MFen: Sync with revision 1.30 of the English article.
Improvements to the suggested firewall ruleset from 1.27. Marking up of nmap as a port from 1.26. Improvements to ppp_nat instructions from 1.25. Delete ipfw rule numbers from 1.24. Sysctl tip for ipfw log limit from 1.20 Relative links to FreeBSD docs from 1.19.
This commit is contained in:
Giorgos Keramidas
parent
4ff2252aeb
commit
80f11bdaa3
Notes:
svn2git
2020-12-08 03:00:23 +00:00
svn path=/head/; revision=16386
1 changed files with 56 additions and 43 deletions
|
|
@ -1,7 +1,9 @@
|
|||
<!--
|
||||
Dialup Firewall
|
||||
The FreeBSD Greek Documentation Project
|
||||
Original version: 1.17
|
||||
|
||||
$RCS: fx/doc/el_GR.ISO8859-7/articles/dialup-firewall/article.sgml,v 1.15 2003/03/29 00:31:28 giorgos Exp $
|
||||
Original version: 1.30
|
||||
-->
|
||||
|
||||
<!DOCTYPE article PUBLIC "-//FreeBSD//DTD DocBook V4.1-Based Extension//EN" [
|
||||
|
|
@ -45,16 +47,16 @@
|
|||
από τον ISP σας. Παρόλο που έχω προσπαθήσει να κάνω αυτό το κείμενο
|
||||
όσο το δυνατόν πιο πλήρες και σωστό, είστε ευπρόσδεκτοι να στείλετε τα
|
||||
σχόλιά ή τις προτάσεις σας στην διεύθυνση
|
||||
<email>marcs@draenor.org</email>.</para>
|
||||
<email>marcs@draenor.org</email>.</para>
|
||||
</sect1>
|
||||
|
||||
<sect1 id="kernel">
|
||||
<title>Παράμετροι του πυρήνα</title>
|
||||
|
||||
|
||||
<para>Το πρώτο πράγμα που θα χρειαστεί να κάνετε είναι να μεταγλωττίσετε
|
||||
τον πυρήνα σας. Αν χρειάζεστε βοήθεια για να το κάνετε αυτό, τότε το
|
||||
καλύτερο μέρος να ξεκινήσετε είναι το <ulink
|
||||
URL="http://www.freebsd.org/handbook/kernelconfig.html">ôìÞìá
|
||||
URL="../../books/handbook/kernelconfig.html">ôìÞìá
|
||||
ρυθμίσεων του πυρήνα στο Εγχειρίδιο</ulink>. Θα πρέπει να προσθέσετε
|
||||
τις παρακάτω επιλογές στις ρυθμίσεις του πυρήνα σας:</para>
|
||||
|
||||
|
|
@ -67,6 +69,19 @@
|
|||
</listitem>
|
||||
</varlistentry>
|
||||
|
||||
<varlistentry>
|
||||
<term><literal>options IPFW2</literal></term>
|
||||
|
||||
<listitem>
|
||||
<para>Åíåñãïðïéåß ôçí íÝá Ýêäïóç ôïõ IPFW.</para>
|
||||
<important>
|
||||
<para>ÁõôÞ ç åðéëïãÞ Ý÷åé íüçìá ìüíï áí ÷ñçóéìïðïéåßôå ôçí Ýêäïóç
|
||||
4.X ôïõ FreeBSD, åßíáé åíåñãïðïéçìÝíç Þäç óôéò íåþôåñåò
|
||||
åêäüóåéò.<para>
|
||||
</important>
|
||||
</listitem>
|
||||
</varlistentry>
|
||||
|
||||
<varlistentry>
|
||||
<term><literal>options IPFIREWALL_VERBOSE</literal></term>
|
||||
|
||||
|
|
@ -112,7 +127,9 @@
|
|||
<listitem>
|
||||
<para>Αυτή η επιλογή δίνει την δυνατότητα στον πυρήνα να αγνοεί τα
|
||||
TCP πακέτα που έχουν και την SYN και την FIN επιλογή. Έτσι
|
||||
åìðïäßæïíôáé åñãáëåßá üðùò ôï nmap êëð. óôçí ðñïóðÜèåéÜ ôïõò íá
|
||||
åìðïäßæïíôáé åñãáëåßá üðùò ôï
|
||||
<filename role="package">security/nmap</filename> êëð. óôçí
|
