เพื่อโลก และ อุดมการณ์ ต่อต้านทุนนิยม

2006/Aug/31

Ttransparent Firewall ด้วย ipfw

อะไรคือ Bridge อ่านที่นี่พอเป็นแนวทาง http://www.tanti.ac.th/Com-ranning/NetWork/bridge.htm

Bridge การทำงานคือส่งผ่าน packet ethernet แค่นั้นเอง เมื่อ + ipfw เข้าไปสามารถ fillter ได้ถึงชั้น layer ip ก็กลายเป็น smart bridge ถ้าเพิ่มฟังก์ชัน dummynet + ฟังก์ชัน route ติด Nic สิบตัว ก็จะกลายเป็น super ultra bridge ไปเลย 5 5 5 5+ อันนี้พูดเล่นแต่อยากทำ

การทำงานของมันไม่มีอะไรมากคือ เอา Nic มาสองตัว เปิดฟังก์ชัน bridge ให้มันไม่ต้องใส่ ip ก็คือเมื่อมีสัญญาณไฟฟ้าผ่านมาทางสายแลน มันเอาอ่านหมดทุก packet แล้วจะส่งต่อไปยัง kernel เพื่ออ่านกฎคัดแยกเพื่อส่งไปยัง Nic อีกอันหรือจะทิ้ง packet นั้นไป

Setup (ข้อมูล รายละเอียดอ่านเอาจาก http://www.thai-aec.org/misc/secure_bridge.html)

1.Compile kernel
2.แก้ไข /etc/rc.conf
3.แก้ไข /etc/sysctl.conf
4.แก้ไข /etc/syslog.conf
5.แก้ไข /boot/loader.conf

หลังจากทำทุกอย่างเรียบร้อย กฎที่ให้มาตามด้านบนไม่ work เพราะปัญหาอันดับแรกคือเรา Deny all อยู่แล้วเครื่องไม่สามารถติดต่อใครได้เลย ถ้าต้องการดูว่า bridge เราทำงานหรือไม่ก็เอาสาย lan cross มาต่อเข้า NIC ต้องใช้สามเครื่องในการทดลอง หรือเอาสายจาก Hub เข้ามาเส้นนึงเป็นขา out และสาย cross ต่อเข้าเครื่อง client เป็น in เพื่อทำการทดลอง

เพิ่มกฎ

add pass all from any to any

ถ้า client สามารถเล่นเน็ตแสดงว่า bridge เรา work

- ปัญหาแรก ที่เจอคือ arp ไม่สามารถาส่งผ่านไปได้หลังจากใส่กฎด้านบนไปหมดแล้วเราต้องเพิ่ม

add pass all from any to any mac-type arp

- ปัญหาที่สอง คือ DHCP เพราะว่ากฎด้านบนบล๊อค 0.0.0.0 และ multicast class4 ไว้ด้านบนเลยทำให้ dhcp โดนทิ้งหมดให้เอากฎพวกนี้ทิ้งให้หมด แล้วค่อย copy ไปไว้ deny ตอนท้ายๆของกฎ

${fwcmd} add deny all from any to 0.0.0.0/8
${fwcmd} add deny all from any to 169.254.0.0/16
${fwcmd} add deny all from any to 192.0.2.0/24
${fwcmd} add deny all from any to 224.0.0.0/4
${fwcmd} add deny all from any to 240.0.0.0/4

${fwcmd} add deny all from 10.0.0.0/8 to any
${fwcmd} add deny all from 172.16.0.0/12 to any


${fwcmd} add deny all from 0.0.0.0/8 to any
${fwcmd} add deny all from 169.254.0.0/16 to any
${fwcmd} add deny all from 192.0.2.0/24 to any
${fwcmd} add deny all from 224.0.0.0/4 to any
${fwcmd} add deny all from 240.0.0.0/4 to any


