diff --git a/en_US.ISO8859-1/articles/dialup-firewall/article.sgml b/en_US.ISO8859-1/articles/dialup-firewall/article.sgml
index 5b7145b071..cb25f96671 100644
--- a/en_US.ISO8859-1/articles/dialup-firewall/article.sgml
+++ b/en_US.ISO8859-1/articles/dialup-firewall/article.sgml
@@ -1,363 +1,361 @@
%man;
]>
Dialup firewalling with FreeBSD
Marc
Silver
marcs@draenor.org
- $Date: 2001-08-30 11:03:57 $
+ $FreeBSD$
This article documents how to setup a firewall using a PPP
dialup with FreeBSD and IPFW, and specifically with firewalling over
a dialup with a dynamically assigned IP address. This document does
not cover setting up your PPP connection in the first place.
Preface
Dialup Firewalling with FreeBSD
This document covers the process that is required to setup
firewalling with FreeBSD when an IP address is assigned dynamically
by your ISP. While every effort has been made to make this document
as informative and correct as possible, you are welcome to mail your
comments/suggestions to the marcs@draenor.org.
Kernel Options
The first thing you'll need to do is recompile your kernel
If you need more information on how to recompile the kernel,
then the best place to start is the kernel
configuration section in the Handbook. You need to add the
following options into your kernel configuration file:
options IPFIREWALL
Enables the kernel's firewall code.
options IPFIREWALL_VERBOSE
Sends logged packets to the system logger.
options
IPFIREWALL_VERBOSE_LIMIT=100
Limits the number of times a matching entry is logged. This
prevents your log file from filling up with lots of repetitive
entries.
100 is a reasonable number to use, but
you can adjust it based on your requirements.
options IPDIVERT
Enables divert sockets, which will be
shown later.
There are some other OPTIONAL items that you can compile
into the kernel for some added security. These are not required in
order to get firewalling to work, but some more paranoid users may
want to use them.
options TCP_DROP_SYNFIN
This option ignores TCP packets with SYN and FIN. This
prevents tools such as nmap etc from identifying the TCP/IP
stack of the machine, but breaks support for RFC1644
extensions. This is NOT recommended if the machine will be
running a web server.
Don't reboot once you have recompiled the kernel. Hopefully,
we will only need to reboot once to complete the installation of the
firewall.
Changing <filename>/etc/rc.conf</filename> to load the
firewall
We now need to make some changes to
/etc/rc.conf in order to tell it about the
firewall. Simply add the following lines:
firewall_enable="YES"
firewall_script="/etc/firewall/fwrules"
natd_enable="YES"
natd_interface="tun0"
natd_flags="-dynamic"
For more information on the functions of these statements take
a look at /etc/defaults/rc.conf and read
&man.rc.conf.5;
Disable PPP's network address translation
You may already be using PPP's built in network address
translation (NAT). If that is the case then you will have to disable
it, as these examples use &man.natd.8; to do the same.
If you already have a block of entries to
automatically start PPP, it probably looks like this:
ppp_enable="YES"
ppp_mode="auto"
ppp_nat="YES"
ppp_profile="profile"
If so, remove the ppp_nat="YES" line. You will
also need to remove any nat enable yes or
alias enable yes in
/etc/ppp/ppp.conf.
The ruleset for the firewall
We're nearly done now. All that remains now is to define the
firewall rules and then we can reboot and the firewall should be up and
running. I realize that everyone will want something slightly different
when it comes to their rulebase. What I've tried to do is write a
rulebase that suits most dialup users. You can obviously modify it to
your needs by using the following rules as the foundation for
your own rulebase. First, let's start with the basics of closed
firewalling. What you want to do is deny everything by default and then
only open up for the things you really need. Rules should be in the
order of allow first and then deny. The premise is that you add the
rules for your allows, and then everything else is denied. :)
Now, let's make the dir /etc/firewall. Change into the directory and
edit the file fwrules as we specified in
rc.conf. Please note that you can change this
filename to anything you wish. This guide just gives an example of a
filename.
Now, let's look at a sample firewall file, that is commented
nicely.
