Файервол IPFW во FreeBSD - настраиваем с нуля, пример простого конфига

В этой заметке я расскажу и покажу основы одного из самых популярных файерволов Unix - IPFW. Это именно тот файервол, который считается "по-умолчанию" для FreeBSD.


Итак, я предполагаю, что Вам в целом понятно - для чего файервол нужен и как он работает. Если совсем по-простому: файерволы просматривают весь траффик, проходящий через компьютер (будь то простой домашний декстоп, маршрутизатор или сервер), сравнивают каждый пакет с правилами, заданными администратором, на основе того - откуда и с какого порта этот пакет идет и куда на какой порт, и принимают решение - что с этим пакетом делать.

Мы не будем здесь касаться ограничения пропускной способности через "трубы", ядерного NAT (обойдемся NATd) и других вещей, которые уже не попадают в категорию "первичной настройки". Здесь конфиг для настройки файервола человеком, который мало с этим файерволом знаком и которому нужен "толчек" для того, чтобы дальше уже понять - что и куда вписать, чтобы работало как он хочет.


1. Общие положения

Итак, у нас есть компьютер с 2мя (в нашем рассказе пойдет речь о двух) сетевыми картами. Для простоты мы их назовем eth0 и eth1, хотя увидеть такие названия сетевых интерфейсов во FreeBSD - это, как бы, редкость.

В нашем примере сетевая карта eth0 будет "глядеть" внутрь нашей, защищенной сети. А карта eth1 - во-вне, в интернет. Опять же здесь мы рассказываем на примере частного случая - когда роутер имеет выходной "дыркой" интернет, а не другую какую-то нашу-же сеть.

Теперь поговорим о том, как задаются правила в IPFW и как файервол их обходит.

Правила описываются одно за другим. Каждый пакет файервол прогоняет по правилам одно за другим, пока не найдет то, с условиями которого этот пакет совпадет. В большинстве случаев обработка после этого прекращается (т.е. первое совпавшее правило прекращает путь пакета по списку).

Например, если мы имеем два правила:


Второе правило в нашем случае не сработает. Казалось бы, если их сложить на уровне логики человека - то пакету, идущему с адреса 192.168.0.1 куда угодно разрешено проходить на порты с 1000го по 2000й, кроме порта 1050. А вот и нет - ведь правило allow (1е) сработает и на порт номер 1050 (этот порт находится в указанном диапазоне 1000-2000) и IPFW просто не проверит следуюее правило!

Каждое правило имеет свой уникальный номер, начинающийся с малого числа (по-умолчанию 100). Последний допустимый номер правила - 65535, который занят "правилом по-умолчанию". По-умолчанию "правило по-умолчанию" - это "запретить все".

При указании правил мы можем как указывать их номер, так и не указывать. В последнем случае IPFW самостоятельно будет инкрементировать номер следующего правила и мы получим список с автоматически проставленными номерами правил.

По большому счету, указывать номера правил явно имеет смысл только в случае, если Вы хотите в процессе обработки "прыгать" между правилами. Например, при совпадении пакета с условием правила - ему нужно перепрыгнуть некий набор запрещающих правил и оказаться ниже по списку. Другого способа, кроме как "прыгнуть" к определенному правилу нет в данном случае - а для этого нам нужно будет точно знать - какой номер у нужного условия.

Еще одна заметка про нумерацию. IPFW спокойно относится к разрывам в списке. Например, для него очень даже "нормально", если Вы сделаете нумерацию правил как-то так:


Т.е. номера правил не обязаны идти с четким инкрементом. Можно даже делать так:



2. Как строятся правила и основные команды файервола

Каждое правило состоит из:
а) Номера
б) Команды
в) Параметров команды, если они есть
г) Указания протокола (tcp, upd, icmp... слова all и ip означают - любой протокол)
д) Правила "откуда"
е) Правила "куда"
ж) Дополнительные условия

Правила "откуда" и "куда" состоят из:
а) слова "from" или "to" соответственно
б) IP-адреса или имени хоста (слово any означает любой IP, а слово me - любой IP адрес из текущих настроенных на этом компьютере)
в) порта(ов). если порт не указан - считается равным "любой порт".

Если перед IP адресом или портом поставить "not" - то это будет инвертировать условие.

Еще раз - это сильно усеченно. На самом деле, если Вы собираетесь считать трафик, помечать пакеты и т.д. - IPFW синтаксис еще расширяется, но это выходит за пределы данной статьи.

