The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Каталог документации / Раздел "Руководства по FreeBSD на русском" / Оглавление документа

3 Последние приготовления

Перед тем, как загрузить новое ядро, вы должны выполнить некоторые приготовления, касающиеся файлов rc.boot и rc.firewall. По умолчанию для межсетевого экрана применяется правило, которое отбрасывает все пакеты. Вам потребуется переопределить это, задав 'открытый' межсетевой экран в файле /etc/rc.conf. Для этого поместите в файл /etc/rc.conf такие строки:

firewall_enable="YES"
firewall_type="open"

Есть еще одно необходимое действие. При работе IP по Ethernet на самом деле используются два Ethernet-протокола. Один из них IP, а другой называется ARP. ARP используется, когда машине требуется определить, какой адрес Ethernet соответствует некоторому адресу IP. ARP не является частью IP, так как он применяется при работе IP по Ethernet. Стандартным правилом межсетевого экрана IP для открытого межсетевого экрана является

pass ip from any to any

но что насчет ARP? Если ARP не будет пропускаться, то IP не будет работать вообще. Однако IPFIREWALL не предусматривает работу с не-IP протоколами, включая ARP. К счастью, к коду межсетевого экрана IP было сделано некоторое хакерское расширение для работы с фильтрующими мостами. Если вы зададите специальное правило для пакетов UDP, исходящих от адреса 0.0.0.0, то номер UDP-порта будет использоваться для задания номера протокола Ethernet для проходящих через мост пакетов. Таким способом ваш сетевой мост может быть настроен для пропуска или отклонения не-IP протоколов. Поэтому просто добавьте ниже двух строк около начала файла /etc/rc.firewall (тех, что говорят о том, что вам практически никогда не нужно менять эти два правила) следующую строку, которая работает с lo0.

${fwcmd} add allow udp from 0.0.0.0 2054 to 0.0.0.0
   

Это правило с точки зрения обычной работы IPFIREWALL не имеет никакого смысла, но код сетевого моста будет использовать его для беспрепятственного прохождения ARP-пакетов (что вам заведомо нужно делать).

Теперь сможете перезагрузить вашу машину и она будет работать точно так же, как и раньше. При загрузке появятся новые сообщения о функциях сетевого моста, но они будут выключены. Если возникнут какие-то проблемы, вы должны попытаться их решить на этом этапе до продолжения работ.

Этот, и другие документы, могут быть скачаны с ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

По вопросам связанными с FreeBSD, прочитайте документацию прежде чем писать в <questions@FreeBSD.org>.
По вопросам связанным с этой документацией, пишите <doc@FreeBSD.org>.
По вопросам связанным с русским переводом документации, пишите <frdp@FreeBSD.org.ua>.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру