Dialup-firewalling sa FreeBSD-om | ||
---|---|---|
Prev |
Moraću da budem iskren na ovom mestu i da kažem da nemam određen razlog zašto zaista koristim natd i ipfw umesto ugradjenih ppp filtera. Posle razgovora koje sam imao sa raznim ljudima, došli smo do konsezusa da je ipwf definitivno moćniji kao i konfigurabilniji od ppp filtera sto mu daje poen više za funkcionalnost, kao i poen manje za lakoću korišćenja. Jedan od razloga zbog kojeg više volim ipwf jeste što preferiram da se firewalling radi na nivou kernela a ne na nivou korisničkog programa.
6.2. Ako interno koristim privatnu adresu, kao npr. u 192.168.0.0 opsegu, mogu li dodati komandu kao npr. $fwcmd add deny all from any to 192.168.0.0:255.255.0.0 via tun0 u pravila kako bih sprečio pokušaj konekcija sa udaljene mašine na internu mašinu?
Jednostavan odgovor je ne. Razlog je to sto natd radi prevodjenje adresa za sve sto je preusmereno kroz tun0. Sto se natd-a tiče, dolazeći paketi će govoriti samo o dinamički dodeljenoj IP adresi a NE o internoj mreži. Primetimo ipak da firewall-u možete dodati pravilo nalik na $fwcmd add deny all from any to 192.168.0.0:255.255.0.0 via tun0 koje bi ograničilo host u vašoj internoj mreži da izađe uz pomoć firewall-a.
6.3. Mora da je nešto pogrešno. Pratio sam vaša uputstva od reči do reči i sada sam potpuno zatvoren.
Ovaj tutorial pretpostavlja da koristite userland-ppp, i iz tog razloga dati set pravila radi na tun0 interfejsu, to odgovara prvoj konekciji ostvarenoj sa ppp(8) (odn. user-ppp). Dodatne konekcije bi koristile tun1, tun2 itd.
Takođe bi trebalo da primetite da pppd(8) koristi ppp0 ppp0 interfejs, tako da ako zelite da ostvarite konekciju pomocu pppd(8)-a morate zameniti tun0 sa ppp0. Brz način da podesite firewall u tom slučaju je prikazan dole. Originalni set pravila je sačuvan fwrules_tun0.
% cd /etc/firewall /etc/firewall% su Password: /etc/firewall# mv fwrules fwrules_tun0 /etc/firewall# cat fwrules_tun0 | sed s/tun0/ppp0/g > fwrules
Da bi ste saznali da li trenutno koristite ppp(8) ili pppd(8) mozete pogledati izlaz ifconfig(8)-a kada uspostavite vezu. Pod uslovom da uspostavite konekciju sa pppd(8)-om videćete nešto kao (prikazane su samo relevatne linije):
% ifconfig (skipped...) ppp0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1524 inet xxx.xxx.xxx.xxx --> xxx.xxx.xxx.xxx netmask 0xff000000 (preskočeno...)
OPod uslovom da je konekcija uspostavljena sa ppp(8)-om (user-ppp) trebalo bi da dobijete nesto nalik na slede'e linije:
% ifconfig (skipped...) ppp0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500 (skipped...) tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1524 (IPv6 stuff skipped...) inet xxx.xxx.xxx.xxx --> xxx.xxx.xxx.xxx netmask 0xffffff00 Opened by PID xxxxx (preskočeno...)
This, and other documents, can be downloaded from ftp.FreeBSD.org/pub/FreeBSD/doc/.
For questions about FreeBSD, read the documentation before contacting <questions@FreeBSD.org>.
For questions about this documentation, e-mail <doc@FreeBSD.org>.