by : budsz ( budsz@indofreebsd.or.id ) IPF Firewall also known as IPFilter , is a free and open-source firewall software package that p...
by : budsz ( budsz@indofreebsd.or.id )
IPF Firewall
also known as IPFilter, is a free and open-source firewall software package that provides firewall services and network address translation (NAT) for many Unix-like operating systems. It was developed by Darren Reed and is currently maintained by the OpenBSD project.
IPFilter is a stateful firewall
which means that it keeps track of the state of network connections. This allows it to make more informed decisions about which packets to allow or deny. IPFilter also supports a wide range of features, including:
- Packet filtering
- Network address translation (NAT)
- Port forwarding
- Virtual private networks (VPNs)
- Stateful inspection
- Denial-of-service (DoS) protection
IPFilter is a powerful tool
that can be used to protect a computer from unauthorized access. It is a good choice for both home users and businesses.
Here are some of the benefits of using IPFilter:
- Free and open-source
- Powerful and feature-rich
- Easy to configure
- Well-maintained and supported
Here are some of the drawbacks of using IPFilter:
- Can be complex to learn
- Not as user-friendly as some commercial firewalls
- Not as widely available as some commercial firewalls
Overall, IPFilter is a powerful and versatile firewall software package that is a good choice for both home users and businesses. It is free and open-source, and it is well-maintained and supported. However, it can be complex to learn and is not as user-friendly as some commercial firewalls.
If you are looking for a powerful and feature-rich firewall software package, IPF Firewall is a good option. However, if you are looking for a firewall that is easy to use and has a user-friendly interface, you may want to consider a commercial firewall.
IPFilter is a kernel-mode firewall, which means that it runs in the kernel of the operating system. This gives it more control over network traffic and makes it more efficient than user-mode firewalls. IPFilter uses a rule-based system to control network traffic. Rules are created by specifying the source and destination addresses, ports, and protocols of the traffic that should be allowed or denied.
IPFilter also supports a number of advanced features, including:
Stateful inspection: This feature allows IPFilter to keep track of the state of network connections. This allows it to make more informed decisions about which packets to allow or deny. Denial-of-service (DoS) protection: This feature helps to protect a computer from DoS attacks. Virtual private networks (VPNs): This feature allows users to create secure connections to remote networks. IPFilter is a powerful and versatile firewall software package that is a good choice for both home users and businesses. It is free and open-source, and it is well-maintained and supported. Here are some of the things you can do with IPFilter: Protect your computer from unauthorized access. Control which websites and services your computer can access. Prevent DoS attacks. Create secure connections to remote networks. If you are looking for a powerful and feature-rich firewall software package, IPFilter is a good option. However, if you are looking for a firewall that is easy to use and has a user-friendly interface, you may want to consider a commercial firewall. Here are some of the best practices for using IPFilter: Keep your IPFilter software up to date. Use strong passwords and firewall rules. Monitor your firewall logs for suspicious activity. Back up your firewall configuration regularly.By following these best practices, you can help to keep your computer safe from unauthorized access.
- ipf melihat rule yg dilist secara "berurutan dari atas ke bawah".
misalnya: block in all....(1) pass in all.....(2) Pertama akan dijalankan rule (1), setelah itu rule (2). Jadi otomatis hasilnya rule (2) alias "paket boleh masuk".
- Rule2 yg bertumpuk seperti.
misalnya: block in all....(1) block in all....(2) block in all....(3) block in all....(4) block in all....(5) pass in all.....(6) Rule (1) s/d (4) tidak ada "faedahnya".- Dengan "quick" kita dapat meyederhanakan rule2 kita.
misalnya: block in quick all...(1) pass in all..........(2) Bisa kita artikan rule (1) akan dilihat pertama, selanjutnya ipf melaksanakan ketentuan semua rule tsb sampe selesai baru rule (2).- Penulisan subnet IP yg diperbolehkan adalah 255.255.0.0 atau /16.
