Firewall a jeho nastavenie.

Jiri Calda calda at dzungle.ms.mff.cuni.cz
Mon Aug 18 11:17:55 CEST 1997


Zdravim,

On Mon, 18 Aug 1997, Zgebura Stefan wrote:

> Zdravim Vas,
> pouzivam FreeBSD 2.2.1 ako gateway. Chcel by som na nom nastavit firewall
> ale nie je mi jasne ako nakonfigurovat rc.firewall a co potrebujem doplnit
> do kernelu, predtym nez ho skompilujem.


Do kernelu se davaji celkem 3 radky :
options IPFIREWALL a IPFIREVALL_VERBOSE a IPFIREWALL_VERBOSE_LIMIT=100
Vysvetleni je v LINT (vysvetlijici configurak pro kompilaci kernelu).
Jeste je dobre pridat IPDIVERT.
Po kompilaci jadra, je automaticky firewall zapnut, takze neprojde odnikud nikam
nic. Vyplatilo se nam zmenit zdrojaky tak, aby def. byl otevren. Ma to tu
vyhodu, ze kdyz zapomenes a das ipfw f, nezustane to uplne zavreny.
Pokud bys mel o toto zajim, napis.

> Uvediem priklad. Gateway ma IP 10.10.10.1, Databazovy server ma IP 10.10.10.5 
> a WWW server ma IP 10.10.10.20 a chcem dosiahnut aby na IP  10.10.10.5 nemal
> cez internet nikto pristup ale moholfungovat mail a na IP 10.10.10.20 t.j.
> WWW server mohol pristupovat cez telnet, ftp a WWW. Co vesetko musim urobit
> aby som to nastavil. 

Predpokladam, ze FreeBSD ma dve karty. Pak nas zajima ta venkovni, neb ta je pristupna.
Ve vnitr je vse zakazane a ted budem jen povolovat. Nejlepe, kdyz si nastavis 
promenou firewall=client v /etc/sysconfig a v rc.firewall si zmodifikujes sekci
client. 
Ta sekce by vypadala asi takto:

# Allow TCP through if setup succeeded
    /sbin/ipfw add pass tcp from any to any established
    
# Povoleni pristupu na www
    /sbin/ipfw add pass tcp from any to ${ip_www} 80 setup

# Povoleni pristupu na telnet
    /sbin/ipfw add pass tcp from any to ${ip_www} 23 setup

# Povoleni pristupu na ftp
    /sbin/ipfw add pass tcp from any to ${ip_www} 21 setup
    /sbin/ipfw add pass tcp from any 20 to ${ip_www} setup

Pripada mi, ze povolit telnet nani to prave orechove. POkud si precijen
hrqHajes na bezpecnost, pak bych rozhodne radil prejit na ssh.

Ohledne posty jsou mozne dva pristupy. Bud stejne otevres port 25 nebo das vnejsi kartu toho FreeBSD do DNS s nizsim MX a pak ji povolovat nemusis, neb ona
dojde na FBSD a to jiz do vnitrni site muze.

> Dalej by ma zaujimalo, ci mozem vidiet niekde nejaky log subor, ktory oznamuje
> pokus o preniknutie do systemu, alebo ine zaznami. 

Da se udelat log pokusu o poslani paketu, ktere jsou disable.

Omlouvam se za srozumitelnost. V pripade problemu ci otazek se ozvy.

						Jirka





More information about the Users-l mailing list