# Firewall rules
# Written by Marc Silver (marcs@draenor.org)
# http://draenor.org/ipfw
# Freely distributable
# Define the firewall command (as in /etc/rc.firewall) for easy
# reference. Helps to make it easier to read.
fwcmd="/sbin/ipfw"
# Force a flushing of the current rules before we reload.
$fwcmd -f flush
# Divert all packets through the tunnel interface.
$fwcmd add divert natd all from any to any via tun0
# Allow all data from my network card and localhost. Make sure you
# change your network card (mine was fxp0) before you reboot. :)
$fwcmd add allow ip from any to any via lo0
$fwcmd add allow ip from any to any via fxp0
# Allow all connections that I initiate.
$fwcmd add allow tcp from any to any out xmit tun0 setup
# Once connections are made, allow them to stay open.
$fwcmd add allow tcp from any to any via tun0 established
# Everyone on the internet is allowed to connect to the following
# services on the machine. This example shows that people may connect
# to ssh and apache.
$fwcmd add allow tcp from any to any 80 setup
$fwcmd add allow tcp from any to any 22 setup
# This sends a RESET to all ident packets.
$fwcmd add reset log tcp from any to any 113 in recv tun0
# Allow outgoing DNS queries ONLY to the specified servers.
$fwcmd add allow udp from any to x.x.x.x 53 out xmit tun0
# Allow them back in with the answers... :)
$fwcmd add allow udp from x.x.x.x 53 to any in recv tun0
# Allow ICMP (for ping and traceroute to work). You may wish to
# disallow this, but I feel it suits my needs to keep them in.
$fwcmd add 65435 allow icmp from any to any
# Deny all the rest.
$fwcmd add 65435 deny log ip from any to any
You now have a fully functional firewall that will allow on
connections to ports 80 and 22 and will log any other connection
attempts. Now, you should be able to safely reboot and your firewall
should come up fine. If you find this incorrect in anyway or experience
any problems, or have any suggestions to improve this page, please
email me.
Questions
Why are you using natd and ipfw when you could be using
the built in ppp-filters?
I'll have to be honest and say there's no definitive reason
why I use ipfw and natd instead of the built in ppp filters. From
the discussions I've had with people the consensus seems to be
that while ipfw is certainly more powerful and more configurable
than the ppp filters, what it makes up for in functionality it
loses in being easy to customise. One of the reasons I use it is
because I prefer firewalling to be done at a kernel level rather
than by a userland program.
I get messages like limit 100 reached on entry
2800 and after that I never see more denies in my
logs. Is my firewall still working?
This merely means that the maximum logging count for the
rule has been reached. The rule itself is still working,
but it will no longer log until such time as you reset the
logging counters. This can be done by simply prefixing the
ipfw command with the resetlog option.
If I'm using private addresses internally, such as in the
192.168.0.0 range, could I add a command like $fwcmd add
deny all from any to 192.168.0.0:255.255.0.0 via tun0
to the firewall rules to prevent outside attempts to connect to
internal machines?
The simple answer is no. The reason for this is that natd is
doing address translation for anything being
diverted through the tun0 device. As far as it's concerned
incoming packets will speak only to the dynamically assigned IP
address and NOT to the internal network. Note though that you can
add a rule like $fwcmd add deny all from
192.168.0.4:255.255.0.0 to any via tun0 which would
limit a host on your internal network from going out via the
firewall.
There must be something wrong. I followed your instructions
to the letter and now I am locked out.
This tutorial assumes that you are running
userland-ppp, therefore the supplied ruleset
operates on the tun0 interface, which
corresponds to the first connection made with &man.ppp.8; (a.k.a.
user-ppp). Additional connections would use
tun1, tun2 and so
on.
You should also note that &man.pppd.8; uses the
ppp0 interface instead, so if you start the
connection with &man.pppd.8; you must substitute
tun0 for ppp0. A
quick way to edit the firewall rules to reflect this change is shown
below. The original ruleset is backed up as
fwrules_tun0.
&prompt.user; cd /etc/firewall
/etc/firewall&prompt.user; su
Password:
/etc/firewall&prompt.root; mv fwrules fwrules_tun0
/etc/firewall&prompt.root; cat fwrules_tun0 | sed s/tun0/ppp0/g > fwrules
To know whether you are currently using &man.ppp.8; or
&man.pppd.8; you can examine the output of &man.ifconfig.8; once the
connection is up. E.g., for a connection made with &man.pppd.8; you
would see something like this (showing only the relevant lines):
&prompt.user; ifconfig
(skipped...)
ppp0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1524
inet xxx.xxx.xxx.xxx --> xxx.xxx.xxx.xxx netmask 0xff000000
(skipped...)
On the other hand, for a connection made with &man.ppp.8;
(user-ppp) you should see something similar to
this:
&prompt.user; ifconfig
(skipped...)
ppp0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
(skipped...)
