home *** CD-ROM | disk | FTP | other *** search

---

/ OS/2 Shareware BBS: 35 Internet / 35-Internet.zip / sfire.zip / install.txt

< prev

next >

Wrap

Text File  |  1999-03-04  |  15KB  |  411 lines

---

1.  
2.  
3.  
4.  
5.  
6.  
7.                              SafeFire Firewall
8.  
9.                                 Version 1.0
10.  
11.                    Installation and Configuration guide.
12.  
13.  
14.                Copyright (C) 1999, Link Guard Solutions Ltd.
15.  
16.  
17.  
18. ____________________________________________________________________________
19.  
20. Contents
21. ____________________________________________________________________________
22.  
23.  
24.     0. Before installing
25.     1. Introduction
26.     2. Installation
27.     3. Uninstallation
28.     4. Configuration
29.     5. SFIRE.CFG description
30.  
31.  
32. ____________________________________________________________________________
33.  
34. 0. Before you begin
35. ____________________________________________________________________________
36.  
37.  
38.     WARNING: SafeFire Installation utility makes changes in PROTOCOL.INI.
39.              After this changes Adapter and Protocol Services configuration
40.              utility is unable to utilize this file.
41.  
42.              If you need to make changes in your adapter and protocol
43.              configuration, run SETUP.EXE coming with SafeFire and choose
44.  
45.                 "Uninstall from system files"
46.  
47.              option and press OK. Then run Adapter and Protocol Services
48.              and do desired changes. When changes will be done, run
49.              SETUP.EXE again and choose
50.  
51.                 "Update system files only"
52.  
53.              option to return back settings required for SafeFire.
54.  
55.  
56. ____________________________________________________________________________
57.  
58. 1. Introduction
59. ____________________________________________________________________________
60.  
61.  
62.     SafeFire Firewall is a Network Address Translation / Firewall utility
63.     for OS/2. It is designed to utilize the power and flexibility  of OS/2
64.     operating system: SafeFire is pure 32 bit, highly multithreaded
65.     application.
66.  
67.     The Network Address Translation (NAT) feature allows to connect network
68.     to Internet using only one real IP address regardless from a number of
69.     PC's in an internal network and allow PC's from an internal network
70.     access almost all Internet services transparently, as if these PC's
71.     would be connected to Internet directly.
72.  
73.     Another advantage of using NAT is that all packets go to and from
74.     internal network is checked for correctness and translated so it is
75.     impossible to access PC's in the internal net without special and
76.     controlled actions (see below description of a Port Mapper feature) and
77.     therefore an internal net is protected from external attacks even
78.     without any additional actions.
79.  
80.     Packet Filter feature supported by SafeFire allows system administrator
81.     to limit access of users from internal net to Internet services and
82.     external access from Internet to PC where SafeFire is running.
83.  
84.     Port Mapping feature allows system administrators to move services
85.     accessible from Internet behind firewall while retaining controlled
86.     access to this services.
87.  
88.     Run-time configuration of Packet Filter and monitoring of statistics
89.     are provided by various parts of SafeFire. It is possible using simple
90.     in use command line utility.
91.  
92.     To achieve a maximum performance and retain a minimal dependence from a
93.     LAN  adapter it uses low level access to adapter through the NDIS
94.     interface and a helper driver. This allows SafeFire use any Ethernet
95.     LAN adapters with available MAC NDIS drivers for OS/2.
96.  
97.  
98. ____________________________________________________________________________
99.  
100. 2. Installation
101. ____________________________________________________________________________
102.  
103.  
104.     SafeFire can be installed in two types of environment.
105.  
106.     ■ One LAN adapter used for connection to ISP and local PC's
107.     ■ One LAN adapter used for connection to ISP and other LAN adapter
108.       is used for connection to local PC's
109.  
110.     This cases schematically presented below:
111.  
112.                              PC with SafeFire
113.         Internal net            ┌────┐
114.     ┌──┐ ┌──┐ ┌──┐      ┌──┐    ├────┤      HUB
115.     ├──┤ ├──┤ ├──┤      ├──┤    │    │     ┌────┐
116.     │  │ │  │ │  │      │  │    │    │   ┌─┤    ├─┐
117.     └┬─┘ └┬─┘ └┬─┘      └┬─┘    └─┬──┘   ├─┤    │ │
118.      └────┴────┴────...──┴────────┴──────┘ └────┘ └──>  ISP
119.  
120.                 One LAN adapter configuration
121.  
122.  
123.  
124.                                       PC with SafeFire
125.         Internal net                      ┌────┐
126.     ┌──┐ ┌──┐ ┌──┐      ┌──┐     HUB      ├────┤
127.     ├──┤ ├──┤ ├──┤      ├──┤    ┌────┐    │    │
128.     │  │ │  │ │  │      │  │  ┌─┤    ├─┐  │    │
129.     └┬─┘ └┬─┘ └┬─┘      └┬─┘  ├─┤    │ │  └┬──┬┘
130.      └────┴────┴────...──┴────┘ └────┘ └───┘  └──────>  ISP
131.  
132.                 Two LAN adapters configuration
133.  
134.  
135.     SafeFire relies on a correct configuration of a TCP/IP stack of the PC
136.     where it is installed.
137.  
138.     In first case IP address assigned by ISP (i.e. real IP address) should
