Почетак › Форуми › Линукс › Линукс умрежавање › Linux -> FreeBSD?
- This topic has 72 одговора, 9 гласова, and was last updated 16 years, 4 months раније by foxbunny.
-
АуторЧланци
-
6. мај 2008. у 10:28 pm #69794marelliУчесник
Ja nadjoh ovo:
http://nostarch.com/frameset.php?startat=pf
Skinuo je sa neta,posto ne moze da se kupi ,jel te :biggrin:,pa je sada gledam i desifrujem ono gore! :biggrin:
6. мај 2008. у 10:35 pm #69795RiSKУчесникHiiii… Piratu. Na sta ti to lici?! 😮 😀 😀
Ja bre niakako da nadjem istu. Ocu tu knjiguuuuu… 🙁
Da nema negde u Srbiji da se kupi?6. мај 2008. у 10:45 pm #69796marelliУчесникKoliko ja znam nema nigde.
Mislio sam da je narucim preko http://www.knjizara.com.
Oni je naruce,pa kada stigne ti im platis i knjigu i nihove usluge,ali nesto nisam pri novcanoj jedinici :biggrin: za tako nesto!Ovo im nije lose,moze da se naruci bas odlicna literatura,ali koliko ce to sve na kraju da kosta ….
E da,rade samo sa engleskim Amazon-om,jedino ako do sada nisu nesto promenili.
6. мај 2008. у 10:51 pm #69797RiSKУчесникUuuuu sto ima lepih knjiga o BSDu na Amazonu.
Dodouse i cena im je lepa. A i malo vise smo se udaljili od teme 😉6. мај 2008. у 11:39 pm #69798NightweaverУчесникRanije sam kao komentare u pravilima stavljao objasnjenja sta cemu sluzi… ali je to bilo pre ko zna koliko godina. Sada mi je sve tu u malom prstu. Elem:
int_if = “rl1”
ext_if = “rl0”– definises interfejse tj. njihove aliase kako ne bi u toku pravila pisao rl1 ili rl0 kao kartice lepo stavis neko ime. Ja sam navikao na int_if za internu karticu koja vodi ka LAN-u i ext_if koja je ona povezana na net. Mozes ih zapravo zvati kako ti drago.
protocols = “{ tcp udp }”
icmp_types = “echoreq”Opet aliasi. Kako ces cesto u toku pisanja pravila morati da definises koj protokol ces pokriti, a obicno su to TCP i UDP, onda ih ovde lepo definises. Posle toga u sintaksi firewalla samo kucas $protocols. ICMP TYPES se odnosi na ICMP. Firewall po defaultu blokira PING upite. To je ponekad dobro a ponekad lose. Ovaj alias u ovim pravilima nicemu ne sluzi 🙂 Posto nema pravila koje pusta ping. Ako ti je to potrebno samo reci pa cu dodati i pravilo za ping. Ovako napisano to je samo alias koji nicemu ne sluzi.:D
# Options
set block-policy return
set loginterface $ext_if
set skip on lo0– Dodatne opcije. Ako pazljivo pogledas videces da je poprilicno citljivo. Prvo pravilo definise nacin odbijanja upada, drugi definise koji ce protok logovati. Posto nas brine samo ulaz/izlaz na Net onda logujemo samo ext_if podatke. I konacno, stavljas da firewall ne obraca paznju na desavanja na lokalnom loopback uredjaju.
# Scrub
scrub in all– Scrub je normalizaija paketa. Sta to znaci? Scrub opcija sastavlja fragmentirane pakete, stiti neke operativne sisteme od DoS napada, odbija TCP pakete sa pogresnom kombinacijom flagova itd. Ova komanda gore radi scrub na sav ulazni saobracaj na svim interfejsima. Ako zelis mozes staviti scrub samo za ext if pa bi pravilo bilo: scrub in on $ext_if
# NAT
nat on $ext_if from $int_if:network to any -> ($ext_if)– ovo je jasno kao dan. Sav saobracaj iz LAN-a ce biti NAT-ovan.:)
# Rules
block in log
pass out
pass quick on lo0 all
pass in quick on $int_if from $int_if:networkDa ovo gore ispricam kao pricu: blokiraj sav dolazni saobracaj i loguj. Dozvoli sav odlazni saobracaj. Pusti bez provere sav saobracaj na loopback uredjaj. Dozvoli ulaz na ruter preko int_if uredjaja svima koji su u IP opsegu int_if-a – ako je on 10.0.0.1 onda ce ovo biti 10.0.0.0/24.
