti pokušaj konekcije na bilo koji drugi port. Sada bi trebalo da možete bezbedno da restartujete mašinu i posle restarta bi vaš firewall trebao fino da radi. Ako pronadjete neku grešku ili natrčite na neki problem, ili imate bilo koju sugestiju kako bi unapredio ovu dokumentaciju, molim vas da mi napišete email.
This, and other documents, can be downloaded from ftp.FreeBSD.org/pub/FreeBSD/doc/.
For questions about FreeBSD, read the documentation before contacting <questions@FreeBSD.org>.
For questions about this documentation, e-mail <doc@FreeBSD.org>.