30.3. Tűzfalak

A FreeBSD alaprendszerébe három különböző tűzfalat építettek be, melyek a következők: az IPFILTER (másik nevén IPF), az IPFIREWALL (más néven IPFW) és az OpenBSD csomagszűrője (Packet Filter, azaz PF). A forgalom szabályozására (vagyis alapvetően a sávszélesség kihasználtságának vezérlésére) a FreeBSD két beépített csomagot tartalmaz: ez az altq(4) és a dummynet(4). Általában a Dummynet az IPFW, míg az ALTQ a PF partnere. Az IPFILTER esetében maga az IPFILTER végzi a címfordítást és a szűrést, a sávszélességet pedig az IPFW a dummynet(4) vagy a PF az ALTQ segítségével. Az IPFW és a PF szabályokkal rendelkezik a rendszerünkbe érkező vagy onnan távozó csomagokról, habár megoldásaik teljesen máshogy működnek és a szabályok megadási módja is eltér.

A FreeBSD azért tartalmaz egyszerre ennyiféle tűzfalat, mert az emberek elvárásai és igényei eltérnek. Egyikük sem tekinthető a legjobbnak.

A szerző egyébként az IPFILTER megoldását részesíti előnyben, mivel egy hálózati címfordítást alkalmazó környezetben sokkal könnyebb vele megfogalmazni az állapottartó szabályokat, valamint tartalmaz egy beépített FTP proxyt is, amivel így a kimenő FTP kapcsolatok beállítása még tovább egyszerűsödik.

Mivel az összes tűzfal a csomagok fejlécének bizonyos mezőinek alapján dolgozik, ezért a tűzfal szabályrendszerét megalkotó egyénnek teljesen tisztában kell lennie a TCP/IP működésével, továbbá azzal, hogy ezekben a mezőkben milyen értékek szerepelhetnek és ezeket hogyan használják egy átlagos kapcsolat alatt. Ebben a témában a http://www.ipprimer.com/overview.cfm címen találhatunk egy remek ismertetőt (angolul).

Ha kérdése van a FreeBSD-vel kapcsolatban, a következő címre írhat (angolul): <questions@FreeBSD.org>.

Ha ezzel a dokumentummal kapcsolatban van kérdése, kérjük erre a címre írjon: <gabor@FreeBSD.org>.