home *** CD-ROM | disk | FTP | other *** search
/ Turnbull China Bikeride / Turnbull China Bikeride - Disc 2.iso / BARNET / FREENET / HUGHES / FREENET1 / !FreeNet / Docs / Firewalls < prev    next >
Text File  |  1996-02-18  |  4KB  |  108 lines
  1.                 Firewalls using the FreeNet TCP/IP Stack
  2.  
  3.                           (C) Tom Hughes 1996
  4.  
  5. 0. Copyright
  6.  
  7.   The FreeNet module and application and the tools and documentation
  8.   that go with them are all copyright. They are however released as
  9.   freeware subject to certain terms and conditions. These are described
  10.   in the file named 'Licence' which should have accompanied this
  11.   document.
  12.  
  13. 1. Overview
  14.  
  15.   The firewall facilities in FreeNet allow you to control who can
  16.   access systems running on your machine or on other machines that
  17.   are the FreeNet system is acting as a router for.
  18.  
  19.   They also allow a FreeNet machine to masquerade the connections
  20.   of other machines which are routed via it - that is to say it can
  21.   rewrite packet headers so that packets passed on to other systems
  22.   look like they came from the FreeNet system, and inbound packets
  23.   to the FreeNet system are (if necessary) passed on to the real
  24.   destination.
  25.  
  26. 2. Enabling the Firewalls
  27.  
  28.   The first step that you need to take to enable firewall and/or
  29.   masquerading is to set the 'ip firewall' option to on, either
  30.   in the configuration file or using netconf - see the 'Tuning'
  31.   file in this directory for more details.
  32.  
  33.   If you wish to use masqeruading you will also need to set a
  34.   second option (ip masquerading) to on in the same way - note
  35.   that the firewall must also be enabled for masquerading to work.
  36.  
  37. 3. Configuring the Firewalls
  38.  
  39.   There are two firewalls available - the blocking firewall, which
  40.   acts on all packets sent/received by the system, and the forwarding
  41.   firewall which only acts on those packets being forwarded to other
  42.   systems.
  43.  
  44.   There are also three possible actions that a firewall can take
  45.   with a packet - it can accept it, allowing it to pass; it can
  46.   reject it, throwing it away and sending an error message to the
  47.   originating system; or it can deny it, dropping it silently.
  48.  
  49.   By default, both firewalls allow all packets to pass - this can
  50.   be changed by using the ipfw command, as follows:
  51.  
  52.       ipfw policy <firewall> <action>
  53.  
  54.   Where <firewall> is either 'blocking' or 'forwarding', and <action>
  55.   is one of 'accept', 'deny' or 'reject'.
  56.  
  57.   This default policy can be overridden by adding specific rules
  58.   to the firewall for particular source/destination addresses:
  59.  
  60.       ipfw add <firewall> <action> <type> [iface <interface>]
  61.                from <address>[/<bits>] [<port>[:<port>]]
  62.                to <address>[/<bits>] [<port>[:<port>]]
  63.  
  64.   Where <type> is one of 'all', 'icmp', 'udp' or 'tcp'. Note that
  65.   a port number or port number range may only be given for udp and
  66.   tcp firewalls.
  67.  
  68.   If an address is not qualified with a significant length in bits
  69.   then only that exact address will be matched. An address of 'default'
  70.   may be specified to match any address.
  71.  
  72.   The firewall list is always scanned in the order that entries were
  73.   added until a match is found, so the most specific entries should 
  74.   always be added first. If you make a mistake and need to start
  75.   again, you can remove all the entries as follows:
  76.  
  77.       ipfw flush <firewall>
  78.  
  79.   The list of entries which make up a firewall can be seen by using
  80.   the following command:
  81.  
  82.       ipfw list <firewall>
  83.  
  84.   Any packets which are blocked by either firewall will be logged
  85.   in the log file as warnings - set the 'log level' option to be
  86.   'info' or 'warning' to see them.
  87.  
  88. 4. Configuring Masquerading
  89.  
  90.   Masquerading relies on the forwarding firewall to work - entries
  91.   are created in the forwarding firewall with a special masquerading
  92.   flag set by using the following command:
  93.  
  94.       ipfw add masquerade <type> [iface <interface>]
  95.                from <address>[/<bits>] [<port>[:<port>]]
  96.                to <address>[/<bits>] [<port>[:<port>]]
  97.  
  98.   Any packet being forwarded by FreeNet which matches one of these
  99.   entries in the firewall will be masqueraded so that it appears
  100.   to come from the FreeNet system, and replies will be forwarded
  101.   back to the real originator of the packets.
  102.  
  103.   Because masquerading uses the forwarding firewall, listing that
  104.   firewall will list the masquerade entries, and flushing it will
  105.   delete them.
  106.  
  107. $Id: Firewalls,v 1.1.2.2 1996/02/18 23:29:19 tom Exp $
  108.