I to je to. Nekada davno smo morali da na kraj pravila u firewallu dodajemo i tip flegova koje pustamo (S/SA nrp.) kao i da kazemo keep state. Kao sto znate UDP je stateless protokol. PF cini da cak i takav protokol ne bude stateless tako sto on vodi racuna o trenutnom stanju prenosa podataka – potvrde o prijemu.:) Sada je keep state podrazumevana stvar u PF tako da vise ne moramo da navodimo tako nesto. To je super jer su pravila znatno preglednija. Kada sad vidim PF na jednoj FreeBSD 5.4 masini koju imam u USA dodje mi da zaplacem.:)
antispoof quick for $ext_if
– i konacno, nacin da se maliciozni pokusaji prenosa podataka zaustave. spoof adrese nastaje kada maliciozni korisnik lazira svoju IP adresu kako bi unutar mreze preneli neke podatke kao neko drugi. Ovaj deo pravila se stara da do tako neceg ne dolazi. Korisno za dolazni saobracaj. Kada u pravilo stavis “quick” onda se ono izvrsi bez obzira sta pisalo u ostatku firewalla – dakle, antispoof ma sta se desavalo kasnije.:)
Mozda sam negde bio malko konfuzan, izvinjavam se. Bio je ovo dug dan. Ako jos nesto nije jasno samo pitajte. Mada je sve lepo objasnjeno na OpenBSD sajtu. Sto se PF-a tice topla preporuka je The Book of PF. Mozete je naci na netu.;)
6. мај 2008. у 11:51 pm #69799foxbunnyУчесникE, stvarno respect! O0 Sve mi jasno.
7. мај 2008. у 5:42 am #69800racaУчесникŠta mislite o pfsense firewall/router varijanti? Ja ga koristim kao kućni router i jako lepo radi, ima sve ovo već pomenuto a konfiguriše se kroz web interfejs. Po meni ovo je odlična instant firewall/router varijanta koja se podesi za 10 minuta a leži na OpenBSD-ovom packet filteru.
7. мај 2008. у 8:02 am #69801marelliУчесникZaboravio sam na GNUzillu,u broju 6-7,za jun/jul 2005,takodje je sve lepo objasnjeno.
Ja mislim da je night pisao taj clanak!
7. мај 2008. у 8:45 am #69802foxbunnyУчесникŠta mislite o pfsense firewall/router varijanti? Ja ga koristim kao kućni router i jako lepo radi, ima sve ovo već pomenuto a konfiguriše se kroz web interfejs. Po meni ovo je odlična instant firewall/router varijanta koja se podesi za 10 minuta a leži na OpenBSD-ovom packet filteru.
Znam za te stvarcice. Ima i IPCop, mislim. Ali ono, gde je tu zabava? 😀
7. мај 2008. у 9:35 am #69803racaУчесникZnam za te stvarcice. Ima i IPCop, mislim. Ali ono, gde je tu zabava? 😀
Zabava? 😀 Pa ono, kada hoću da se zabavim odem na bilijar i pivo.
Šalu na stranu, posle ovoliko godina bavljenja računarima, sve mi je više bitno da mi nešto dobro odrađuje posao nego što u tome tražim neku ličnu satisfakciju. Ovakve firewall distribucije imaju itekako smisla jer:
1. brzo završiš posao
2. rešenje se zasniva na FreeBSD/OpenBSD
3. više vremena ti ostaje za drugi posao ili za pravu zabavu 🙂
Opet, moje lično mišljenje. -
АуторЧланци
Мораш бити пријављен да би поставио коментар у овој теми.