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1524
(IPv6 stuff skipped...)
inet xxx.xxx.xxx.xxx --> xxx.xxx.xxx.xxx netmask 0xffffff00
Opened by PID xxxxx
(skipped...)
diff --git a/fr_FR.ISO8859-1/books/fdp-primer/book.sgml b/fr_FR.ISO8859-1/books/fdp-primer/book.sgml
index fc3d3f6e98..b874f4f9b0 100644
--- a/fr_FR.ISO8859-1/books/fdp-primer/book.sgml
+++ b/fr_FR.ISO8859-1/books/fdp-primer/book.sgml
@@ -1,303 +1,302 @@
%man;
%urls;
%bookinfo;
%translators;
%chapters;
%authors;
%mailing-lists;
]>
Introduction au Projet de Documentation de FreeBSD pour les
nouveaux participants
Nik
Clayton
nik@FreeBSD.ORG
1998
1999
Nik Clayton
- $Date: 2001-08-25 21:55:55 $
+ $FreeBSD$
- $Id: book.sgml,v 1.6 2001-08-25 21:55:55 dd Exp $
+ $Id: book.sgml,v 1.7 2001-08-31 18:06:41 dd Exp $
La redistribution et l'utilisation du code source (SGML), et
compilé (HTML, PostScript, etc.), modifiés ou non, sont soumises aux
conditions suivantes :
Le code source (SGML DocBook) distribué doit conserver le
copyright ci-dessus, la présente liste de conditions et
l'avertissement qui la suit, sans modifications, en tête de ce
fichier.
Le code source distribué sous forme compilé (transformation
vers d'autres DTDs, conversion en PDF, PostScript, RTF et autres
formats) doit faire apparaître dans la documentation et/ou les
autres composants distribués, le copyright ci-dessus, la présente
liste de conditions et l'avertissement qui la suit.
CE DOCUMENT EST FOURNI PAR NIK CLAYTON “TEL QUEL” ET
AUCUNE GARANTIE EXPRESSE OU IMPLICITE, Y COMPRIS, MAIS NON
LIMITÉE, GARANTIES IMPLICITES DE COMMERCIABILITÉ ET
D'ADÉQUATION À UN BUT PARTICULIER N'EST DONNÉE.
EN AUCUN CAS NIK CLAYTON NE SAURAIT ÊTRE TENU RESPONSABLE DES
DOMMAGES DIRECTS, INDIRECTS, ACCIDENTELS, SPÉCIAUX,
EXEMPLAIRES OU CONSÉQUENTS (Y COMPRIS, MAIS SANS LIMITATION,
LA FOURNITURE DE BIENS ET SERVICES ANNEXES DÉFAUT
D'UTILISABILITÉ, PERTE DE DONNÉES OU DE PROFITS ;
OU INTERRUPTION DE TRAVAIL) QUELLE QU'EN SOIT LA CAUSE ET SELON
TOUTE DÉFINITION DE RESPONSABILITÉ, SOIT PAR CONTRAT,
RESPONSABILITÉ STRICTE, OU PRÉJUDICE (Y COMPRIS
NÉGLIGENCE OU AUTRES) IMPUTABLES D'UNE FAÇON OU D'UNE
AUTRE À L'UTILISATION DE CE DOCUMENT, MÊME APRES AVOIR
ÉTÉ AVISÉ DE LA POSSIBILITÉ DE TELS
DOMMAGES.
Merci de votre participation au Projet de Documentation de
FreeBSD. Votre contribution est très utile.
Cette introduction décrit tout ce que vous devez savoir pour
commencer à participer au projet de documentation de FreeBSD, des
outils et logiciels que vous utiliserez (indispensables et
facultatifs) à la philosophie sous-jacente au Projet de
Documentation.
Ce document est en cours de rédaction et n'est pas terminé. Les
sections inachevées sont indiquées par un
astérisque - * - qui précède
leur nom.
&trans.a.haby;
Préface
Invites de l'interpréteur de commandes
La table ci-dessous donne les invites par défaut du système pour
un utilisateur normal et pour le super-utilisateur. Elles sont
utilisées dans les exemples pour indiquer quel utilisateur doit
appliquer l'exemple.
Utilisateur
Invite
Utilisateur normal
&prompt.user;
root
&prompt.root;
Conventions Typographiques
La table ci-dessous décrit les conventions typographiques
utilisées dans le présent ouvrage.
Signification
Exemples
Noms de commandes, fichiers et répertoires. Affichage à
l'écran de l'ordinateur.
Modifiez votre fichier
.login.Utilisez
ls -a pour avoir la liste de tous les
fichiers.Vous avez reçu du courrier.
Ce que vous tapez, par opposition à ce que l'ordinateur
affiche.
&prompt.user; su
Password:
Références aux pages de manuel
Utilisez su
1 pour changer de nom
d'utilisateur.
Noms d'utilisateurs et de groupes
Seul root peut le faire.
