ipfw

ipfw oder ipfirewall ist eine Internet Protocol Firewall des Betriebssystems FreeBSD und auch Bestandteil von Mac OS X.

Architektur

ipfw besteht aus 7 Komponenten:^[1]

• Paketfilter
• Logging
• Network Address Translation
• Traffic-Shaping
• Forwarding
• Bridge
• Stealth

Hinzu kommt eine Benutzerschnittstelle gleichen Namens, die Befehle entgegennimmt.^[2]

Geschichte

ipfw wurde ursprünglich von Daniel Boulet für das Unternehmen Berkeley Software Design Incorporated programmiert. Für FreeBSD programmierte Ugen J. S. Antsilevich die Software neu.^[3] FreeBSD 2.0 war die erste Version mit ipfw. Mit FreeBSD 2.2.8 wurde ipfw um die Komponente dummynet für Traffic-Shaping ergänzt, die Luigi Rizzo programmiert hatte.

Seit FreeBSD 4.0 unterstützt ipfw auch Stateful Packet Inspection.

2002 löste ipfw2 mit neu gestaltetem Kern die erste Generation ab.^[4] In FreeBSD 4.7 war die zweite Generation erstmals enthalten und fasste auch die separaten Benutzerschnittstellen für IPv4 und IPv6 zusammen.

Die Implementierung von Network Address Translation erfolgte 2005.

Seit FreeBSD 6.2 kann ipfw je nach Bedarf beim Booten als Modul geladen werden und muss nur noch für Network Address Translation dauerhaft bei der Kompilierung des Betriebssystemkerns eingebunden werden.

Anwendung

In Grundeinstellung unterbindet ipfw jeglichen Netzwerkkontakt. Die zentrale Konfiguration erfolgt in den Dateien /etc/rc.conf und /etc/rc.firewall. Dort kann ipwf aktiviert und eine grundlegende Konfiguration gewählt oder auf eine Datei mit selbst erstellten Regeln verwiesen werden. Alternativ kann auf ein Skript verwiesen werden, das alle Befehle der Benutzerschnittstelle enthalten kann und dadurch vielfältige Möglichkeiten eröffnet. So können auch Präprozessoren aufgerufen werden, um mittels Programmiersprachen wie C Regeln zu erzeugen.

Trotz der vielfältigen Möglichkeiten kann eine Befehlsfolge für eine komplette Konfiguration übersichtlich sein:

ipfw add allow tcp in 80
ipfw add allow from 192.0.2.0/24 to me
ipfw add allow out
ipfw add deny

Dieses Beispiel erlaubt eingehende Verbindungen auf dem Port 80 für das Hypertext Transfer Protocol, alle eingehenden Verbindungen aus einem bestimmten Bereich von IP-Adressen, sowie alle abgehenden Verbindungen, aber keine anderen Verbindungen.

Die Regeln werden bis zur ersten ohne unzutreffende Bedingung durchlaufen, worauf die betreffende Freigabe oder Ablehnung wirksam wird. Eine Konfiguration kann bis zu 65535 Regeln umfassen. Jede Regel erhält eine Nummer, die manuell oder automatisch gesetzt wird und als Sprungmarke dienen kann.

Portierung auf Linux

Der erste Paketfilter von Linux war eine Portierung von ipfw.^[5] Die ursprüngliche Benutzerschnittstelle wurde später durch ipfwadm ersetzt.^[6] ipfw mit ipfwadm wurde anschließend durch ipchains abgelöst und letztlich durch netfilter mit iptables.

Portierung auf Windows

wipfw ist eine Portierung von ipfw auf Microsoft Windows NT. Seit Ende 2006 unterstützt sie auch unmittelbar 64-Bit-Architekturen. Einstweilen ist allerdings nur die Unterstützung von Windows NT 5 gegeben und die Unterstützung von Windows NT 6.1 experimentell.^[7][8] Traffic-Shaping und das Ändern von Datenpaketen ist in wipfw nicht implementiert.^[9]

Einzelnachweise

1. ↑ IPFW. FreeBSD Handbook. FreeBSD Foundation. Abgerufen am 12. September 2011.
2. ↑ ipfw (4). FreeBSD Foundation. Abgerufen am 12. September 2011.
3. ↑ ipfw (8). FreeBSD Foundation (16. November 1994). Abgerufen am 12. September 2011.
4. ↑ ipfw (8). FreeBSD Foundation (27. Juli 2010). Abgerufen am 12. September 2011.
5. ↑ Die ursprüngliche IP-Firewall (2.0er Kernel). Linux - Wegweiser für Netzwerker. O’Reilly Verlag. Abgerufen am 12. September 2011.
6. ↑ Ipfwadm – Functional overview. X/OS Experts in Open Systems BV. Abgerufen am 12. September 2011.
7. ↑ wipw in windows 2008 r2?. Geeknet (20. Juni 2011). Abgerufen am 12. September 2011.
8. ↑ new release. Geeknet (15. August 2011). Abgerufen am 12. September 2011.
9. ↑ Frequently Asked Questions. Geeknet. Abgerufen am 12. September 2011.

Siehe auch

• pf (Paketfilter)
• IPFilter