$fwcmd add ПРАВИЛО

Например, упомянутые выше два правила заданы следующим образом:

$fwcmd add 100 pass all from any to any via lo0

$fwcmd add 200 deny all from any to 127.0.0.0/8

Однако нужно иметь в виду, что /etc/rc.firewall – системный файл, и его лучше не изменять (это позволит избежать проблем, например, при обновлении системы с помощью cvsup).

Более правильным является конфигурация ipfw как пользовательского. Для этого в файле /etc/rc.conf поменяем тип брандмауэра:

firewall_type=”/etc/ipfw.conf”

Теперь создадим файл ipfw.conf в папке /etc (впрочем, имя файла может быть любым удобным для вас) и поместим в него наши правила так, как если бы вводили их с консоли, только без имени программы ipfw. То есть выглядеть этот файл будет примерно так:

# Запрет X-сканирования:

add 1001 reject log tcp from any to any tcpflags fin, syn, rst, psh, ack, urg

# Запрет N-сканирования:

add 1002 reject log tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg

# Запрет FIN-сканирования:

add 1003 reject log tcp from any to any not established tcpflags fin

# Защита от спуфинга

add 1004 deny log ip from any to any not verrevpath in

# Ограничение числа одновременных соединений:

add 1005 allow ip  from any to any  setup limit src-addr 10

Комментарии, как обычно, предваряются символом «#». Теперь при загрузке системы автоматически будут включаться правила сначала из rc.firewall, затем из пользовательского файла (в нашем случае ipfw.conf).

На первый взгляд запрет нестандартных пакетов может показаться излишним, поскольку в случае «закрытого» брандмауэра они в любом случае будут отброшены последним запрещающим правилом. Однако их явный запрет позволит вести запись попыток сканирования тем или иным методом, что даст возможность вовремя обнаружить чей-то интерес к вашей системе и предпринять ряд превентивных мер. Кроме того, размещение этих правил в начале цепочки позволит несколько разгрузить систему в случае массированного сканирования, поскольку нестандартные пакеты не станут проверяться на соответствие всем правилам цепочки, а будут отброшены в ее начале.

Итак, мы рассмотрели основные пути защиты сети, первая линия обороны которой построена на базе FreeBSD с брандмауэром ipfw. Безусловно, соответствующей настройки еще не достаточно, чтобы спать спокойно. Ежедневный анализ log-файлов, непрерывное повышение общей грамотности в области протоколов, межсетевых экранов и т. д. – вот базовые составляющие безопасности. Надеюсь, что эта статья позволит вам более осознанно строить защиту вашей сети.