Obie regu�y b�d� pasowa�y do datagram�w, kt�rych nie chcemy przepu�ci�, a wi�c musimy by� pewni, �e regu�a deny jest przed regu�� accept.
Listowanie naszych regu�
Po wprowadzeniu naszych regu� mo�emy je wylistowa�, wywo�uj�c ipfwadm w nast�puj�cy spos�b:
# ipfwadm -F -l
To polecenie da w wyniku wszystkie skonfigurowane regu�y przekazywania. Rezultat powinien by� podobny do tego:
# ipfwadm -F -l
IP firewall forward rules, default policy: accept
type prot source ���� �destination � ����ports
deny � tcp � anywhere �������172.16.10.0/24 �����www -> any
acc �� tcp ��172.16.1.0/24 ��anywhere ���� ����any -> www
Polecenie ipfwadm b�dzie pr�bowa�o t�umaczy� numer portu na nazw� us�ugi za pomoc� pliku /etc/services, o ile istnieje w nim wpis.
W domy�lnie pokazywanym wyniku brakuje kilku wa�nych dla nas szczeg��w. Nie wida� tam mianowicie dzia�ania argumentu -y. Polecenie ipfwadm potrafi pokaza� dok�adniejszy wynik, je�eli podamy tak�e opcj� -e (wynik rozszerzony). Nie poka�emy ca�ego wyniku, poniewa� jest zbyt szeroki i nie mie�ci si� na stronie, ale zawiera kolumn� opt (opcje), kt�ra pokazuje opcj� -y kontroluj�c� pakiety SYN:
# ipfwadm -F -l -e
IP firewall forward rules, default policy: accept
pkts bytes type prot opt �tosa tosx ifname ifaddress �source ...
��0 ����0 deny tcp �--y- 0xFF 0x00 any ���any �������anywhere ...
��0 ����0 acc �tcp �b--- 0xFF 0x00 any ���any �������172.16.1.0/24 ...
Bardziej skomplikowany przyk�ad
Poprzedni przyk�ad by� prosty. Nie wszystkie us�ugi sieciowe s� tak �atwe do skonfigurowania jak WWW. W rzeczywisto�ci typowa konfiguracja firewalla b�dzie du�o bardziej z�o�ona. Przyjrzyjmy si� innemu powszechnie spotykanemu przyk�adowi, tym razem FTP. Chcemy, aby u�ytkownicy naszej wewn�trznej sieci mogli logowa� si� do serwer�w FTP w Internecie po to, by odczytywa� i zapisywa� pliki. Nie chcemy jednak, aby ludzie z Internetu logowali si� do naszych serwer�w FTP.
Wiemy, �e FTP u�ywa dw�ch port�w TCP: portu 20 (ftp-data) i portu 21 (ftp), a wi�c:
# ipfwadm -a deny -P tcp -S 0/0 20 -D 172.16.1.0/24 -y
# ipfwadm -a accept -P tcp -S 172.16.1.0/24 -D 0/0 20 -b
#
# ipfwadm -a deny -P tcp -S 0/0 21 -D 172.16.1.0/24 -y
# ipfwadm -a accept -P tcp -S 172.16.1.0/24 -D 0/0 21 -b
Dobrze? Nie ca�kiem. Serwery FTP mog� dzia�a� w dw�ch r�nych trybach: w trybie biernym (ang. passive mode) i czynnym (ang. active mode)*. W trybie biernym serwer FTP oczekuje na po��czenie od klienta. W trybie czynnym serwer realizuje po��czenie do klienta. Tryb czynny jest zwykle domy�lny. R�nice ilustruje rysunek 9-3.
Wiele serwer�w FTP dzia�aj�cych w trybie czynnym tworzy po��czenie z portu 20, co nieco upraszcza spraw�, ale niestety nie wszystkie tak robi�**.
Jakie to ma jednak dla nas znaczenie? Przyjrzyjmy si� naszej regule dla portu 20, czyli - portu FTP-data. Obecna regu�a zak�ada, �e po��czenie b�dzie inicjowane przez naszego klienta do serwera. B�dzie to dzia�a�o, je�eli u�yjemy trybu biernego. Ale bardzo trudno jest nam skonfigurowa� poprawn� regu�� pozwalaj�c� na u�ycie trybu czynnego, poniewa� nie jeste�my w stanie z g�ry przewidzie�, jakie porty b�d� u�ywane. Je�eli otworzymy firewall, pozwalaj�c na po��czenia przychodz�ce na dowolny port, narazimy nasz� sie� na atak poprzez wszystkie us�ugi przyjmuj�ce po��czenia.
W tej sytuacji najlepiej jest wymusi� na naszych u�ytkownikach prac� w�trybie biernym. Wi�kszo�� serwer�w FTP i wiele klient�w FTP dzia�a w ten spos�b. Popularny klient ncftp tak�e obs�uguje tryb bierny, ale mo�e wymaga� niewielkiej zmiany w konfiguracji, by by� to jego tryb domy�lny. Wiele przegl�darek WWW, takich jak Netsccape, tak�e obs�uguje bierny tryb FTP, a wi�c znalezienie odpowiedniego oprogramowania nie powinno by� zbyt trudne. Mo�na te� post�pi� zupe�nie inaczej: u�y� serwera proxy FTP, kt�ry b�dzie przyjmowa� po��czenia z sieci wewn�trznej i realizowa� po��czenia z sieci� zewn�trzn�.
