- WIpfw
-
ipfw Тип Межсетевой экран Разработчик Команда добровольцев-разработчиков FreeBSD ОС Лицензия BSD Сайт www.freebsd.org ipfirewall — межсетевой экран, который встроен во [1]
Используется во многих ОС для встраиваемых систем, основанных на FreeBSD, таких как m0n0wall.
Имеется портированная версия — Wipfw для Windows 2000, Windows XP, и Windows Server 2003.
ipfw — название пользовательской утилиты (запускаемой из командной строки) предназначенной для управления системой IPFW. С её помощью администраторы создают и изменяют правила, управляющие фильтрацией и
ipfw может быть подгружен как модуль, а может быть встроен в ядро.
Ipfirewall состоит из следующих компонентов:
- обработчик правил на уровне ядра, включающий систему учета пакетов
- механизм логирования
- механизм форвардинга
- ipstealth (механизм редактирования TTL полей, защита от traceroute)
- основанные на ALTQ средства управления QoS
- средства для управления множеством правил
- механизмы управления пропускной способностью
- основанная на таблице маршрутов система анти-спуффинга
- счетчики пакетов
- встроенный PAT и LSNAT (начиная с FreeBSD 7)
- поддержка
Содержание
История
Утилита ipfw впервые появилась во FreeBSD 2.0. Поддержка dummynet была добавлена позже, начиная с версии 2.2.8.
Авторы
Ugen JS Antsilevich
Poul-Henning Kamp
Alex Nash
Archie Cobbs
Luigi RizzoПоддержка NAT на уровне ядра была написана Paolo Pisati.
Описание
Настроенный брандмауэр представлен упорядоченным списком правил с номерами из диапазона 1-65535. Каждый пакет приходит с различных уровней стека протоколов, и попадая на брандмауэр поочередно сравнивается с критерием каждого правила в списке. Если совпадение найдено, то выполняется действие, закрепленное за данным правилом.
ipfw всегда содержит правило по умолчанию (с номером 65535) которое не может быть ни изменено, ни удалено. Это правило применяется ко всем пакетам. В зависимости от конфигурации ядра это правило может выполнять действия «запретить» или «разрешить». Все остальные правила могут редактироваться администратором системы.
Существует несколько основных действий, которые могут применяться к пакетам:
- allow (син. — pass, accept, permit) — разрешить прохождение пакета. После этого действия другие правила не рассматриваются.
- deny (син. drop) — запретить (сбросить) пакет. Пакет прекращает движение по списку правил и система полностью про него забывает.
- unreach — запретить пакет. В отличие от deny, отправителю отправляется сообщение об ошибке по протоколу ICMP
- reject — запретить пакет, и послать отправителю «Заданный узел не найден»
- skipto — перейти к правилу с заданным номером, минуя все промежуточные.
- fwd (син. forward) — перенаправление пакета. Часто используется для организации «transparent-proxy».
- divert — передать пакет на анализ пользовательскому приложению, которое может изменить пакет, уничтожить или вернуть в firewall.
- tee — аналогичен divert, за исключением того, что на анализ передается копия пакета. Чаще всего используют для подсчета тарфика.
- pipe, queue — прохождение пакета через «канал» или «очередь» dummynet. Используется для ограничения пропускной способности и внесения задержек в прохождение пакетов.
Примечание: Если вы хотите использовать NAT, то вам необходимо пересобрать ядро с опцией:
options IPDIVERT
Как строить правила
Общий формат для построения правил:
ipfw [prob match_probability] action [log logamount number] proto from src to dst [options]
См. также
- Packet Filter
- WIpfw
Источники
- ↑ Kuzmich Настройка FireWall (ipfw) в FreeBSD (рус.).
Ссылки
- Официальное руководство(англ.)
- ipfw: порядок прохождения пакетов, сложные случаи
- Учебник по FreeBSD, OpenBSD, NetBSD, DragonFly (BSDA в вопросах и ответах): ipfw
Файрволы Проприетарные CA Personal Firewall • Kaspersky • Norton • Outpost • Trend Micro • Windows Firewall • Microsoft ISA Server • Jetico Firewall • Sunbelt • Sunbelt • WinRoute 
Comodo • Online Armor • Sygate • Ipfw • PF Mac OS NetBarrier X4 Iptables • Firestarter • Iplist • NuFW • Shorewall)
Wikimedia Foundation. 2010.