misalnya: block in quick from 192.168.0.0/16 to any atau block in quick from 192.168.0.0/255.255.0.0 to any- Kita dapat mengunakan keyword "on" untuk menspesifikan interface yg
misalnya: block in quick on xl0 all atau block in quick on xl0 from 192.168.0.0/16 to any
kita pake.- Kita dapat menentukan juga outgoing paket dng nama keyword "out".
pass out quick on xl0 from 192.168.0.0/16 to any
misalnya:misalnya: block in log quick on xl0 from 192.168.0.0/24 to any
- Keyword "proto" dapat kita gunakan untuk menspesifikan protocol yg
block in log quick on xl0 proto icmp from any to any atau pass in quick on xl0 proto icmp from any to 192.168.0.0/24 \ icmp-type 0
kita pake berikut dengan "tipe" protocolnya. backslash (\) dapat kita
pake untuk menyambung perintah pada line berikutnya.
misalnya:- Pengunaan keyword "port" lebih menitik beratkan kepada port yg dilalui.
block in log quick on tun0 proto tcp from any to \ 192.168.0.0/24 port = 22
misalnya:- Untuk membangun rule2 yg sangat kuat ada baiknya kita kompile kernel
block in all block out all
dengan "default deny all", shg kita list rule yg kita perlu (This my
fav). Kita mulai dengan rule "deny" kayak gini.
misalnya:- Nah baru kita listing rule2 yg diperbolehkan.
pass in quick on xl0 proto tcp from any to 192.168.0.1/24 \ port = 80 Arti rule tsb adalah membolehkan paket yg masuk di ethernet xl0 dengan jenis protocol tcp dari mana saja ke 192.168.0.1/24 lewat port 80 (www). Jika ada respon dari 192.168.0.1/24 akan tetep ditolak juga, maka agar terjadi komunikasi (tidak pincang) maka kita listing juga rule sebaliknya misalnya: pass out quick on tun0 proto tcp from 20.20.20.1/32 \ port = 80 to any
misalnya:- Ada keyword yg sangat menarik disini yaitu "keep-state", jika rule
misalnya: pass out quick on xl0 proto tcp from 192.168.0.1/24 to any \ keep state Artinya adalah mengijinkan paket yg keluar di xl0 dengan protocol tcp dari 192.168.0.1/24 ke mana saja, dengan "keep-state" ini rule yg bersangkutan langsung di apply ke "state table" dan ipf tidak akan ikut campur (nggak akan ngulang ngecheck validasi dulu ini). ini terjadi pas pertama kali "SYN" paket menyentuh (hand shake) server kita. Sangat delematis kita menggunakan "keep-state", coba kita pikirkan baik2 akan muncul pertanyaan dibenak kita "Oh..kalo gitu ipf hanya mengenal "SYN" yg dulu dung, dengan kata lain "SYN" pas entry ke state table pertama kali..?", yups memang benar meski ipf akan close (idle) selama 60 detik (1 menit) tapi bukan "refresh". dengan kata lain paket "SYN"-nya basi. ini pun berlaku untuk koneksi TCP selanjutnya misalnya yg lainya (FIN, XMAS etc) setelah handshake terjadi.
kita dibubuhi keep-state ini berati rule tersebut dah masuk ke state
table ipf, sehingga ipf "tidak perlu" lagi mengecek ulang validasi
rule tersebut alias jika terjadi handshake di kemudian hari ipf akan
langsung mengijinkan masuk.- Untuk masalah diatas tentunya ada solusi tersendiri. dengan penambahan
pass in quick on tun0 proto tcp from any to 192.168.0.1/24 \ port = 23 flags S keep state Artinya rule diatas akan hanya melihat flags TCP "SYN" saja untuk flags lainya (FIN, XMAS etc) tentunya akan "keblock". Berikut 6 flags TCP: +----------------------------------+--------------+ |Singkatan dari koneksi TCP/IP | Flags | +----------------------------------+--------------+ | SYN | S | | URG | U | | PUSH | P | | FIN | F | | RST | R | | ACK | A | +----------------------------------+--------------+ Jika kita menulis "flags S" bisa kita tulis "S/SUPFRA". dengan kata lain paket "hanya" cocok flags "S". misalnya: Jika kita tulis flags S/SA artinya match dengan "S" dan flags "UPFR"...(1) Jika kita tulis flags S/SAUP artinya match dengan "S" dan flags "FR".....(2)
keyword "flags" alias menspesifikan flags untuk TCP.
