交通大学资讯科学系系计算机中心.pptVIP

交通大學資訊科學系 系計算機中心 IPFireWall on FreeBSD 陳君翰 chunhan@.tw 交通大學資訊科學系 系計算機中心 Outline 為什麼使用防火牆？ IPFW 架設方法 IPFW 基本操作 IPFW + NATD (秒架 NAT) IPFW + DUMMYNET (頻寬限制) References 為什麼使用防火牆？ 控制不安全的服務 不能隨時保證所執行的軟體一定沒有漏洞. 保護內部網路架構 將重要的伺服器擺設於內部網路，避免入侵 阻斷病毒攻擊 避免病毒 由外往內 或是 由內往外 攻擊. 網路連線監控記錄與使用統計 利用防火牆觀察是否有不正常的連線，可進行攻擊分析。 IPFW 架設方法 修改 /usr/src/sys/i386/conf/ABCD (Kernel 設定檔案) options IPFIREWALL # 必要 options IPFIREWALL_DEFAULT_TO_ACCEPT # 開機時allow所有封包 options IPFIREWALL_VERBOSE # 開啟記錄的功能 可增加之參數 options IPDIVERT # 架設 NAT 時必要 options DUMMYNET # 利用ipfw 限制頻寬時必要 options IPFIREWALL_FORWARD # 多個subnet routing, transparent proxy IPFW 架設方法(續) 修改 /etc/rc.conf (開機設定檔案) firewall_enable=“YES” # 若kernel有改, 則不動作; 若kernel沒改,則load模組 firewall_type=“open” # 通常設定為 open firewall_script=“/usr/local/sbin/firewall.sh” # 開機設定時的firewall rules 關於 firewall_type 的幾項參數 “open” : 表示預設放行所有連線 (和 DEFAULT_TO_ACCEPT 意義相同) “client” : 嘗試保護目前的機器。(像是只允許DNS query，連線SMTP..) “simple” : 嘗試保護內部網路中的機器。(像是擋掉/16 的封包) “closed” : 表示預設阻斷所有連線的功能。(除了loopback) IPFW 架設方法(續) 撰寫 /usr/local/sbin/firewall.sh #!/bin/sh #(指定 ipfw 的執行檔位置, -q 代表 quiet) fwcmd=/sbin/ipfw -q #(一開始便清掉所有的 rules, 注意! 系統會留65535 allow ip from any to any) ${fwcmd} -f flush # allow lo0 (loopback 的封包毋庸置疑，一定 allow) ${fwcmd} add allow ip from any to any via lo0 #以下是使用者自訂的rules. chmod u+x firewall.sh Recompile Install new kernel Reboot IPFW 基本操作 利用ipfw show / ipfw list 來看目前的 Rule base. # input output rule 00100 1266 216924 allow ip from any to any via lo0 00200 24 62153 allow tcp from /16 to me 80 00300 734 60 deny tcp from any to me 80 65535 10155 2890706 allow ip from any to any Match 方式 由數字小rule 一直match 到數字大的. Match 到之後便採用其 rule，不再繼續match (大部分情況) ipfw 常用命令格式 (請見下頁例子) ipfw add [rule #] (allow/pass/pass/permit或deny/drop) Protocol from HostA (port) to HostB (port) [interface-spec] [options] Ipfw delete rule # IPFW 基本操