Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



Багатофункціональні фільтри трафіку в FreeBSD

В операційній системі FreeBSD існує підтримка одразу трьох мережевих фільтрів (див. рисунок 6.2): IPFW, PF, IPFILTER. Кожен з них має свої переваги і недоліки, але найбільш популярним і багатофункціональним є IPFW.

 

Рисунок 6.2 – Демон на сторожі FreeBSD

 

IPFW

IPFIREWALL (IPFW) – являє собою міжмережевий екран, написаний і підтримуваний добровільними учасниками проекту FreeBSD. Він використовує stateless правила, тобто правила без урахування стану, і успадкування техніки кодування правил для отримання того, що називається простою логікою із збереженням стану (stateful).

Приклад найпростішого набору правил IPFW (знаходиться в /etc/rc.firewall та /etc/rc.firewall6) у стандартній установці FreeBSD досить простий і не розрахований на безпосереднє використання без змін. У ньому не використовується фільтрація із збереженням стану, яка дає переваги в багатьох конфігураціях, тому він не може бути взятий за основу для цього розділу.

Синтаксис правил IPFW без збереження стану забезпечує розширені можливості фільтрації, які набагато перевершують рівень знань звичайного користувача брандмауера. IPFW розрахований на професійних користувачів або технічно просунутих любителів, які пред'являють підвищені вимоги до фільтрації пакетів. Щоб використовувати можливості IPFW в повну силу, необхідні поглиблені знання того, як у різних протоколах формуються і використовуються заголовки пакетів. Поглиблене вивчення роботи протоколів виходить за рамки цього розділу Керівництва.

IPFW складається з семи компонентів, головний з яких – процесор правил фільтрації рівня ядра і інтегрований в нього механізм обліку пакетів, а також засоби протоколювання пакетів, правило divert, за допомогою яких викликається функція NAT і інші можливості спеціального призначення, засоби для обмеження швидкості (шейпінгу) трафіку (dummynet), кошти перенаправлення fwd, засоби організації мережевого моста bridge і механізм ipstealth. IPFW підтримує протоколи IPv4 та IPv6.

PF

У липні 2003 програмний міжмережевий екран OpenBSD, відомий як PF, була портована в FreeBSD і став доступний з колекції портів FreeBSD; першим релізом, де PF був інтегрований в основну систему, стала FreeBSD 5.3 в листопаді 2004. PF це повноцінний міжмережевий екран з широким набором можливостей, в якому є опціональна підтримка ALTQ (Alternate Queuing). ALTQ надає управління пропускною здатністю Quality of Service (QoS).

Проект OpenBSD здійснює чудову роботу з підтримки PF FAQ. Цей розділ керівництва фокусується на взаємозв'язку PF і FreeBSD, надаючи лише загальну інформацію щодо його використання. За більш детальною інформацією щодо використання PF зверніться до PF FAQ.

IPFILTER

Автором IPFILTER є Darren Reed. IPFILTER не залежить від операційної системи: це додаток з відкритими вихідними текстами, яке було портовано на операційні системи FreeBSD, NetBSD, OpenBSD, SunOS ™, HP/UX, і Solaris ™. IPFILTER активно розробляється і підтримується, регулярно випускаються оновлені версії.

IPFILTER заснований на міжмережевим екрані і механізмі NAT рівня ядра, які управляються і контролюються утилітами рівня користувача процесів. Правила брандмауера можуть встановлюватися або видалятися утилітою ipf. Правила NAT можуть встановлюватися або видалятися утилітою ipnat. Утиліта ipfstat виводить статистику IPFILTER для ядра. Програма ipmon може заносити дії IPFILTER у файли системних протоколів.

IPF був спочатку написаний з використанням правила «останній збіг застосовується» і лише з правилами без збереження стану. З часом IPF був розширений і включає параметри «quick» і «keep state» (збереження стану), які кардинальним чином змінюють логіку обробки пакетів. Офіційна документація IPF включає традиційні параметри правил з традиційною послідовністю обробки пакетів. Змінені функції включені у вигляді додаткових параметрів, вони необхідні для створення ефективного брандмауера.

Інструкції цього розділу увазі використання параметра «quick» і параметра збереження стану «keep state». Це основа для створення включає брандмауера.

 


Читайте також:

  1. FreeBSD
  2. Активні RC-фільтри (АRC- фільтри).
  3. Баштові біофільтри .
  4. Біофільтри із пластмасовим завантаженням .
  5. Встановлення ОС FreeBSD
  6. Г-подібні індуктивно-ємнісний (LC) та активно-ємнісний (RC) фільтри
  7. Дискові (заглибні ) біофільтри .
  8. До фільтрів періодичної дії відносяться ємнісні, листові, патронні фільтри та фільтрпреси. Фільтри неперервної дії – це барабанні, дискові, стрічкові, тарілкові та карусельні.
  9. Електронні фільтри.
  10. Журналювання в ОС FreeBSD
  11. Загальні відомості про фільтри




Переглядів: 1038

<== попередня сторінка | наступна сторінка ==>
Типи фаєрволів | Основи налаштування IPFW і PF

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

  

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.009 сек.