139.     be assigned as a main IP address of an interface and an IP address in
140.     the internal network should be assigned as an alias.
141.  
142.     Second case does not have such a limitation.
143.  
144.     In both cases IP forwarding at PC where SafeFire is installed should be
145.     turned on.
146.  
147.     Client PC's should be configured so as if they connected directly to
148.     Internet and have assigned PC with SafeFire installed as a default
149.     router. You should provide correct DNS settings for this PC's. This is
150.     highly recommended to set DNS server address to the same as for gateway
151.     PC.
152.  
153.  
154.     Installation process is very simple:
155.  
156.     o extract SafeFire package in temporary directory
157.  
158.     o run INSTALL.EXE
159.  
160.     o Choose directory where SafeFire will be installed
161.  
162.     o Choose a LAN interface connected to an external network
163.       from the list of available interfaces
164.  
165.     o Press OK button
166.       Installer will make  appropriate changes in CONFIG.SYS and
167.       PROTOCOL.INI and will create backup copies of these files.
168.  
169.     After reboot SafeFire can be lunched either by double clicking on the
170.     SafeFire icon in the SafeFire folder or from a command line:
171.  
172.         c:\SFire\bin>sfire.exe
173.  
174.  
175. ____________________________________________________________________________
176.  
177. 3. Uninstallation
178. ____________________________________________________________________________
179.  
180.  
181.     Uninstallation process is simple too:
182.  
183.     o Run SETUP.EXE located in the \BIN sub directory of the SafeFire
184.       installation directory from a command line or by double clicking at a
185.       "Install/Uninstall" icon in the SafeFire folder.
186.  
187.     o Choose the "Uninstall and remove program files" action
188.  
189.     o Press OK button
190.  
191.     The installer will make appropriate changes in CONFIG.SYS and
192.     PROTOCOL.INI and will create backup copies of these files. Also the
193.     installer will remove files coming in SafeFire package, program objects
194.     and a folder from the desktop. Your own configuration files will be
195.     preserved.  Empty directories and SETUP.EXE should be deleted manually.
196.  
197.     After reboot the SafeFire NDIS helper driver will be removed from
198.     memory and an uninstallation process will be done completely.
199.  
200.  
201. ____________________________________________________________________________
202.  
203. 4. Configuration
204. ____________________________________________________________________________
205.  
206.  
207.     Configuration of SafeFire is done by editing a SFIRE.CFG configuration
208.     file.
209.  
210.     SafeFire is coming with a sample configuration file called SFIRE.SMP.
211.     Copy it to SFIRE.CFG and change to reflect your needs.
212.  
213.     NOTE: For editing SFIRE.CFG use an editor which retain an ASCII format
214.           of this file, for example OS/2 System Editor (E.EXE).
215.  
216.     If no SFIRE.CFG is provided then SafeFire will use default settings.
217.     See chapter '5. SFIRE.CFG description' where default settings is
218.     described.
219.  
220.  
221. ____________________________________________________________________________
222.  
223. 5. SFIRE.CFG description
224. ____________________________________________________________________________
225.  
226.  
227.     SFIRE.CFG is a main configuration file of the SafeFire.
228.  
229.     SFIRE.CFG is split into sections, each section contains variables.
230.  
231.     Following sections are used by SafeFire:
232.  
233.         [nat]       - Network Address Translation section
234.         [ident]     - IDENT server section
235.         [remote]    - Remote control section
236.         [portmap]   - Port Mapping section
237.         [filter]    - Packet Filter section
238.         [key]       - License key section
239.  
240.  
241.     Each section can defines variables. If a value of the variable  is not
242.     set in SFIRE.CFG the default value is used.
243.  
244.     Description of variables in each section follows:
245.  
246.         o Section [nat]
247.  
248.             ■ enable
249.  
250.                 possible values:  yes no
251.  
252.                 description    :  This variable enables or disables Network
253.                                   Address Translation
254.  
255.                 sample         :  enable = yes
256.  
257.             ■ defragment
258.  
259.                 possible values:  yes no
260.  
261.                 description    :  This variable enables or disables
262.                                   processing of packet fragments. If this
263.                                   option is enabled then fragments will be
264.                                   saved and then correctly translated when
265.                                   header fragment will be available.
266.  
267.                 sample         :  defragment = yes
268.  
269.             ■ forward_ignored
270.  
271.                 possible values:  yes no
272.  
273.                 description    :  If this option is enabled then packets
274.                                   ignored by NAT will be forwarded to
275.                                   internal net without translation.
276.                                   Otherwise such packets are dropped. This
277.                                   option does not affect packet filter
