La première chose dont vous aurez besoin est de recompiler votre noyau. Si vous avez besoin de plus d'informations sur comment recompiler un noyau, alors le meilleur endroit pour commencer est la section de configuration du noyau du manuel. Vous devez rajouter les options suivantes dans le fichier de configuration de votre noyau:
Intègre au noyau le code de filtrage de paquets.
Envoie les paquets tracés au système de traces.
Limite le nombre de paquets similaires tracés. Cela évite que votre fichier de traces soit submergé de nombreuses entrées répétées. 100 est une valeur raisonnable, mais vous pouvez l'ajuster en fonction de vos besoins.
Autorise le détournement des sockets, cela sera explicité plus tard.
Il y a d'autres éléments optionnels que vous pouvez rajouter dans le noyau pour plus de sécurité. Ils ne sont pas requis pour avoir un filtrage de paquets qui fonctionne, mais il se peut que quelques utilisateurs un peu plus paranoïaques désirent les utiliser.
Cette option ignore les paquets TCP avec les indicateurs SYN et FIN activés. Cela empêche certains utilitaires tel que nmap etc. d'identifier la pile TCP/IP de la machine, mais cela rompt le support des extensions RFC1644. Cela n'est pas recommandé si la machine héberge un serveur web.
Ne pas redémarrer une fois que vous avez recompilé le noyau. Avec un peu de chance, nous n'aurons besoin de redémarrer qu'une fois pour achever l'installation du coupe-feu.
Précédent | Sommaire | Suivant |
Coupe-feu pour connexion par modem avec FreeBSD | Modifier /etc/rc.conf pour charger le coupe-feu |
Ce document, ainsi que d'autres peut être téléchargé sur ftp.FreeBSD.org/pub/FreeBSD/doc/.
Pour toutes questions à propos de FreeBSD, lisez la documentation avant de contacter <questions@FreeBSD.org>.
Pour les questions sur cette documentation, contactez <doc@FreeBSD.org>.