In deze howto gaan we een router op zetten met ipfilter en ipnat‚ dit is het alternatief voor ipfirewall. Welke je kiest is afhankelijk van je keuze’s‚ echter mijn voorkeur gaat uit naar ipfilter‚ daarom ook deze howto.
Het eerste deel is gekoppierd uit
[url=http://www.bsdfreaks.nl/index.php/front_howto/53/100]deze howto[/url]
==========================
Ik ga ervanuit dat je ssh gebruikt mocht je nog met telnet werken zoek dan eerst
een howto om over te stappen naar ssh.
Firewall in de kernel bakken.
[shell]# cp /usr/local/sys/i386/conf/GENERIC /usr/local/sys/i386/conf/FIREWALL[/shell]
Vervolgens edit je de file [i]/usr/local/sys/i386/conf/FIREWALL[/i]
en zet je overal waar GENERIC staat FIREWALL neer.
vervolgens zoek je dit blok op en zorg je dat er het volgende komt te staan.
Uiteraard moet je zelf de goede cpu instellen door de rest af te #-en
[shell]machine i386
#cpu I386_CPU
#cpu I486_CPU
cpu I586_CPU
#cpu I686_CPU
ident FIREWALL
maxusers 32
options MATH_EMULATE #Support for x87 emulation
options INET #InterNETworking
options IPFILTER #enable the filter in
general
options IPFILTER_LOG #logging enabled
#options IPFILTER_DEFAULT_BLOCK #block by default
[/shell]
LET OP dat je een # zet voor de laatste regel !!(in bovestaand stuk)
Anders kun je straks niet meer bij de co-located bak!
vervolgens compileer je de kernel.
[shell]# cd /usr/src
# make clean
# make buildkernel KERNCONF=FIREWALL[/shell]
controleer nu of het bestand /etc/ipf.rules bestaat? deze mag NIET bestaan als
er een staat verwijder deze dan (zorg wel voor een backup)
[shell]# cd /usr/src/
# make installkernel KERNCONF=FIREWALL
[/shell]
==========================
We gaan hier verder met het configureren (dit gedeelte is door mij geschreven)
Edit je /etc/rc.conf en zorg dat hij er ongeveer zo uit komt te zien
[file]ifconfig_ed0=”inet EXTERNE_IP netmask NETMASK”
ifconfig_lnc0=”inet 192.168.1.1 netmask 255.255.255.0″
defaultrouter=”212.204.160.1″
ipfilter_enable=”NO”
ipnat_enable=”YES”
gateway_enable=”YES”[/file]
In dit geval is ed0 mijn netwerk kaart die aan internet hangt en lnc0 degene die mijn interne netwerk verbind met de router. Het belangrijkste is dat je een verbinding hebt met het internet‚ dus de ifconfig instellingen zullen voor iedereen anders zijn.
Nu gaan we de daadwerkelijke router instellen‚ open daarvoor /etc/ipnat.rules en zorg dat hij er zo uit komt te zien:
[file]map ed0 192.168.1.0/24 -> 0/32 proxy port ftp ftp/tcp
map ed0 192.168.1.0/24 -> 0/32 portmap tcp/udp auto
map ed0 192.168.1.0/24 -> 0/32[/file]
ed0 is dus mijn externe netwek kaart‚ mijn intere netwerk is 192.168.1 9 (je kunt hier dus ook ziets hebben als 10.0.0) De eerste regel zorgt ervoor dat ftp ook goed werkt en door “0/32” zorg je ervoor dat de juiste ip wordt gerbuikt (als je bv een dynamisch ip hebt)
Wil je nu een bepaalde poort doorsturen voeg dan de volgende regels toe aan je /etc/ipnat.rules
[file]rdr ed0 0/32 port 6800-6833 -> 192.168.1.2 port 6800 tcp/udp
rdr ed0 0/32 port 81 -> 192.168.1.2 port 80 tcp/udp[/file]
De eerste regel zorgt ervoor dat poorten 6800 t/m 6833 worden doorgestuurd naar 192.168.1.2‚ deze poorten stel je dan bv in bij ICQ en je hebt filetransfer werkend. De tweede regel stuurt poort 81 door naar 192.168.1.2 op poort 80. Je kan dit bv gebruiken om op 192.168.1.2 een webserver te laten draaien en wil dan van buiten je netwerk verbinding maken met de webserver op 192.168.1.2 dan kun je het volgende adres gebruiken http://EXTERNE_IP:81
Reboot nu de machine en kijk of het allemaal werkt
[shell]reboot[/shell]
Als dit werkt kunnen we het wat veiliger maken door een firewall toe te voegen. De werkwijze die ik normaal aan houdt is: eerst alles dicht en dan wat gaatjes in de firewall maken.