Mise en valeur
Vous devez le faire.
Variables sur la ligne de commande ; à remplacer par
le nom ou la valeur effectif.
Pour supprimer un fichier, tapez rm
nom_du_fichier.
Variables d'environnement
$HOME est votre répertoire
utilisateur.
Notes, avertissements et exemples
Dans le cours du texte, il peut y avoir des notes, des
avertissements et des exemples.
Les notes apparaissent comme ceci, et contiennent des
informations que vous devriez prendre en considération, parce
qu'elles peuvent avoir une incidence sur ce que vous faites.
Les avertissements apparaissent comme ceci, et vous préviennent
de problèmes potentiels si vous n'appliquez pas ces instructions.
Des dégats peuvent être causés à votre matériel, ou ne pas être
physiques, suppression inopinée de fichiers importants par
exemple.
Un exemple d'exemple
Les exemples apparaissent comme ceci, et sont généralement des
exemples que vous devriez tester ou qui vous montrent quels doivent
être les résultats d'une opération donnée.
Remerciements
Mes remerciements à Sue Blake, Patrick Durusau, Jon Hamilton,
Peter Flynn et Christopher Maden, qui ont pris le temps de lire les
premières versions de ce document et ont apporté de nombreux
commentaires et critiques utiles.
&chap.overview;
&chap.tools;
&chap.sgml-primer;
&chap.sgml-markup;
&chap.stylesheets;
&chap.the-faq;
&chap.the-handbook;
&chap.the-website;
&chap.translations;
&chap.writing-style;
&chap.psgml-mode;
&chap.see-also;
diff --git a/ru_RU.KOI8-R/articles/dialup-firewall/article.sgml b/ru_RU.KOI8-R/articles/dialup-firewall/article.sgml
index 01fd333d10..af26aca223 100644
--- a/ru_RU.KOI8-R/articles/dialup-firewall/article.sgml
+++ b/ru_RU.KOI8-R/articles/dialup-firewall/article.sgml
@@ -1,384 +1,383 @@
%man;
]>
Построение межсетевого экрана на коммутируемом канале связи при
помощи FreeBSD
Marc
Silver
marcs@draenor.org
- $Date: 2001-07-25 13:17:15 $
+ $FreeBSD$
Эта статья описывает, как настроить межсетевой экран при помощи
возможностей PPP по работе на коммутируемом канале связи с FreeBSD и
IPFW, и, в частности, описывается настройка межсетевого экрана при
использовании коммутируемого канала связи с динамически выделяемым
адресом IP. Этот документ не описывает начальную настройку
PPP-соединения.
Введение
Построение межсетевого экрана на коммутируемом канале связи при
помощи FreeBSD
Этот документ предназначен для того, чтобы описать действия,
требуемые для настройки межсетевого экрана при помощи FreeBSD в случае,
когда IP-адрес выделяется динамически вашим провайдером. Хотя
прилагались все усилия для того, чтобы сделать этот документ максимально
информативным и правильным, все же присылайте свои комментарии и
пожелания составителю.
Параметры ядра
Прежде всего вам нужно перекомпилировать ваше ядро FreeBSD. Если вам
нужна более подробная информация о том, как это сделать, то лучше всего
начать с раздела
Руководства о конфигурации ядра. Вам нужно включить в ядро
следующие параметры:
options IPFIREWALL
Включает межсетевой экран в ядре.
options IPFIREWALL_VERBOSE
Посылает сообщения о журналируемых пакетах в системный
журнал.
options
IPFIREWALL_VERBOSE_LIMIT=100
Ограничивает количество записываемых в журнал совпадающих
сообщений. Это позволяет избавиться от заполнения файлов протокола
множеством повторяющихся записей. 100
является подходящим для использования параметром, но вы можете
изменить его в зависимости от ваших потребностей.
options IPDIVERT
Включает использование перенаправляющих
сокетов, что будет показано ниже.
Имеется также еще несколько НЕОБЯЗАТЕЛЬНЫХ параметров, которые вы
можете указать в ядре для достижения дополнительной безопасности. Для
работы межсетевого экрана этого не требуется, но некоторые параноидально
настроенные пользователи могут все же ими воспользоваться.
options TCP_RESTRICT_RST
Этот параметр блокирует все пакеты TCP RST. Это лучше
использовать в системах, которые могут подвергаться флуд-атакам
SYN (хорошим примером являются серверы IRC) или теми, кто не
хочет быть легко подвергнутым сканированию портов.
options TCP_DROP_SYNFIN
При использовании этого параметра TCP-пакеты с полями SYN и
FIN игнорируются. Это позволит избежать распознавания
используемого на машине типа стека такими утилитами, как nmap,
но при этом нельзя будет использовать расширения RFC1644. Если на
машине будет работать веб-сервер, делать это НЕ
рекомендуется.
