Για ξεκίνημα, θα πρέπει να έχετε το IP Forwarding ενεργοποιημένο στο πυρήνα και το σύστημα θα πρέπει να είναι φορτωμένο και να προωθεί ό,τι του στέλνετε. Οι πίνακες δρομολογίων (routing tables) θα πρέπει να είναι στη θέση τους και θα πρέπει να έχετε πρόσβαση παντού, από μέσα έξω και από έξω μέσα.
Άλλα εμείς χτίζουμε ένα firewall, έτσι χρειάζεται να ξεκινήσουμε να βουλώνουμε σε τί υπάρχει πρόσβαση, από όλους.
Στο σύστημά μου δημιούργησα μερικά scripts γα να τοποθετώ στο firewall πολιτική προώθησης και πολιτική θεώρησης. Καλώ αυτά τα scripts από τα /etc/rc.d scripts έτσι το σύστημά μου είναι ρυθμισμένο από τη στιγμή της εκκίνησης.
Εξ ορισμού το IP Forwarding σύστημα στο πυρήνα του Linux προωθεί τα πάντα. Γι' αυτό το script του firewall θα πρέπει να ξεκινά από το να αρνείται πρόσβαση στα πάντα και να καθαρίζει όποιους ipfw κανόνες είναι τοποθετημένοι από τη τελευταία φορά που έτρεξε. Την εργασία αυτή τη κάνει το παρακάτω script :
# # setup IP packet Accounting and Forwarding # # Forwarding # # By default DENY all services ipfwadm -F -p deny # Flush all commands ipfwadm -F -f ipfwadm -I -f ipfwadm -O -f
Τώρα έχουμε τον τελικό firewall. Τίποτα δεν μπορεί να περάσει από μέσα. Χωρίς αμφιβολία έχετε κάποιες υπηρεσίες που χρειάζεται να προωθήσετε (ενεργοποιήσετε) έτσι εδώ υπάρχουν μερικά παραδείγματα που θα βρείτε χρήσιμα.
ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D 192.1.2.10 25
ipfwadm -F -a accept -b -P tcp -S 196.1.2.10 25 -D 0.0.0.0/0 1024:65535
/sbin/ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D 196.1.2.11 80
/sbin/ipfwadm -F -a accept -b -P tcp -S 196.1.2.* 80 -D 0.0.0.0/0 1024:65535
/sbin/ipfwadm -F -a accept -b -P udp -S 0.0.0.0/0 53 -D 196.1.2.0/24
Μπορείτε να ενδιαφερθήτε επίσης για την καταγραφή των συνδιαλλαγών που περνούν το firewall. Αυτό το script θα καταγράφει κάθε πακέτο. Μπορείτε να προσθέσετε μία γραμμή ή δύο για να καταγράφετε για πακέτα μεταβαίνοντας σε ένα μονό σύστημα.
# Καθαρίστε του υπάρχοντες κανόνες καταγραφής ipfwadm -A -f # Καταγράφωντας /sbin/ipfwadm -A -f /sbin/ipfwadm -A out -i -S 196.1.2.0/24 -D 0.0.0.0/0 /sbin/ipfwadm -A out -i -S 0.0.0.0/0 -D 196.1.2.0/24 /sbin/ipfwadm -A in -i -S 196.1.2.0/24 -D 0.0.0.0/0 /sbin/ipfwadm -A in -i -S 0.0.0.0/0 -D 196.1.2.0/24
Εάν τα όσα ζητάτε ήταν ένας firewall φιλτραρίσματος μπορείτε να σταματήσετε εδώ. Απολάυστε το :-)