# запуск ipmon при старте системы

ipmon_enable="YES"

# путь к команде ipmon, тут уже понятно, да?  

ipmon_program="/sbin/ipmon" 

# параметры команды ipmon

ipmon_flags=" -D /var/log/ipmon.log &"

Теперь проверим права на файлы ipf.rules и ipnat.rules – они должны быть выставлены в 644, владелец root.

-rw-r--r--  1 root  wheel  19430 30 янв 11:52 /etc/ipf.rules

-rw-r--r--  1 root  wheel    339 22 янв 13:12 /etc/ipnat.rules

На этом подготовительный этап закончен, и мы переходим непосредственно к запуску IPFilter.

В общем случае, от вас даже не потребуется ничего сложного, поскольку IPFilter в системе уже есть[18], и надо только «включить» его, что мы сейчас и рассмотрим подробнее.

Вам потребуется добавить в конфигурационный файл ядра системы (как правило, он располагается в /usr/src/sys/i386/conf/) следующие опции[19]:

options    IPFILTER            # включаем поддержку ipf

options    IPFILTER_LOG        # логирование ipf

Кроме этого, надо увеличить количество псевдо-устройств bpf (Berkley Packet Filter), используемых для анализа и фильтрации пакетов. Выбор конкретного значения напрямую зависит от того, сколько у вас будет использоваться интерфейсов для фильтрации.

Замечание. Этот параметр в ядре ОС определяется не только количеством физических устройств, но и количеством процессов, которые будут обращаться к этим устройствам в процессе своей работы – tcpdump, nessus etc.

В нашем случае один сетевой интерфейс используется IPFilter и добавим еще три bpf-устройства на случай большой загруженности и если нам понадобятся в дальнейшем утилиты вроде tcpdump.

pseudo-device    bpf    4

После сделанных изменений в конфигурации ядра пересобираем его (подробно о конфигурировании и компиляции ядра FreeBSD можно посмотреть тут: http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/kernelconfig.html).

Перезагрузимся (это потребуется из-за пересборки ядра системы, так как «на лету» заменить одно ядро другим нельзя) и теперь мы можем проверить функционирование нашего межсетевого фильтра. Для этого можно воспользоваться, например, широко извеcтной утилитой nmap (http://www.insecure.org/nmap) или любым сканером безопасности: X-Spider, Nessuss и прочие.