Rysunek 9-3. Tryby serwera FTP
http://www.rm.com.pl/upgr/lpas/09-03.tif
Przy projektowaniu firewalla prawdopodobnie napotkasz niejeden taki problem. Powiniene� zawsze dok�adnie przeanalizowa�, jak naprawd� dzia�a dana us�uga, by by� pewnym, �e umie�ci�e� odpowiedni zestaw regu� w odpowiednim miejscu. Konfiguracja prawdziwego firewalla mo�e by� do�� skomplikowana.
Podsumowanie argument�w ipfwadm
Polecenie ipfwadm ma wiele r�nych argument�w odnosz�cych si� do konfiguracji firewalla IP. Og�lna sk�adnia jest nast�puj�ca:
ipfwadm kategoria polecenie parametry [opcje]
Przyjrzyjmy si� kolejno ka�demu z cz�on�w.
Kategorie
Musi by� podana jedna i tylko jedna z poni�szych kategorii. Kategoria m�wi firewallowi, jakiego typu regu�� konfigurujesz:
-I
Regu�a wej�ciowa.
-O
Regu�a wyj�ciowa.
-F
Regu�a przekazywania.
Polecenia
Przynajmniej jedno z poni�szych polece� musi by� podane i musi si� ono odnosi� do okre�lonej wcze�niej kategorii. Polecenia m�wi� firewallowi, co ma robi�.
-a [polityka]
Dodanie nowej regu�y.
-i [polityka]
Wstawienie nowej regu�y.
-d [polityka]
Usuni�cie istniej�cej regu�y.
-p polityka
Ustawienie polityki domy�lnej.
-l
Wylistowanie wszystkich istniej�cych regu�.
-f
Usuni�cie wszystkich istniej�cych regu�.
Polityki istotne dla firewalla IP i ich znaczenie jest nast�puj�ce:
accept
Pozwala na odbi�r, przekazywanie lub wysy�anie pasuj�cych datagram�w.
deny
Nie pozwala na odbi�r, przekazywanie lub wysy�anie pasuj�cych datagram�w.
reject
Nie pozwala na odbi�r, przekazywanie lub wysy�anie pasuj�cych datagram�w i�wysy�a komunikat b��du ICMP do hosta, kt�ry przes�a� datagram.
Parametry
Musi by� podany przynajmniej jeden z poni�szych parametr�w. U�ywaj parametr�w do okre�lania datagram�w, kt�rych dotycz� regu�y:
-P protok�
Mo�e mie� warto�� TCP, UDP, ICMP lub all. Przyk�ad:
-P tcp
-S adres/maska/[port]
W trosce o komfort korzystania z naszego serwisu chcemy dostarczaĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂÄšÄĂĹĄĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂ Ci coraz lepsze usĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂÄšÄĂĹĄĂÂĂÂĂÂĂĹĄĂÂĂÂĂÂÄÂĂÂugi. By mĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂc to robiĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂÄšÄĂĹĄĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂ prosimy, abyĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂÄšÄĂĹĄĂÂÄÂĂÂÄÂĂÂÄÂÄšÄÄÂĂ wyraziĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂÄšÄĂĹĄĂÂĂÂĂÂĂĹĄĂÂĂÂĂÂÄÂĂ zgodĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂ na dopasowanie treĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂÄšÄĂĹĄĂÂÄÂĂÂÄÂĂÂÄÂÄšÄÄÂĂÂci marketingowych do Twoich zachowaĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂÄšÄĂĹĄĂÂĂÂĂÂĂĹĄĂÂÄÂÄšÄÝ̪ w serwisie. Zgoda ta pozwoli nam czĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂÄšÄĂĹĄĂÂÄÂĂÂÄÂĂÂÄÂÄšÄÄÂĂÂciowo finansowaĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂÄšÄĂĹĄĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂ rozwĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂj ĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂÄšÄĂĹĄĂÂÄÂĂÂÄÂĂÂÄÂÄšÄÄÂĂÂwiadczonych usĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂÄšÄĂĹĄĂÂĂÂĂÂĂĹĄĂÂĂÂĂÂÄÂĂÂug.
PamiĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂtaj, ĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂe dbamy o TwojĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂÄšÄĂĹĄĂÂÄÂĂÂÄÂĂÂÄÂÄšÄÄÂĂ prywatnoĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂÄšÄĂĹĄĂÂÄÂĂÂÄÂĂÂÄÂÄšÄÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂÄšÄĂĹĄĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂ. Nie zwiĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂkszamy zakresu naszych uprawnieĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂÄšÄĂĹĄĂÂĂÂĂÂĂĹĄĂÂÄÂÄšÄÝ̪ bez Twojej zgody. Zadbamy rĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂwnieĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂ o bezpieczeĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂÄšÄĂĹĄĂÂĂÂĂÂĂĹĄĂÂÄÂÄšÄÝ̪stwo Twoich danych. WyraĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂonĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂÄšÄĂĹĄĂÂÄÂĂÂÄÂĂÂÄÂÄšÄÄÂĂ zgodĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂ moĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂesz cofnĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂÄšÄĂĹĄĂÂÄÂĂÂÄÂĂÂÄÂÄšÄÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂÄšÄĂĹĄĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂ w kaĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂÄÂĂÂÄÂĂÂĂÂĂÂÄÂĂÂdej chwili.