Infinet Wireless: Technical Documentation
Page tree

Versions Compared

Old Version 1

changes.mady.by.user Olga Kosareva

Saved on

compared with

New Version 2

changes.mady.by.user Olga Kosareva

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Scroll Ignore

Table of Contents

Общее описание

"ipfirewall" - это механизм позволяющий фильтровать проходящие через узел IP пакеты по различным критериям. Системный администратор может определить набор входящих (addincoming) и исходящих (addoutgoing) фильтров. Входящие фильтры описывают пакеты, которые могут приниматься данным узлом. Исходящие фильтры описывают пакеты, которые могут выходить из данного узла после маршрутизации.

Каждый фильтр описывает класс пакетов и определяет способ их обработки (отбросить и зарегистрировать, пропустить, пропустить и зарегистрировать).

Пакеты могут фильтроваться на основании следующих характеристик:

  • тип пакета (все IP, TCP, UDP, ICMP, ARP)
  • адрес источника и/или получателя (и номера портов для TCP и UDP)
  • интерфейс, через который поступил пакет
  • пакет установления TCP-соединения.
  • пакет является первым, не первым или последним фрагментом фрагментированного пакета
  • включены или нет различные опции IP протокола.
  • MAC-адрес станции назначения или источника.

Рисунок ниже иллюстрирует прохождение пакетов через систему фильтрации маршрутизатора: 

Center
Scroll Title
titleРисунок - Прохождение пакетов через систему фильтрации маршрутизатора

Image Removed

Фильтры могут быть двух классов (наборов) - запрещающие (reject) и разрешающие (accept).

Кроме того, фильтр может быть применим ко всем принимаемым пакетам или только к пакетам, поступающим через определённый интерфейс.

Каждый принимаемый пакет сравнивается со всеми правилами в наборе по очереди. Первый же фильтр, который полностью соответствует принятому пакету, определяет его дальнейшую судьбу. Если фильтр является разрешающим (accept), то пакет принимается, если фильтр запрещающий, то пакет отбрасывается. Если нет ни одного фильтра в наборе, или ни один из них не подходит к данному пакету, то пакет принимается.

Warning
titleПРЕДОСТЕРЕЖЕНИЕ

Отбрасываемый пакет просто уничтожается без уведомления источника.

Фильтры определяются с помощью команды "ipfw". Например, команда

Code Block
languagejava
themeDJango
ipfw add reject all from 192.168.5.3 to 192.168.11.7

добавит в набор входящих фильтров запрещающий фильтр, который отбросит все пакеты, приходящие с адресом источника 192.168.5.3 и адресом назначения 192.168.11.7.

Для более полного понимания работы фильтра необходимо ознакомиться с описанием того, как строятся фильтры и механизмом применения фильтров.

Интерфейс

"ipfw" - командный интерфейс к пакетному фильтру ipfirewall

...