Вот пример:

Здесь мы:
а) Не указываем номера правила - значит IPFW его присвоит сам
б) Указываем команду "allow" - разрешить правилу пройти через файервол
в) Дополнительных параметров у "allow" нет - потому их здесь не видно
г) Указываем условие, что пакет должен быть TCP-пакетом (не UDP, не ICMP - именно TCP)
д) Правило "откуда" - с компьютера 192.168.0.1 с порта 33333
е) Правило "куда" - на компьютер 192.168.0.5 на порт 80
ж) Доп-условий нет

Другой пример:

Здесь мы:
а) Мы указываем IPFW, что данное правило имеет номер 500
б) Указываем команду "skip" - перейти на другое правило
в) Указываем параметр команды skip - номер правила, на которое нужно прыгнуть - 10000
г) Указываем условие протокола - любой протокол (all)
д) Откуда: с любого компьютера (any) с любого порта (порт не указан)
е) Куда: на компьютер с IP 192.168.0.100 на порт 3389
ж) Доп-условие - направление: задаем, что условие сработает только если пакет должен выйти через сетевую карту eth1 (out eth1)


При необходимости в одном правиле указания нескольких IP-адресов или портов - смотрим следующую подсказку.

а) Можно использовать диапазоны:

б) Можно перечислять через запятую (и группировать с диапазонами)

в) Можно использовать фигурные скобки (только 1 уровень скобок!):


Как указывать подсети (маску)?

а) Через "/":

б) Через ":":



Основные команды:

 allow или pass или accept или permit
Разрешить пакету прохождение и завершить проверку. Т.е. пакету дается "зеленый" свет.

 deny или drop
Запретить пакету прохождение и завершить проверку. Пакет не пропускается через роутер.

 divert
Передать пакет сокету перенаправления на указанный порт. Проверка завершается, пакет вместо указанного адресата попадает к демону на локальной машине, который "слушает" на указанном порту.

 fwd или forward
Перенаправить пакет на указанный IP адрес вместо того, куда пакет направлялся. Т.е. мы ловим пакет и указываем ему "катиться" к нужному нам компьютеру. Проверка завершается.
Сладует учесть, что IPFW не меняет сам пакет, потому принимающий компьютер таки увидит, что пакет направлялся нифига не ему и должен быть к этому готов.

 reset
Отказать пакету в прохождении и, если это TCP-пакет, постараться послать отправителю TCP-сообщение "reset". Более "гуманный" ответ вместо "просто безответного отказа", но тратит трафик на обратный ответ. Проверка завершается.

 skipto
При совпадении с условием - перейти на указанный номер пакета. Проверка продолжается с того условия, на которое пакет был перенаправлен.

 tee
При совпадении с уловием - послать копию данного пакета на указанный порт сокета перенавления (divert socket). Оригинальный пакет продолжает прохождение списка условий.

 unreach
Отказать пакету в прохождении и послать в ответ ICMP-ответ "unreach" с указанным кодом. Прохождение пакета завершается.


Дополнительные условия, которые ставятся в конце правила:

 bridged
Пакет является Layer2 пакетом.

 diverted
Пакет сгенерирован divert-сокетом

 diverted-loopback
Пакет сгенерирован divert-сокетом и положен обратно в стек IP input для доставки.

 diverted-output
Пакет сгенерирован divert-сокетом и положен обратно в стек IP output для доставки. 

 dst-ip ip-адреса
Пакет отправляется на один из указанных адресов IP.

 dst-port номера портов
Пакет отправляется на один из указанных портов.

 established
Пакет проходит по уже установленному TCP-соединению.

 frag
Пакет фрагментирован и является не первой частью фрагментированной датаграммы.

 jail ID-тюрьмы
Пакет послан или принимается "тюрьмой" - виртуальной машиной во FreeBSD.

 icmptypes типы
Пакет совпадает с одним из указанных ICMP-типов.

 in или out
Пакет является входящим или выходящим (взаимоисключающие условия).

 iplen размеры
Пакет имеет размер из списка "размеры", который задается так-же, как и список портов.

 layer2
Пакет является Layer2 пакетом.

 MAC исходящий MAC целевой MAC
Пакет отправлен с сетевого интерфейса с MAC-адресом "исходящий MAC" и должен поступить на сетевой интерфейс с MAC-адресом "целевой MAC".

 proto протокол
Пакет соответствует указанному протоколу.

 via интерфейс
Пакет входит или выходит через указанный интерфейс.

 setup
Пакет имеет флаг SYN протокола TCP, но не имеет ACK.

 dst-ip ip-адреса
Пакет приходит с одного из указанных адресов IP.

 dst-port номера портов
Пакет приходит с одного из указанных портов.

 tcpflags флаги
Пакет имеет указанные TCP-флаги.
Если перед флагом стоит восклицательный знак (!) - флаг не должен стоять чтобы правило сработало.


Здесь только основные условия. Намного больше Вы можете прочитать в справке



3. Конфигурируем файервол

Итак, здесь я приведу очень маленький файл конфигурации файервола, который имеет несколько примеров с комментариями.



