นี่คือคำสั่ง fwb_pf ที่สามารถเรียกใช้ในผู้ให้บริการโฮสติ้งฟรีของ OnWorks โดยใช้หนึ่งในเวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
fwb_pf - คอมไพเลอร์นโยบายสำหรับตัวกรองแพ็กเก็ต OpenBSD "pf"
เรื่องย่อ
fwb_pf [-vVx] [-NS วดีร์] [-หรือ เอาท์พุท.fw] [-ผม] -f data_file.xml object_name
DESCRIPTION
fwb_pf เป็นส่วนประกอบคอมไพเลอร์นโยบายไฟร์วอลล์ของ Firewall Builder (ดู fwbuilder(พ.ศ. 1)).
คอมไพเลอร์นี้สร้างโค้ดสำหรับ OpenBSD Packet Filter (pf) คอมไพเลอร์อ่านวัตถุ
คำจำกัดความและคำอธิบายไฟร์วอลล์จากไฟล์ข้อมูลที่ระบุด้วยตัวเลือก "-f" และ
สร้างไฟล์การกำหนดค่า pf และสคริปต์การเปิดใช้งานไฟร์วอลล์
ไฟล์ที่สร้างทั้งหมดมีชื่อที่ขึ้นต้นด้วยชื่อของอ็อบเจ็กต์ไฟร์วอลล์ ไฟร์วอลล์
สคริปต์การเปิดใช้งานมีนามสกุล ".fw" และเป็นเชลล์สคริปต์อย่างง่ายที่ล้างข้อมูลปัจจุบัน
นโยบาย โหลดตัวกรองใหม่และกฎ nat แล้วเปิดใช้งาน pf ชื่อไฟล์คอนฟิกูเรชัน PF
เริ่มต้นด้วยชื่อของอ็อบเจ็กต์ไฟร์วอลล์ บวกด้วย "-pf.conf" ชื่อไฟล์การกำหนดค่า NAT
เริ่มต้นด้วยชื่อของอ็อบเจ็กต์ไฟร์วอลล์ บวกกับ "-nat.conf" ตัวอย่างเช่น if
ออบเจ็กต์ไฟร์วอลล์มีชื่อ "myfirewall" จากนั้นคอมไพเลอร์จะสร้างไฟล์สามไฟล์:
"myfirewall.fw", "myfirewall-pf.conf", "myfirewall-nat.conf"
ต้องระบุไฟล์ข้อมูลและชื่อของอ็อบเจ็กต์ไฟร์วอลล์ในบรรทัดคำสั่ง
พารามิเตอร์บรรทัดคำสั่งอื่นๆ เป็นทางเลือก
OPTIONS
-f ไฟล์
ระบุชื่อไฟล์ข้อมูลที่จะประมวลผล
-o เอาท์พุท fw
ระบุชื่อไฟล์เอาต์พุต
-d wdir
ระบุไดเร็กทอรีการทำงาน คอมไพเลอร์สร้างสคริปต์การเปิดใช้งานไฟร์วอลล์และPF
ไฟล์คอนฟิกูเรชันในไดเร็กทอรีนี้ หากไม่มีพารามิเตอร์นี้ทั้งหมด
ไฟล์จะถูกวางไว้ในไดเร็กทอรีการทำงานปัจจุบัน
-v Be verbose: คอมไพเลอร์พิมพ์ข้อความวินิจฉัยเมื่อทำงาน
-V พิมพ์หมายเลขเวอร์ชันแล้วออก
-i เมื่อมีตัวเลือกนี้ อาร์กิวเมนต์สุดท้ายในบรรทัดคำสั่งควรจะเป็น
เป็นรหัสอ็อบเจ็กต์ไฟร์วอลล์แทนที่จะเป็นชื่อ
-x สร้างข้อมูลการดีบักขณะทำงาน ตัวเลือกนี้มีไว้สำหรับการดีบัก
เท่านั้นและอาจสร้างข้อความที่คลุมเครือจำนวนมาก
หมายเหตุ
รองรับ PF ในเวอร์ชัน 1.0.1 ของ Firewall Builder
คุณสมบัติที่รองรับ:
o ทั้งไฟล์ pf.conf และ nat.conf ถูกสร้างขึ้น
o การปฏิเสธนโยบายและกฎ NAT
o จัดกลุ่มใน "จาก", "ถึง" และพอร์ตโดยใช้ไวยากรณ์ '{' '}'
o หากทำเครื่องหมายที่ช่อง "Scrub" ในกล่องโต้ตอบตัวเลือกกฎ และการกระทำของกฎคือ
ยอมรับ คอมไพเลอร์สร้างกฎที่เหมือนกัน (เกือบ) สองกฎ: อันดับแรกด้วยการกระทำ
'ขัด' และวินาทีด้วยการกระทำ 'ผ่านอย่างรวดเร็ว'
o การตรวจสอบแบบเก็บสถานะในแต่ละกฎสามารถปิดได้ในกล่องโต้ตอบตัวเลือกกฎ โดย
คอมไพเลอร์เริ่มต้นเพิ่ม "รักษาสถานะ" หรือ "ปรับสถานะ" ให้กับแต่ละกฎด้วยการกระทำ
'ผ่าน'
o กล่องโต้ตอบตัวเลือกกฎมีตัวเลือกของการตอบกลับ icmp หรือ tcp สำหรับกฎด้วย
การกระทำ "ปฏิเสธ"
o คอมไพเลอร์เพิ่มแฟล็ก "allow-opts" หากจำเป็นต้องจับคู่กับตัวเลือก ip
o คอมไพเลอร์สามารถสร้างกฎที่ตรงกันบนธง TCP ได้
o คอมไพเลอร์สามารถสร้างสคริปต์เพิ่มนามแฝง ip สำหรับกฎ NAT โดยใช้ที่อยู่ที่
ไม่ได้อยู่ในส่วนต่อประสานใด ๆ ของไฟร์วอลล์
o คอมไพเลอร์จะเพิ่มกฎ "บล็อกด่วนทั้งหมด" ที่ด้านล่างสุดของสคริปต์เสมอถึง
ตรวจสอบให้แน่ใจว่านโยบาย "บล็อกทั้งหมดโดยค่าเริ่มต้น" แม้ว่านโยบายจะว่างเปล่า
o ช่วงที่อยู่ในนโยบายและ NAT
คุณสมบัติที่ไม่รองรับ (ยัง)
o บริการที่กำหนดเอง
สิ่งที่จะไม่ได้รับการสนับสนุน (อย่างน้อยก็ไม่ใช่ในเร็ว ๆ นี้)
o การกำหนดเส้นทางนโยบาย
URL
โฮมเพจ Firewall Builder อยู่ที่ URL ต่อไปนี้: http://www.fwbuilder.org/
ใช้ fwb_pf ออนไลน์โดยใช้บริการ onworks.net