После того как конфигурация ядра изменена, его пересборку и инсталляцию можно выполнить командами:

# /usr/sbin/config ВАШЕ_ЯДРО

# cd ../compile/ВАШЕ_ЯДРО

# cd ../../compile/ВАШЕ_ЯДРО

# make depend

# make

# make install

Настройка ipfw и natd при загрузке

Настройки пакетного фильтра, которые выполняются при помощи утлиты ipfw, действительны только до перезагрузки. Для того чтобы сделать их постоянными, необходимо, чтобы фильтрация настраивалась каждый раз при загрузке системы.

Напомним, что конфигурация загрузки системы определяется файлом /etc/rc.conf. В нем описываются переменные, которые сообщают загрузочным скриптам, как они должны себя вести. Для того чтобы повлиять на работу загрузочных скриптов, следует изменять значения переменных, устанавливаемых в этом файле.

При запуске машины главный загрузочный скрипт /etc/rc.conf вызывает скрипт настройки сети /etc/rc.network[2]; он, в свою очередь, вызывает /etc/rc.firewall. Скрипт /etc/rc.firewall выполняет настройку брандмауэра.

В FreeBSD описано несколько типовых конфигураций брандмауэра. Типовая конфигурация выбирается с помощью переменной firewall_type.

n  OPEN – брандмауэр пропускает все пакеты.

n  CLIENT – брандмауэр настроен так, как должен быть настроен стандартный клиентский компьютер. Он разрешает все исходящие соединения, и запрещает все входящие соединения, кроме соединений по 25 порту.

Брандмауэр:

n  пропускает пакеты, которые отправляются хостом ${ip} в локальную сеть {net}:{mask};

n  разрешает все исходящие соединения с хоста;

n  разрешает все входящие соединения на 25 порт;

n  запрещает все остальные входящие TCP-соединения;

n  разрешает прохождение UDP-пакетов по портам DNS (53) и NNTP (123);

n  все остальные пакеты рассматриваются правилом по умолчанию, которое определяется конфигурацией ядра.

n  SIMPLE

 – простеший брандмаэур, защищающий локальную сеть от проникновения из Интернета. Правила фильтрации точно такие же, как и в CLIENT, но:

n  Есть поддержка natd. Выполняется передача IP-пакетов на divert-сокет демона natd при условии, что natd_enable=YES;

n  Выполняется защита от IP-спуфинга. Пакеты, которые имеют адреса, предназначенные для использования внутри локальных сетей 10.x.x.x, 172.16.x.x-172.31.x.x, 192.168.x.x. (RFC 1918), не пропускаются по внешнему интерфейсу. Также удаляются пакеты из внешней сети, которые имеют адрес возврата из сети внутренней.

    Адреса внутренней {inet}:{imask} и внешней {onet}:{omask} сети, а также адреса внутреннего ${iif} и внешнего ${oif} интерфейсов указываются в файле /etc/rc.firewall. Значения ${ip}, ${net} и ${mask} следует вручную устанавливать в файле /etc/rc.firewall.