Catch up with rev 1.1.2.7
This commit is contained in:
Kazuo Horikawa
parent
5869e00197
commit
c839d95ab8
Notes:
svn2git
2020-12-08 03:00:23 +00:00
svn path=/head/; revision=13675
1 changed files with 17 additions and 9 deletions
|
|
@ -2,7 +2,7 @@
|
||||||
.\" the BSD Copyright as specified in the file "/usr/src/COPYRIGHT" in
|
.\" the BSD Copyright as specified in the file "/usr/src/COPYRIGHT" in
|
||||||
.\" the source tree.
|
.\" the source tree.
|
||||||
.\"
|
.\"
|
||||||
.\" %FreeBSD: src/share/man/man7/firewall.7,v 1.1.2.5 2002/04/22 00:14:19 keramida Exp %
|
.\" %FreeBSD: src/share/man/man7/firewall.7,v 1.1.2.7 2002/06/25 04:14:41 dillon Exp %
|
||||||
.\" $FreeBSD$
|
.\" $FreeBSD$
|
||||||
.Dd May 26, 2001
|
.Dd May 26, 2001
|
||||||
.Dt FIREWALL 7
|
.Dt FIREWALL 7
|
||||||
|
|
@ -53,10 +53,16 @@ divert
|
||||||
以下で示す、ファイアウォールのサンプルではこれらの事項を満たすように
|
以下で示す、ファイアウォールのサンプルではこれらの事項を満たすように
|
||||||
してあります。
|
してあります。
|
||||||
.Sh IPFW を使うためのカーネルの設定
|
.Sh IPFW を使うためのカーネルの設定
|
||||||
.Fx
|
IP ファイアウォールの機能を使用するためには、
|
||||||
のファイアウォール機能を使用するためには、
|
カスタムカーネルを作成する必要はありません。
|
||||||
|
.Em /etc/rc.conf
|
||||||
|
(後述) でファイアウォールを有効にすれば、
|
||||||
|
ipfw カーネルモジュールが自動的にロードされます。
|
||||||
|
あなたが偏執したいならば、
|
||||||
.Sy IPFIREWALL
|
.Sy IPFIREWALL
|
||||||
オプションの入ったカスタムカーネルを構築する必要があります。
|
オプションを設定することで、IPFW を直接
|
||||||
|
.Fx
|
||||||
|
カーネルに組み込むこともできます。
|
||||||
このファイアウォールは、何も設定しないとすべてのパケットを通過させないように
|
このファイアウォールは、何も設定しないとすべてのパケットを通過させないように
|
||||||
なっています。
|
なっています。
|
||||||
.Em /etc/rc.conf
|
.Em /etc/rc.conf
|
||||||
|
|
@ -75,11 +81,11 @@ divert
|
||||||
というカーネルオプションが用意されており、これによってファイアウォールの
|
というカーネルオプションが用意されており、これによってファイアウォールの
|
||||||
初期状態をすべてのパケットを通過させる設定にすることができます。
|
初期状態をすべてのパケットを通過させる設定にすることができます。
|
||||||
しかし、
|
しかし、
|
||||||
このオプションを設定することは、システムが起動するまでの間を危険にさらす
|
このオプションを設定することは、システムブート中の短期間、
|
||||||
ことになります。
|
ファイアウォールが全パケットを通すかもしれないことに注意してください。
|
||||||
本オプションの使用は、
|
それでも本オプションの使用は、
|
||||||
.Fx
|
.Fx
|
||||||
ファイアウォールに十分慣れるまでの期間に限定すべきです。
|
ファイアウォールに十分慣れるまでの期間には有用です。
|
||||||
どのように動作するかすべて分かったら、これを削除して、抜け穴を塞いてください。
|
どのように動作するかすべて分かったら、これを削除して、抜け穴を塞いてください。
|
||||||
第 3 のオプションとして、
|
第 3 のオプションとして、
|
||||||
.Sy IPDIVERT
|
.Sy IPDIVERT
|
||||||
|
|
@ -297,6 +303,8 @@ add 03000 allow tcp from any to any 4000-65535,ssh,smtp,domain,ntalk
|
||||||
add 03000 allow tcp from any to any auth,pop3,ftp,ftp-data
|
add 03000 allow tcp from any to any auth,pop3,ftp,ftp-data
|
||||||
|
|
||||||
# いくつかのタイプの ICMP を通過させることは重要です。
|
# いくつかのタイプの ICMP を通過させることは重要です。
|
||||||
|
# 一般形な ICMP タイプをここに列挙します。
|
||||||
|
# ICMP タイプ 3 を通過させることが重要であることに注意してください。
|
||||||
#
|
#
|
||||||
# 0 エコーリプライ
|
# 0 エコーリプライ
|
||||||
# 3 到達不能
|
# 3 到達不能
|
||||||
|
|
@ -312,7 +320,7 @@ add 03000 allow tcp from any to any auth,pop3,ftp,ftp-data
|
||||||
# らない場合がありますが、そのような場合にはインターネットルータでそれが
|
# らない場合がありますが、そのような場合にはインターネットルータでそれが
|
||||||
# 禁止されていることを確認して下さい。
|
# 禁止されていることを確認して下さい。
|
||||||
#
|
#
|
||||||
add 04000 allow icmp from any to any icmptypes 0,5,8,11,12,13,14
|
add 04000 allow icmp from any to any icmptypes 0,3,8,11,12,13,14
|
||||||
|
|
||||||
# ここまで通って残ったフラグメントのログをとります。役にたつかもしれ
|
# ここまで通って残ったフラグメントのログをとります。役にたつかもしれ
|
||||||
# ませんが、邪魔なだけかもしれません。最後の deny ルールは、カーネルの設定
|
# ませんが、邪魔なだけかもしれません。最後の deny ルールは、カーネルの設定
|
||||||
|
|
|
||||||
Loading…
Reference in a new issue