Ik gebruik de volgende firewall rules (lees ze nog wel even door en kijk of ze ook voor jouw goed zijn):
Deze zet je in: /etc/ipf.rules
[file]
#################################################################
# Outside Interface
#################################################################
# loopback pakets left unmolested
pass in quick on lo0 all
pass out quick on lo0 all
#—————————————————————-
# Allow out all TCP‚ UDP‚ and ICMP traffic & keep state on it
# so that it’s allowed back in.
#—————————————————————-
pass out quick on ed0 proto tcp from any to any keep state
pass out quick on ed0 proto udp from any to any keep state
pass out quick on ed0 proto icmp from any to any keep state
block out quick on ed0 all
#—————————————————————-
# Allow bootp traffic in from your ISP’s DHCP server only.
# Replace X.X.X.X/32 with your ISP’s DHCP server address.
#—————————————————————-
#pass in quick on ed0 proto udp from 212.120.66.200/32 to any port = 68 keep state
# block incoming/outgoing unroutable addresses on interface ex1
block in quick on ed0 from 192.168.0.0/16 to any
block in quick on ed0 from 172.16.0.0/12 to any
block in quick on ed0 from 127.0.0.0/8 to any
block in quick on ed0 from 10.0.0.0/8 to any
block in quick on ed0 from 169.254.0.0/16 to any
block in quick on ed0 from 192.0.2.0/24 to any
block in quick on ed0 from 204.152.64.0/23 to any
block in quick on ed0 from 224.0.0.0/3 to any
block in quick on ed0 from 255.255.255.255/32 to any
block in quick on ed0 from 0.0.0.0/32 to any
block out quick on ed0 from any to 192.168.0.0/16
block out quick on ed0 from any to 172.16.0.0/12
block out quick on ed0 from any to 127.0.0.0/8
block out quick on ed0 from any to 10.0.0.0/8
block out quick on ed0 from any to 169.254.0.0/16
block out quick on ed0 from any to 192.0.2.0/24
block out quick on ed0 from any to 204.152.64.0/23
block out quick on ed0 from any to 224.0.0.0/3
block out quick on ed0 from any to 255.255.255.255/32
block out quick on ed0 from any to 0.0.0.0/32
# drop any IP packets with options set in them
block in quick all with ipopts
block in quick all with frag
block in quick all with short
block return-rst in quick proto tcp all flags FUP
# This host only runs sshd‚ no other services
pass in quick on ed0 proto tcp from any to any port = 22 flags S keep state
# Apache Webserver
pass in quick proto tcp from any to any port = 80 flags S keep state
# To receive traceroute replies
pass in quick on ed0 proto icmp from any to any icmp-type timex keep state
pass in quick on ed0 proto icmp from any to any icmp-type echorep
# Outbound traffic from our own IPs is allowed
# Could be made more strict for icmp
pass out quick on ed0 proto tcp/udp from EXTERNIP/32 to any
pass out quick on ed0 proto tcp/udp from EXTERNIP/24 to any
pass out quick on ed0 proto icmp from EXTERNIP/32 to any
pass out quick on ed0 proto icmp from 192.168.1.0/24 to any
# Block and log all remaining traffic coming into the firewall
block return-rst in log quick on ed0 proto tcp from any to any
block return-icmp-as-dest(port-unr) in log quick on ed0 proto udp from any to any
block in log quick on ed0 all
#################################################################
# Inside Interface
#################################################################
#—————————————————————-
# Allow out all TCP‚ UDP‚ and ICMP traffic & keep state
#—————————————————————-
pass out quick on lnc0 proto tcp from any to any
pass out quick on lnc0 proto udp from any to any
pass out quick on lnc0 proto icmp from any to any
#—————————————————————-
# Allow in all TCP‚ UDP‚ and ICMP traffic & keep state
#—————————————————————-
pass in quick on lnc0 proto tcp from any to any
pass in quick on lnc0 proto udp from any to any
pass in quick on lnc0 proto icmp from any to any
[/file]
Let er wel op‚ als je poorten door wilt sturen en je gebruikt een firewall dat je die poorten ook open zet in je firewall en niet alleen in je ipnat configuratie.