||||
ðñïóðÜèåéÜ ôïõò íá
|
||||
αναγνωρίσουν το TCP stack του μηχανήματος, αλλά επίσης είναι
|
||||
ασύμβατο με τις επεκτάσεις που περιγράφει το RFC1644. Αυτό
|
||||
<emphasis>δεν</emphasis> προτείνεται για ένα μηχάνημα που θα
|
||||
|
|
@ -129,11 +146,11 @@
|
|||
<sect1 id="rcconf">
|
||||
<title>Αλλαγές στο <filename>/etc/rc.conf</filename> για να φορτώνεται
|
||||
το firewall</title>
|
||||
|
||||
|
||||
<para>Τώρα πρέπει να κάνουμε κάποιες αλλαγές στο
|
||||
<filename>/etc/rc.conf</filename> με τις ρυθμίσεις μας για το
|
||||
firewall. Απλά προσθέστε τις παρακάτω γραμμές:</para>
|
||||
|
||||
|
||||
<programlisting>firewall_enable="YES"
|
||||
firewall_script="/etc/firewall/fwrules"
|
||||
natd_enable="YES"
|
||||
|
|
@ -149,7 +166,7 @@ natd_flags="-dynamic"</programlisting>
|
|||
<sect1>
|
||||
<title>Απενεργοποιήστε την ενσωματωμένη μετάφραση διευθύνσεων του
|
||||
PPP</title>
|
||||
|
||||
|
||||
<para>Μπορεί ήδη να χρησιμοποιείτε την ενσωματωμένη μετάφραση διευθύνσεων
|
||||
του PPP (NAT). Αν ναι, τότε θα πρέπει να την απενεργοποιήσετε, αφού τα
|
||||
παραδείγματα που θα δούμε παρακάτω χρησιμοποιούν το &man.natd.8; για να
|
||||
|
|
@ -163,7 +180,9 @@ ppp_mode="auto"
|
|||
ppp_nat="YES"
|
||||
ppp_profile="<replaceable>profile</replaceable>"</programlisting>
|
||||
|
||||
<para>Áí íáé, áöáéñÝóôå ôçí ãñáììÞ <literal>ppp_nat="YES"</literal>.
|
||||
<para>Áí íáé, ðñÝðåé íá áðåíåñãïðïéÞóåôå ôï <literal>ppp_nat</literal>
|
||||
ðñïóèÝôïíôáò óôï áñ÷åßï <filename>rc.conf</filename> óáò ôçí ãñáììÞ
|
||||
<literal>ppp_nat="YES"</literal>.
|
||||
Θα πρέπει επίσης να αφαιρέσετε τυχόν <literal>nat enable yes</literal> ή
|
||||
<literal>alias enable yes</literal> έχει το
|
||||
<filename>/etc/ppp/ppp.conf</filename> σας.</para>
|
||||
|
|
@ -171,7 +190,7 @@ ppp_profile="<replaceable>profile</replaceable>"</programlisting>
|
|||
|
||||
<sect1 id="rules">
|
||||
<title>Οι κανόνες του firewall</title>
|
||||
|
||||
|
||||
<para>Έχουμε σχεδόν τελειώσει. Το μόνο που απομένει τώρα είναι να
|
||||
ορίσουμε τους κανόνες του firewall και τότε μπορούμε να επανεκκινήσουμε
|
||||
το σύστημα ώστε να ξεκινήσει το firewall. Καταλαβαίνω πως ο καθένας θα
|
||||
|
|
@ -197,13 +216,7 @@ ppp_profile="<replaceable>profile</replaceable>"</programlisting>
|
|||
<para>Ας δούμε τώρα ένα παράδειγμα firewall, που έχει αρκετά καλά
|
||||
σχόλια.</para>
|
||||
|
||||
<programlisting># Firewall rules
|
||||
# Written by Marc Silver (marcs@draenor.org)
|
||||
# http://draenor.org/ipfw
|
||||
# Freely distributable
|
||||
|
||||
|
||||
# Define the firewall command (as in /etc/rc.firewall) for easy
|
||||
<programlisting># Define the firewall command (as in /etc/rc.firewall) for easy
|
||||
# reference. Helps to make it easier to read.
|
||||
fwcmd="/sbin/ipfw"