การแก้ปัญหา DHCP เพิ่มกฎ

add pass udp from any to any 67 keep-state #client
add pass udp from any to any 68 keep-state #server

- ปัญหาที่สาม คือ FTP แบบ passive อันนี้แก้ไม่ตกจะให้เราเปิดหมดตั้งแต่ 1025-65xxx ก็ไม่ไหวเพราะจุดประสงค์ของผมคือ block torrent

การแก้ปัญหาคือถ้าจะใช้ server ไหนให้บอกผมมาแล้ว add ให้ชั่วคราว :)... to be continue ง่วง

tag: firewall, freebsd, internet, ipfw, torrent, virus
posted by wichanan, at 2006-Aug-31 04:08:504
ชื่อ: 
เว็บไซต์: 
คอมเมนต์:




smilebig smileopen-mounthed smileconfused smilesad smileangry smiletonguequestionembarrassedsurprised smilewinkdouble winkcry
ผทเพิ่งไปติดตั้งแบบนี้มาเอง แหะๆ
#1  by   ไอ้แพท.. At 2006-09-02 23:07, 
ทำเองหรือจ้างครับ

ถ้าจ้างเขาทำคราวหลัง ถ้าไม่เหนือบ่ากว่าแรงลองเมล์มาคุยกะผมดูครับ ... ร่วมด้วยช่วยกัน ความรู้อะไรได้มาฟรีก้คืนกลับแบบฟรีครับ
#2  by  โดม.. At 2006-09-03 21:06, 
มีปัญหาเกี่ยวกับการติดตั้ง VPN StoneGate ติดตั้งแล้วไม่สามาถเชื่อมต่อได้เนื่องจากมี firewall จะแก้ firewall ได้อย่างไร
#3  by   (61.7.140.147) At 2007-09-03 14:01, 
http://astore.amazon.com/best.sony.bravia-20 best buy sony bravia sale
http://astore.amazon.com/best.sony.hdtv.lcd-20 buy best sony hdtv lcd
http://astore.amazon.com/best.sony.lcd.hdtv-20 buy sony lcd hdtv prices
http://astore.amazon.com/best.sony.lcd.tvs.buy-20 cheap best sony lcd tvs
http://astore.amazon.com/buy.19.sony.lcd.tvs-20 buy sony lcd hdtv 19
http://astore.amazon.com/buy.32.inch.sony.bravia-20 buy sony bravia 32 inch
http://astore.amazon.com/buy.32.sony.bravia.lcd-20 buy sony bravia lcd hdtv 32
http://astore.amazon.com/buy.32.sony.bravia.lcd.tvs-20 buy sony lcd tvs 32
http://astore.amazon.com/buy.32.sony.lcd.tvs-20 buy sony lcd tvs 32
http://astore.amazon.com/buy.37.sony.bravia.lcd.tvs-20 buy 37 sony bravia lcd tvs
http://astore.amazon.com/buy.40.sony.bravia.tvs-20 buy 40 sony bravia tvs
http://astore.amazon.com/buy.42.sony.lcd.tvs-20 buy sony lcd hdtv 42
http://astore.amazon.com/buy.46.sony.bravia.hdtv.lcd-20 best sony bravia 46
http://astore.amazon.com/buy.46.sony.lcd.tvs-20 buy sony bravia tvs 46
http://astore.amazon.com/buy.50.inch.sony.bravia-20 buy sony bravia sony inch 50
http://astore.amazon.com/buy.52.lcd.hdtv.sony-20 best sony lcd h dtv 52 buy
[urlhttp://astore.amazon.com/buy.ipod.classic.160gb.best.ipod.classic.160gb.accessories-20[/url] best buy ipod classic 80gb 160gb sale
http://astore.amazon.com/buy.ipod.nano.4gb.best.buy.ipod.nano.4gb.sale-20 best buy ipod nano 4gb
http://astore.amazon.com/buy.ipod.nano.4gb.best.ipod.nano.4gb.accessories-20 best buy ipod nano acessroies deals