4. Разжевываем про NAT - двойное хождение пакетов

Итак, что же происходит когда пакет в процессе обработки IPFW встречает на своем пути правило "идика ты через NAT"? Т.е. срабатывает команда "divert natd"?

Давайте разберем по шагам. Начнем с пакета, который вылетает из локальной сети в интернет.
1) Пакет залетает в IPFW с серым IP и проходит все проверки вплоть до правила с NATD.
2) Пакет перенаправляется демону NATD и проверка IPFW заканчивается.
3) Пакет преобразуется (маскируется) демоном NATD и IP пакета принимает значение IP-адреса выходного интерфейса роутера.
4) Демон NATD заново выкидывает пакет в поток IPFW и файервол начинает проверку пакета С ПЕРВОГО ПРАВИЛА! Т.е. для IPFW это новый пакет, который он еще не смотрел и который не имеет ничего общего с тем пакетом, который изначально залетел из локальной сети.
5) Правило NATD уже не срабатывает, т.к. пакет не имеет локального IP и должен выйти через внешнюю сетевую карту (out via eth1).
6) Пакет доходит до места, где ему разрешается выйти, т.к. он якобы отправлен самим роутером (allow all from me to any). Ну и вылетает в интернет.

Теперь о пакете, который залетает из интернета и ломится на внутреннюю машину:
1) Пакет залетает в IPFW с белым IP компьютера-отправителя и начинает проходить по правилам.
2) Пакет доходит до правила NATD, где говорится, что если пакет прилетел именно на внешний IP-адрес роутера и зашел через внешнюю сетевую карту - то его надо прогнать через NATD.
3) Пакет перенаправляется на NATD и проверка IPFW завершается - этот пакет больше файервол не интересует.
4) NATD демаскирует пакет (если может) и направляет его обратно в IPFW, который начинает проверку демаскированного пакета С САМОГО НАЧАЛА ПРАВИЛ - для него это уже новый пакет, ничего общего с первым не имеющий.
5) IPFW производит свои обычные проверки уже с учетом того, что пакет летит не на белый адрес самого роутера, а на серый адрес внутри локальной сети. Потому правило NATD не срабатывает и пакет продолжает свой путь по правилам.

Вот так мы и видим, что каждый пакет, который проходит маскировку - проходит через файервол дважды - как он сам и потом как маска. А также мы видим, что каждое повторное такое прохождение начинается не за правилом NATD, а с самого первого правила IPFW.


5. Включаем файервол во FreeBSD

1) Создайте файл со списком правил, например, из примера выше, и положите его в:

/usr/local/etc/ipfw.conf

2) Сделайте файл исполняемым:


3) Откройте /etc/rc.conf и допишите вот такие строчки:


4) Перезапустите роутер


ВНИМАНИЕ! Будьте рядом с роутером на случай, если Вы где-то что-то забыли указать правильно (какой-нибудь IP) и связь с роутером после загрузки окажется закрытой. Т.е. будьте перед консолью.


6. А если нам надо DIVERT или FORWARD?

В ядро по-умолчанию не включены divert и forward. Их можно добавить пересобрав ядро (заодно и безусловно включите IPFW - не подгружаемым модулем, а как часть ядра).


Здесь копируете нужное Вам ядро (по-умолчанию используется ядро GENERIC) в другой файл и добавляете следующие строчки после всех опций:


И пересобирываете ядро с его установкой:


вместо MYKERNEL, конечно, ставьте название файла конфигурации Вашего ядра.

Все, перезагружаемся и Divert и Forward - работают через IPFW.


7. Что еще умеет IPFW?

Много. Он умеет делать "трубы", внутри которых ограничивать пропускную способность трафика, эмулировать потери пакетов; он умеет считать трафик по заданным правилам; он умеет работать с таггированными пакетами... Поверьте, файл конфигурации выше - это всего минимальный конфиг.

Многое Вы можете прочитать по "man ipfw". Многое - в handbook по FreeBSD (кстати, на русском она тоже есть). Эта заметка не предназначалась для описания всех возможностей IPFW - она для тех, кто только начинает с этим файерволом работать и кому нужно начальное понимание - где, что и как прописать чтобы получить тот или иной результат.


8. А почему не ядерный NAT?

А потому что на момент FreeBSD 8.1 ядерный NAT глючил - имел очень небольшой командный буфер, который не позволял использовать большое количество правил проброса портов (D-NAT). А патчить исходники ядерного NAT с пересборкой этого всего удовольствия мне не улыбнулось (без того хватает работы), потому я лично до сих пор (даже на 8.2) живу с не-ядерным NAT. Может быть сейчас уже поправили - я еще не тестил.

В любом случае, если ядерный NAT заработал как надо - я опишу его использование.