Если вы не установили исходные тексты ядра при инсталляции системы то вы можете воспользоваться утилитой /stand/sysinstall или сделать это вручную:

После чего исходные тексты ядра будут распакованы в /usr/src/sys.

Для работы пакетного фильтра необходимо добавить в ядро несколько опций. общий порядок действий будет следующим:

Добавляем опции в ядро:

Где опции: IPFIREWALL - задействует фильтрацию пакетов
DIVERT - позволит нам в дальнейшем использовать NAT
DUMMYNET - предоставляет возможности ограничения полосы пропускания
IPFIREWALL_VERBOSE - включает режим регистрации
IPFIREWALL_VERBOSE_LIMIT=100 - ограничивает размер журнального файла

Опции DIVERT и DUMMYNET здесь описаны не будут, но их включение в состав ядра позволит избежать перекомпиляции ядра при возникновении желания раздавать Интернет локальной сети. После чего компилируем и устанавливаем ядро:

Добавляем в /etc/rc.conf следующие строки:

У нас имеется сетевая карта Realtek 8139 (rl0), которая подсоединена к ADSL модему Zyxel Omni ADSL LAN EE. Для организации связи мы используем PPPoE, поэтому в правилах у нас будет использоваться именно rl0, а не tun0. Опции ppp_enable, ppp_mode и ppp_profile обеспечивают нам доступ в Интернет при загрузке машины, хотя скрипт ppp можно запускать и вручную. Пишем /etc/ppp/ppp.conf: 

Как уже неоднократно говорилось и писалось, что именно будет пропускаться во внешний мир и к чему будет доступ извне - решать только вам, руководствуясь советами и здравым смыслом. Например, /etc/firewall может выглядеть так:

#!/bin/sh

oif="rl0"
oip="192.168.255.2"
odns="172.16.2.20"
cmd="ipfw add "

$cmd 00500 check-state
#----------------Blocking------------------------
# Block SAMBA
$cmd 00110 deny { tcp or udp } from any to any 135,137,138,139,369,445,520,5000
   
# i'am dont want this
$cmd 00120 unreach port { tcp or udp } from any to me 113

# Stop allow IP Packets without (or empty) mss options
$cmd 00130 deny log tcp from any to any tcpoptions !mss setup
$cmd 00140 add deny log tcp from any to any in tcpflags syn,fin
#----------------Darwin------------------------
$cmd 00600 allow tcp from any to me 8000 via $oif
$cmd 00610 allow tcp from any to me 554  via $oif
#----------------DNS------------------------
$cmd 00700 allow tcp from any to $odns 53 out via $oif setup keep-state
$cmd 00710 allow udp from any to $odns 53 out via $oif keep-state
#----------------SSH------------------------
$cmd 00800 allow tcp from 172.16.2.20 to me 22 via $oif
№-----------------Common-----------------------
$cmd 00820 allow ip from me to any
$cmd 00830 allow ip from 127.0.0.1 to 127.0.0.1 via lo0
$cmd 00830 allow ip from $oip to $oip via lo0
$cmd 00830 deny ip from 127.0.0.1 to any
$cmd 00830 deny ip from any to 127.0.0.1
#---------------PING------------------------
$cmd 00900 allow icmp from any to any icmptypes 0,3,8,11,12,13,14
#----------------Deny all--------------------
$cmd 06000 deny log ip from any to any

В данном примере в мир вещает в мир Darwin Streaming Server, разрешен вход по ssh c работы, причем эта же машина играет роль DNS сервера. Данный набор не является идеальным, но перед ним такая цель и не ставилась. Хороший набор правил для начинающего пользователя находится в /etc/rc.firewall, загружать эти вы можете с помощью опции firewall_type, которая может принимать значения:

open - открыто все
client - основные функции защиты локальной машины
simple - основные функции защиты локальной сети
closed - блокировка всего, за искоючением lo0
UNKNOWN - правила фильтрации не загружаются
filename - загружать правила из файла(необходимо указание полного пути)

Вот еще один пример правил фильтрации, наиболее полно подходящий, для использования с ADSL:

В статье использовались материал Дмитрия Пупкова http://www.opennet.ru/tips/info/753.shtml

 

 

Автор: Сгибнев Михаил (mixa@dreamcatcher.ru)