http://astore.amazon.com/buy.ipod.touch.16gb.best.ipod.touch.16.gb.accessories-20 best buy ipod touch 16 gb. Sale
http://astore.amazon.com/buy.ipod.touch.32gb.best.ipod.touch.32gb.accessories-20 best buy ipod touch 32gb
http://astore.amazon.com/buy.sony.1080p.lcd.projection.tvs-20 sony lcd projection 1080 p lcd
http://astore.amazon.com/buy.sony.26.inch.lcd.hdtv-20 buy sony bravia inch lcd hdtv 26
http://astore.amazon.com/buy.sony.32.bravia.l.series.lcd.hdtv-20 buy sony 32 bravia l series lcd hdtv
http://astore.amazon.com/buy.sony.40.bravia.lcd-20 buy sony bravia lcd 40
http://astore.amazon.com/buy.sony.40.lcd.tvs-20 buy sony lcd hdtv 40 low prices
http://astore.amazon.com/buy.sony.46.lcd.tvs-20 best sony 46 lcd tvs buy
http://astore.amazon.com/buy.sony.52.lcd.tvs-20 buy sony 52 lcd tvs cheap
http://astore.amazon.com/buy.sony.bravia.1080p.120hz.xbr-20 best buy sony bravia 1080p 120hz xbr
http://astore.amazon.com/buy.sony.bravia.26.s-series-20 buy sony bravia 26 s-series
http://astore.amazon.com/buy.sony.bravia.26.tv-20 buy sony bravia 26 tvs
http://astore.amazon.com/buy.sony.bravia.32.flat.screen-20 buy sony bravia 32 flat screen
http://astore.amazon.com/buy.sony.bravia.32.inch-20 buy sony bravia 32 inch
http://astore.amazon.com/buy.sony.bravia.32.inches-20 best buy sony bravia 32 omcjes
http://astore.amazon.com/buy.sony.bravia.32.lcd.hdtv-20 32 sony lcd hdtvs
http://astore.amazon.com/buy.sony.bravia.32.lcd.tv-20 cheap buy sony bravia lcd hdtv 32
http://astore.amazon.com/buy.sony.bravia.32.s.series-20 buy sony bravia 32 s-series
http://astore.amazon.com/buy.sony.bravia.37.inch-20 buy.sony.bravia.37.inch
http://astore.amazon.com/buy.sony.bravia.37.lcd-20 best sony lcd hdtv 37
http://astore.amazon.com/buy.sony.bravia.40.inch-20 sony 40 lcd hdtv inch buy
http://astore.amazon.com/buy.sony.bravia.40.inch.lcd.tvs-20 buy sony lcd tvs 40
http://astore.amazon.com/buy.sony.bravia.40.lcd.hdtv-20 best 40 sony lcd hdtv buy
http://astore.amazon.com/buy.sony.bravia.40.lcd.kdl-20 buy sony bravia 40 kdl cheap
http://astore.amazon.com/buy.sony.bravia.40xbr5-20 best buy sony bravia 40xbr5
http://astore.amazon.com/buy.sony.bravia.40.inch.lcd.tvs-20 buy sony lcd tvs42
http://astore.amazon.com/buy.sony.bravia.42.lcd.tv-20 best buy sony lcd 42
http://astore.amazon.com/buy.sony.bravia.46.cheap-20 best biu spmu bravoa 42
http://astore.amazon.com/buy.sony.bravia.46.inch.1080p-20 best sony bravia lcd tv 46
http://astore.amazon.com/buy.sony.bravia.52.inch.hdtv-20 cheap sony bravia 46 deals
http://astore.amazon.com/buy.sony.bravia.52xbr5-20 buy sony bravia 52 xbr5
#4  by   (125.24.130.32) At 2008-08-02 02:44, 

<< Home


xemod
View full profile