FreeBSD як шлюз інтернет з файрволом (брандмауер) для мережі підприємства (офісу). Для цього нам потрібен комп'ютер з двома мережевими картами (інтерфейсами) і встановленої на цей комп'ютер операційною системою FreeBSD. Як встановити FreeBSD докладно писав раніше. Як налаштувати мережу після установки також описувалося раніше. Як файрволу будемо використовувати Ipfirewall (IPFW). На мій погляд ця тема найзаплутаніша для мене, так як правила не зовсім такі як в ISA наприклад, тут все більше схоже на циского або навпаки.
ipfirewall - міжмережевий екран, який вмонтований в FreeBSD починаючи з версії 2.0. З його допомогою можна, наприклад, підраховувати трафік по будь-яким розумним правилам, які базуються на даних заголовків пакетів протоколів стека TCP / IP, обробляти пакети зовнішніми програмами, ховати за одним комп'ютером цілу мережу і т. П.
ipfw - назва користувальницької утиліти (запускається з командного рядка) призначеної для управління системою IPFW. З її допомогою адміністратори створюють і змінюють правила, що керують фільтрацією і перенаправленням пакетів.
Для початку нам необхідно включити підтримку ipfw в ядрі FreeBSD. Для цього потрібно включити кілька опцій в файл ядра операционой системи і потім пересобрать ядро.
Додавання опцій в ядро і його збірка
Переходимо в каталог з нашим ядром
Копіюємо ядро з нашим ім'ям. Краще нічого не міняти в дефолтних ядрі.
Тепер редагуємо MYKERNEL.
Вставляємо в кінець файлу такі опції:
Перед збереженням файлу перевіряємо ім'я нашого ядра в рядку
Міняємо на наше ім'я ядра
Зберігаємо і виконуємо наступні команди щоб пересобрать ядро:
Після цього бажано перезавантажити операційну систему для застосування нашого ядра.
Налаштування файрвола IPFW
Створюємо файл в директорії etc з ім'ям ipwf.rules
І вписуємо туди такий вміст. Я використовую підключення до інтернету через PPPoE і у мене в сервері дві мережеві які дивляться в різні підмережі локальної мережі. Прошу звернути на це увагу.
Зберігаємо наш файл.
Далі необхідно зробити щоб цей файл використовувався файрволом.
Прописуємо наступні рядки в файл /etc/rc.conf
Для того, щоб було перенаправлення портів (redirect), в файл natd.conf (якщо його немає то створіть в директорії etc) потрібно додати такий рядок:
В даному випадку перенаправляємо порт RDP.
Після всього цього перезавантажуємо комп'ютер. На цьому власне все.