Bir senaryo seçiyorum ve başlıyorum:

Diyelim ki, sisteminizde verdiğiniz servislerin listesi aşağıdaki gibi olsun:

Web Server : 1.2.3.4:80
Mail Server : 1.2.3.5:25,110,143
LAN IP Segmentimiz: 10.0.0.0/24 (Yani 10.0.0.0:255.255.255.0)
WAN IP Segmentimiz: 1.2.3.0/24 (Yani 1.2.3.0:255.255.255.0)
Outside Ethernet Kartımız: DeviceNode=fxp0 ip/mask=1.2.3.3/24
Inside Ethernet Kartımız: DeviceNode=fxp1 ip/mask=10.0.0.1/24

Yazmamız gereken kuralların bir analizini yapalım
1) Statefull (Dinamik) kurallar kontrol edilmelidir.
2) Firewall’u hızlandırmak için ESTABLISHED bağlantılara (yani daha önceden başlangıcı yapılmış ve henüz tamamlanmamış bağlantılar) doğrudan izin vermek.
3) Mail ve Web Sunucumuza gelen bağlantı kurma (SYN) isteklerinin kabulü ve bağlantının devamı için dinamik kural yazılması için tabloya eklenmelidir.
4) fxp0 (yani Outside) ethernetinden gelen ve hedef ip adresi 10.0.0.0/24 networkunde olmayan tüm paketler yabancı paketlerdir. Deny edilmelidir.
5) fxp1 (yani Inside) ethernetinden gelen ve hedefi internet olan bağlantı kurma (SYN) isteklerinin kabulü ve bağlantının devamı için dinamik kural yazılması için tabloya eklenmelidir.
6) Geriye kalan tüm paketler Deny edilmelidir.

Yapılacak işlemlere karar verdikten sonra sıra kuralları yazmaya geldi.
ipfw add check-state
ipfw add allow all from any to any established
ipfw add allow tcp from any to 1.2.3.4 80 setup keep-state
ipfw add allow tcp from any to 1.2.3.5 25,110,143 setup keep-state
ipfw add deny tcp from any to not 10.0.0.0/24 in
ipfw add allow all from any to any out via fxp1 keep-state

Özkan KIRIK
FreeBSD SysAdmin