We kunnen nu de firewall testen door het volgende commando te geven:
[shell] ipf -Fa -f /etc/ipf.rules && sleep 180 && ipf -Fa[/shell]
Je kunt nu 3 minuten testen of alles nog werkt.
Werkt dit goed dan kun je in je /etc/rc.conf de volgende waarde veranderen in:
[file]ipfilter_enable=”YES”[/file]
Bij de volgende reboot wordt alles dan automatisch geladen.
Wat handige commando’s indien je de firewall of ipnat rules wijzigt (hoef je niet te rebooten)
[shell]ipf -Fa -f /etc/ipf.rules[/shell]
Deze regel herlaad je firewall regels
[shell]ipnat -CF -f /etc/ipnat.rules[/shell]
Deze regel herlaad je ipnat rules.
Indien je hiervoor ipfirewall draaide zorg er dan voor dat die niet meer draait.
Veel su6
Hmm,
Als ik mijn adsl modem probeer te pingen (ping 10.0.0.138) krijg ik permission denied. 🙁
Ik ga maar eens mij removable HD vervangen en een clean Install van FreeBSD doen zodat ik als alle eerste met NAT en routen kan gaan stoeien.
Zonder een firewall???
Dus eerst kijken of nat werkt zonder firewall en dan pas die firewall activeren.
Even wat opmerkingen.
Eerst het bestand ipnat.rules.
Hierin zie ik niet de portmap entry staan. Deze zorgt ervoor de als er meerdere hosts dezelfde source port willen bereiken, dat deze eerst vertaald wordt. (zie ipf docs voor info).
Het is aan te raden om het volgende toe te voegen aan je ipnat.rules: (belangrijk: zet dit tussen de proxy en de laatste nat rule)
> map ed0 192.168.1.0/24 -> 0/32 portmap tcp/udp auto
Aan het ipf.rules bestand dat hierboven staat kan ook wel het 1 en ander aan veranderd worden.
Je kunt deze rules veel meer tweaken, maak je rules in de volgende volgorde (allemaal als ‘quick’):
-> pass lo0 regels bovenaan, je loopback device hoort niet gehinderd te worden door rules die toch niet opgaan.
->je internal LAN device rules _zonder_ keep state, dit is nutteloos en overhead voor in je LAN.
-> blocken van gereserveerde ip’s op external if.
-> blocken van packets met opties.
-> toelaten van services (zoals webserver) met keep state en evt. vlaggen.
-> als je een caching dns server draait -> UDP port 53 open zetten met keep state
-> toelaten van verkeer naar buiten met keep state
-> default block
Zo hoort een goede firewall eruit te zien.
Voor mijn firewall, check deze: http://panoramix.homeip.net/~peter/conf/ipf.conf
Voor de rest is het wel ok 🙂
[quote][2P] kwam met een aantal aanpassingen[/quote]
Deze heb ik er aan toegevoegt thx voor het commentaar.
Default block niet gedaan omdat het wel eens verkeerd kan gaan.
[quote]
Posted by Inferno on 04 Sep 2002 00:41:13
Zonder een firewall???
Dus eerst kijken of nat werkt zonder firewall en dan pas die firewall activeren.
[/quote]
Ja zonder Firewall.
Ik vraag mij af waar die permission denied vandaan komt.
Ik heb geen chmod -x op de0 of de1 gedaan :+ :+ (GEINTJE)
Ook geen default block aan staan?
Hmm,
Moet het effe vanavond nakijken.
Het was gisteren al laat en ja ik ben weer gefrusteerd naar bed gegaan. 🙁
Inferno,
Wat bedoel je eigenlijk met default blok?
#options IPFILTER_DEFAULT_BLOCK #block by default
deze regel in kernel config
Ah,
Ik snap, ik zat in de ipnat.rules te kijken. :+
He he,
Hij doet het, (ik word op dit moment door freebsd geroute :+ ) !
Het lag aan mijn DNS, de DNS van de provider ingesteld en het werkte gelijk.
Toch raar want ik heb BIND draaien net zoals onder Freesco en daar werkt het wel (ik bedoel dus dat ik met Freesco mijn eigen DNS draai en dat het daar goed gaat.)
Nou ja het werkt, ik kan weer mijn slaap gaan inhallen.
hoe activeert je firewall?