Что такое ipfw?

ipfw - это фильтр пакетов IP, который используется в FreeBSD. В данный момент ipfw уже вырос из просто фильтра пакетов и превратился в мощный сетевой инструмент для обеспечения безопасности.

Что он умеет делать?

1. Как уже понятно из названия - фильтровать пакеты - часть пакетов пропускать, часть просто выкидывать.
2. Фильтровать пакеты на разных уровнях - на канальном и на сетевом.
3. Перенаправлять пакеты на другие хосты или в процессы, выполняющиеся на хосте (в частности, для NAT, для прозрачного кэширования или для тонкой настройки маршрутизации)
4. Уничтожать пакеты и генерировать соответстувющий код ответа.
5. Управлять полосой пропускания и распределением канала между разными запросами.
6. Вводить ограничения по скорости для отдельных IP/протоколов/сетей.

Логически ipfw состоит из двух больших частей - фильтрация траффика (собственно ipfw) и управление скоростью/приоритетами (dummynet).

Зачем применяется ipfw?

• Ограждать внутренюю сеть от внешних атак
• Ограждать сервер от атак снаружи и изнутри
• Четко контролировать доступ к сетевым ресурсам. Разрешать только санкционированый доступ и запрещать несакнционированый.
• Предотвращать часть атак класса 'отказ обслуживания' (DoS).
• Служит одним из слоев защиты сервера (защита на сетевом уровне).
• Логгинг траффика - разрешенных и запрещенных пакетов.
• Поддерживает трансляцию и преобразование запросов (при помощи посторонних программ)
• Проверка целостности(состояния) запросов - вам не должны приходить ответы на запросы, которых вы не посылали.

Зачем применяется dummynet?

• Ограничение скорости по отдельному сервису (скажем, для веб сервера).
• Ограничение скорости по отдельному IP (не больше 64кбит для одного IP).
• Ограничение скорость по сети (данному клиенту - не более такой-то полосы пропускания).
• Эмуляция медленных каналов связи.
• Эмуляция каналов связи с задержками.
• Эмуляция каналов связи с потерями пакетов.

Наиболее распространеная ошибка при использовании ipfw!

Та-дамм. Естественно, удаленное администрирование ipfw. Если вы не предусмотрели механизмов автоматического отключения ipfw и загрузили неправильную конфигурацию - все, пишите письма. Только доступ к консоли вас спасет.

Поэтому после одного-двух раз наученые опытом администраторы уже заранее готовятся к сценарию, что они неправильно создали конфигурацию. Даже маленькая опечатка в одну букву может лишить вас ... доступа.

Поэтому нужно заранее предусмотреть, чтоб по прошествии какого-то времени восстановились предыдущие правила конфигурации или вообще отключился бы ipfw.

Конечно, можно еще неправильно его сконфигурировать, но это уже совершенно другая история.

Тренинг по ipfw

Записывайтесь сейчас, 28 апреля цена подымется до 4000 рублей!

С 1 по 10 мая я буду проводить тренинг по ipfw / pf / NAT в FreeBSD.

 Формат тренинга - как всегда, аудиокасты и скринкасты, когда это будет нужно.

Длительность - 10 занятий, где-то по 45 минут каждое.

Будут домашние задания и задачи, которые нужно будет решать.

Зафиналивший все домашние задания получает специальный приз :) 

Если вы уже покупали у меня какой-то продукт - напишите мне, я скажу, как вам оплатить. Вам полагается 20% скидка.

Цена начинается, как всегда, в 2 раза ниже, чем цена тренинга. К началу тренинга она вырастет до номинала - до 6000 рублей.