misalnya:- Dalam perjalan paket tersebut tidak jarang "terpecah-pecah (fragmention)"
pass in quick on xl0 proto tcp from any to 192.168.0.1/32 \ port = 23 flags S keep state keep frags
Untuk mengatisipasi tentunya ipf telah menyediakan, yaitu dengan
keyword "keep frags" (tanpa tanda '-').
misalnya:- Keyword "return-rst" berguna untuk merespon jika service tidak tersedia.
block return-rst in log proto tcp from any to 192.168.0.0/24 \ port = 23 Hasilnya untuk rule diatas adalah "connection refused". Ada keyword "return-icmp(jenis_error)". misalnya: block return-icmp(port-unr) in log quick on tun0 proto udp \ from any to 192.168.0.0/24 port = 111 Untuk "jenis_error" kita pake "port-unr" (port unreachable).
"return-rst" hanya berlaku untuk jenis protocol TCP.
misalnya:- Selain respone block paket spt diatas ipf menyediakan keyword
misalnya: block return-icmp-as-dest(port-unr) in log on tun0 proto udp \ from any to 192.168.0.1/24 port = 111
"return-icmp-as-desta".- Jika anda ingin mengatur log, kita bisa gabungkan dengan syslog. ada
misalnya: block in log level auth.info quick on xl0 from 192.168.0.1/24 to any port = 22
keyword "log level".- Jika anda mau mendapatkan informasi log header gunakan keyword "log body"
misalnya: block out quick on xl0 all head 10 ...(1) pass out quick proto tcp from any to 192.168.0.1/24 port = \ 80 flags S keep state group 10 .......(2) Jika paket bukan untuk "xl0", make nggak akan "match" dengan rule (1) dan rule (2) dan sebaliknya jika "match" maka akan dieksekusi rule (2) dan rule2 lainya yg mempunyai keyword "group 10". artinya jika kita mempunyai network yg cukup besar dengan macam2 rule tentunya kita sedikit kewalahan dengan head dan group kita bisa membagi rule tersebut menjadi "tree style". misalnya: block out quick on xl0 all head 1 ...(1a) pass out quick proto tcp from any to 192.168.0.1/24 port = \ 80 flags S keep state group 1 .......(2a) block out quick on xl1 all head 2 ...(1b) pass out quick proto tcp from any to 192.168.0.2/24 port = \ 80 flags S keep state group 2 .......(2b) Jika ada paket dengan cocok dengan rule (xa) make untuk kelompok rule (xb) akan "diabaikan", dan sebaliknya tentunya ini akan menambah efesiensi kerja ipf kita. - Jika kita lakukan traceroute dari mesin luat ke mesin kita secara defautl kita mendapatkan hop2 routing tersebut, ada yg menarik dari ipf ini salah satunya keyword "fastroute", dengan keyword ini kita bisa menyembunyikan informasi2 hop tersebut. misalnya: block in quick on xl0 fastroute proto udp from any to any \ port 33434 >< 33465 Hal ini terjadi karena ada proses penurunan "Time To Live (TTL)" dari paket "Acknowledging (ACK)". catatan: < : Lebih kecil > : Lebih besar = : Sama dengan <= : Lebih kecil sama dengan >= : Lebih besar sama dengan != : Tidak sama dengan <> : Kurang dari X, lebih dari X >< : Lebih besar dari X, kurang dari X
pada proses ini ipf akan memberikan 128 bytes pertama dari paket
- Untuk mempersingkat/efesiensi rule, kita bisa bikin kelas2 nah dengan
mengunakan pasangan keyword "head" dan "group".
es
ReplyDelete