278.                                   checks. I.e. if the packet filter is
279.                                   enabled then these packets will be
280.                                   checked by packet filter.
281.  
282.                 sample         :  forward_ignored = yes
283.  
284.             ■ private_net
285.  
286.                 possible values:  yes no
287.  
288.                 description    :  If this option is enabled then NAT will
289.                                   limit set of packets coming from an
290.                                   internal net to private address ranges as
291.                                   described in RFC1918:
292.  
293.                                   Class A: from 10.0.0.0    to 10.255.255.255
294.                                   Class B: from 172.16.0.0  to 172.31.255.255
295.                                   Class C: from 192.168.0.0 to 192.168.255.255
296.  
297.                 sample         :  private_net = no
298.  
299.         o Section [ident]
300.  
301.             ■ enable
302.  
303.                 possible values:  yes no
304.  
305.                 description    :  This option enables or disables a
306.                                   built-in IDENT protocol server. Keeping
307.                                   this server enabled is important for full
308.                                   IRC clients support because most IRC
309.                                   servers requires it.
310.  
311.                 sample         :  enable = yes
312.  
313.             ■ user
314.  
315.                 description    :  This option set variable part of the
316.                                   IDENT server answer response.
317.  
318.                 sample         :  user = os2user
319.  
320.         o Section [portmap]
321.  
322.             ■ rule
323.                 description    :  Each occurrence of this variable defines
324.                                   a rule for the port mapping feature. Each
325.                                   rule consist of two pairs of values
326.                                   delimited by a comma. Each pair of
327.                                   consist of an address and a port number
328.                                   delimited by a colon. First pair of
329.                                   address:port determines a point where
330.                                   incoming connections going and second
331.                                   pair determines a point where this
332.                                   connections will be redirected. You can
333.                                   use 0 instead of first address. In this
334.                                   case an IP address of the LAN interface
335.                                   used by SafeFire will be assumed.
336.  
337.                 sample         :  rule = 0:80,10.0.1.1:8080
338.  
339.                                   Connections going to the port 80 (WWW) of
340.                                   the LAN interface utilized by SafeFire
341.                                   will be redirected to the port 8080 of
342.                                   the host 10.0.1.0 in an internal net.
343.  
344.         o Section [filter]
345.  
346.             ■ enable
347.  
348.                 possible values:  yes no
349.  
350.                 description    :  This variable enables or disables a
351.                                   packet filter feature.
352.  
353.                 sample         :  enable = yes
354.  
355.             ■ default_policy
356.  
357.                 possible values:  accept reject
358.  
359.                 description    :  This variable set a default policy of the
360.                                   packet filter. If this variable is set to
361.                                   'accept' then packets which does not
362.                                   match any rule in the packet filter rules
363.                                   database will be accepted. Otherwise it
364.                                   will be rejected. For more details refer
365.                                   to FILTER.TXT.
366.  
367.                 sample         :  default_policy = reject
368.  
369.             ■ rule
370.  
371.                 possible values:  yes no
372.  
373.                 description    :  Each occurrence of this variable defines
374.                                   one rule for the packet filter. A rule
375.                                   syntax described in an appropriate
376.                                   chapter of FILTER.TXT.
377.  
378.                 sample         :  rule = allow icmp from any to 192.168.1.0/24
379.  
380.         o Section [key]
381.  
382.             ■ name
383.             ■ key
384.  
385.             These two variables are used by license key.
386.  
387.  
388.  
389.     Default settings are listed below:
390.  
391.         o Section [nat]
392.  
393.             enable          = yes
394.             defragment      = yes
395.             private_net     = yes
396.             forward_ignored = no
397.  
398.         o Section [ident]
399.  
400.             enable          = yes
401.             user            = os2user
402.  
403.         o Section [filter]
404.  
405.             enable          = no
406.             default_policy  = reject
407.  
408. ____________________________________________________________________________
409. ____________________________________________________________________________
410.  
411.