|
||||
|
||||
|
|
@ -213,38 +226,35 @@ $fwcmd -f flush
|
|||
# Divert all packets through the tunnel interface.
|
||||
$fwcmd add divert natd all from any to any via tun0
|
||||
|
||||
# Allow all data from my network card and localhost. Make sure you
|
||||
# change your network card (mine was fxp0) before you reboot. :)
|
||||
$fwcmd add allow ip from any to any via lo0
|
||||
$fwcmd add allow ip from any to any via fxp0
|
||||
# Allow all connections that have dynamic rules built for them,
|
||||
# but deny established connections that don't have a dynamic rule.
|
||||
# See ipfw(8) for details.
|
||||
$fwcmd add check-state
|
||||
$fwcmd add deny tcp from any to any established
|
||||
|
||||
# Allow all connections that I initiate.
|
||||
$fwcmd add allow tcp from any to any out xmit tun0 setup
|
||||
# Allow all localhost connections
|
||||
$fwcmd add allow tcp from me to any out via lo0 setup keep-state
|
||||
$fwcmd add deny tcp from me to any out via lo0
|
||||
$fwcmd add allow ip from me to any out via lo0 keep-state
|
||||
|
||||
# Once connections are made, allow them to stay open.
|
||||
$fwcmd add allow tcp from any to any via tun0 established
|
||||
# Allow all connections from my network card that I initiate
|
||||
$fwcmd add allow tcp from me to any out xmit any setup keep-state
|
||||
$fwcmd add deny tcp from me to any
|
||||
$fwcmd add allow ip from me to any out xmit any keep-state
|
||||
|
||||
# Everyone on the internet is allowed to connect to the following
|
||||
# Everyone on the Internet is allowed to connect to the following
|
||||
# services on the machine. This example shows that people may connect
|
||||
# to ssh and apache.
|
||||
$fwcmd add allow tcp from any to any 80 setup
|
||||
$fwcmd add allow tcp from any to any 22 setup
|
||||
# to sshd and a webserver.
|
||||
$fwcmd add allow tcp from any to me dst-port 22,80 in recv any setup keep-state
|
||||
|
||||
# This sends a RESET to all ident packets.
|
||||
$fwcmd add reset log tcp from any to any 113 in recv tun0
|
||||
$fwcmd add reset log tcp from any to me 113 in recv any
|
||||
|
||||
# Allow outgoing DNS queries ONLY to the specified servers.
|
||||
$fwcmd add allow udp from any to <replaceable>x.x.x.x</replaceable> 53 out xmit tun0
|
||||
|
||||
# Allow them back in with the answers... :)
|
||||
$fwcmd add allow udp from <replaceable>x.x.x.x</replaceable> 53 to any in recv tun0
|
||||
|
||||
# Allow ICMP (for ping and traceroute to work). You may wish to
|
||||
# disallow this, but I feel it suits my needs to keep them in.
|
||||
$fwcmd add 65435 allow icmp from any to any
|
||||
# Enable ICMP: remove type 8 if you don't want your host to be pingable
|
||||
$fwcmd add allow icmp from any to any icmptypes 0,3,8,11,12,13,14
|
||||
|
||||
# Deny all the rest.
|
||||
$fwcmd add 65435 deny log ip from any to any</programlisting>
|
||||
$fwcmd add deny log ip from any to any</programlisting>
|
||||
|
||||
<para>Τώρα έχετε ένα ολοκληρωμένο firewall που επιτρέπει συνδέσεις στις
|
||||
θύρες 22 και 80 και καταγράφει όλες τις άλλες συνδέσεις στο log του
|
||||
|
|
@ -256,14 +266,14 @@ $fwcmd add 65435 deny log ip from any to any</programlisting>
|
|||
|
||||
<sect1>
|
||||
<title>Ερωτήσεις</title>
|
||||
|
||||
|
||||
<qandaset>
|
||||
<qandaentry>
|
||||
<question>
|
||||
<para>Γιατί χρησιμοποιείς το &man.natd.8; και το &man.ipfw.8; αφού
|
||||
θα μπορούσες να χρησιμοποιήσεις τα φίλτρα του &man.ppp.8;;</para>
|
||||
</question>
|
||||
|
||||
|
||||
<answer>
|
||||
<para>Θα πρέπει να είμαι ειλικρινής και να πω ότι δεν υπάρχει
|
||||
κάποιος σοβαρός λόγος που χρησιμοποιώ το <command>ipfw</command>
|
||||
|
|
@ -296,7 +306,10 @@ $fwcmd add 65435 deny log ip from any to any</programlisting>
|
|||
resetlog</command>. Εναλλακτικά, μπορείτε να αυξήσετε το όριο
|
||||
καταγραφής στις ρυθμίσεις του πυρήνα σας με την επιλογή
|
||||
<option>IPFIREWALL_VERBOSE_LIMIT</option> όπως περιγράψαμε
|
||||
ðáñáðÜíù.</para>
|
||||
ðáñáðÜíù. Ìðïñåßôå íá áëëÜîåôå áõôü ôï üñéï (÷ùñßò íá
|
||||
ìåôáãëùôôßóåôå ðÜëé ôïí ðõñÞíá óáò êáé íá êÜíåôå reboot)
|
||||
÷ñçóéìïðïéþíôáò ôçí &man.sysctl.8; ôéìÞ
|
||||
net.inet.ip.fw.verbose_limit.</para>
|
||||
</answer>
|
||||
</qandaentry>
|
||||
|
||||
|
|
|
|||
Loading…
Reference in a new issue