通过IP Filter实现FreeBSD防火墙
2009-05-13 00:38:04来源:未知 阅读 ()
没什么好说的,一篇不错的IP Filter全方位的文章。
/*******************************************
/*通过IP Filter实现FreeBSD防火墙
/*
/*原作地址:
http://www.muine.org/~hoang/freenat.html
/*
/*By:Hoang Q. Tran
/*
/*Translate:Patrick
/*
/*2004-8-6
/*******************************************
一,计算机的初步工作:
在一个系统上建立放火墙的第一步是禁止所有我们不需要的服务。这可以让来自本地或远程的攻击最小化。编辑/etc/rc.conf以确定inetd,portmap,sendmail的守护进程都已经禁止了。
inetd_enable="NO"
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
check_quotas="NO"
为了最佳的预防效果,还可以把/etc/inetd.conf中的所有服务都注释掉。如果你需要远程登陆,用ssh并在/etc/rc.conf中加入sshd_enable="YES"
一旦你禁止了所有不必要的服务,你可以去unixcircle.com(
http://www.unixcircle.com/memberonly/portscan.php3
),
从外部对你的机器进行端口扫描测试。请注意,如果你的机器处在一个NAT/firewall的保护下,那么端口扫描的会是这台NAT/firewall。
如果你还能有一台机器,可以运行namp从内网扫描你的机器。手动从下列站点获取FreeBSD最近的补丁并运行他们:
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/
或者通过CVSup同步(
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/synching.html
)稳定发行版,并通过源代码对系统打补丁。
如果想获得更多的有关安全的信息,请阅读SANS(
http://www.sans.org/top20/
)
二,安装网络接口:
假设这台机器上有2块3com 509B的网卡,并且在FreeBSD中名字分别为:ep0,ep1。第一块网卡使用不可路由的保护地址(rfc1918)。第二块网卡被使用静态ip或通过DHCP获得动态ip。
不可路由受保护ip:
10.0.0.1 - 10.255.255.254 netmask 255.0.0.0
172.16.0.1 - 172.31.255.254 netmask 255.240.0.0
192.168.0.1 - 192.168.255.254 netmask 255.255.255.0
假定你选择了192.168.0这个网段,启动第一块网卡需在/etc/rc.conf中加入:
ifconfig_ep0="inet 192.168.1.1 netmask 255.255.255.0"
如果第二块网卡是静态ip,启动它同样需要在/etc/rc.conf中加入:
ifconfig_ep1="inet xxx.xxx.xxx.xxx netmask xxx.xxx.xxx.xxx"
这里的xxx表示ISP提供给你的ip和掩码。
一定要为每块网卡指定正确的ip和掩码。一旦你为内网选择了一个网段,内网机器就要保持在这一个网段内。第一块网卡的地址就是FreeBSD网关的默认ip地址。
三,定制内核:
为了编译新内核你需要内核代码(part of kernel developer distribution)。如果你还没做好这些,运行/stand/sysinstall以确定以安装了内核代码。
# cd /sys/i386/conf
# cp GENERIC firewall
我经常以机器名来命名内核文件,当然你可以用任何其他名字。编辑内核配置文件:
# vi firewall
在选项段中加入:
options IPFILTER # IPFilter support
options IPFILTER_LOG # IPFilter logging support
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
- FreeBSD下nginx+fast-cgi+mysql+zend的实现 2009-05-13
- 问一下:ipfw+natd 如何实现回流端口映射 2009-05-13
- Carp+IPVS实现热备及负载均衡freebsd 6.4 2009-05-13
- freebsd 7.1 CARP实现热备+负载均衡 2009-05-13
- FreeBSD 内建的防火墙指令ipfw英译汉 2009-05-13
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