Не перезагружайте машину сразу же после перекомпиляции ядра. Для
завершения настройки межсетевого экрана нам, к счастью, достаточно будет
выполнить перезагрузку всего один раз .
Изменение <filename>/etc/rc.conf</filename> для загрузки межсетевого
экрана
Теперь нам нужно внести некоторые изменения в файл
/etc/rc.conf для того, чтобы указать о включении
межсетевого экрана. Просто добавьте следующие строки:
firewall_enable="YES"
firewall_script="/etc/firewall/fwrules"
natd_enable="YES"
natd_interface="tun0"
natd_flags="-dynamic"
Для получения более полной информации о том, что делают эти строки,
взгляните на содержимое файла /etc/defaults/rc.conf
и прочтите &man.rc.conf.5;
Выключение механизма преобразования сетевых адресов в PPP
Может, вы уже используете встроенный в PPP механизм преобразования
сетевых адресов (NAT). Если это ваш случай, то вам нужно это выключить,
так как в этих примерах для тех же самых целей используется
&man.natd.8;.
Если у вас уже есть блок директив для автоматического запуска PPP,
то он, скорее всего, выглядит примерно так:
ppp_enable="YES"
ppp_mode="auto"
ppp_nat="YES"
ppp_profile="profile"
Если это так, то удалите строчку ppp_nat="YES".
Вам также потребуется удалить все строчки
nat enable yes и alias enable yes
в файле /etc/ppp/ppp.conf.
Набор правил для межсетевого экрана
Теперь мы выполнили практически все. Единственное, что осталось
сделать, так это задать правила для межсетевого экрана, после чего мы
можем выполнить перезагрузку, и межсетевой экран должен заработать. Я
понимаю, что в каждом конкретном случае потребуется набор правил, весьма
отличающийся от предлагаемого. Я всего лишь попытался написать набор
правил, которые должны подойти большинству пользователей коммутируемого
доступа. Вы можете тривиально изменить их под ваши требования, взяв
нижеследующие правила в качестве основы. Но сначала рассмотрим основы
закрытого межсетевого экрана. Вы хотите запретить по умолчанию все, а
затем открывать только то, что вам нужно. Правила должны следовать в
порядке, когда сначала идут разрешающие правила, а затем запрещающие.
Полагаем, что вы добавите свои разрешающие правила, а затем все остальное
будет запрещено. :)
Теперь создадим каталог /etc/firewall. Перейдите в этот каталог и
отредактируйте файл fwrules, который мы указали в rc.conf. Пожалуйста,
отметьте, что вы можете изменить это имя на любое другое. В этом
руководстве имя файла дается в качестве примера.
Давайте взглянем на пример файла для межсетевого экрана, и подробно
опишем его содержимое.
# Firewall rules
# Written by Marc Silver (marcs@draenor.org)
# http://draenor.org/ipfw
# Freely distributable
# Define the firewall command (as in /etc/rc.firewall) for easy
# reference. Helps to make it easier to read.
fwcmd="/sbin/ipfw"
# Force a flushing of the current rules before we reload.
$fwcmd -f flush
# Divert all packets through the tunnel interface.
$fwcmd add divert natd all from any to any via tun0
# Allow all data from my network card and localhost. Make sure you
# change your network card (mine was fxp0) before you reboot. :)
$fwcmd add allow ip from any to any via lo0
$fwcmd add allow ip from any to any via fxp0
# Allow all connections that I initiate.
$fwcmd add allow tcp from any to any out xmit tun0 setup
# Once connections are made, allow them to stay open.
$fwcmd add allow tcp from any to any via tun0 established
# Everyone on the internet is allowed to connect to the following
# services on the machine. This example shows that people may connect
# to ssh and apache.
$fwcmd add allow tcp from any to any 80 setup
$fwcmd add allow tcp from any to any 22 setup
# This sends a RESET to all ident packets.
$fwcmd add reset log tcp from any to any 113 in recv tun0
# Allow outgoing DNS queries ONLY to the specified servers.
$fwcmd add allow udp from any to x.x.x.x 53 out xmit tun0
# Allow them back in with the answers... :)
$fwcmd add allow udp from x.x.x.x 53 to any in recv tun0
# Allow ICMP (for ping and traceroute to work). You may wish to
# disallow this, but I feel it suits my needs to keep them in.
$fwcmd add 65435 allow icmp from any to any
# Deny all the rest.
$fwcmd add 65435 deny log ip from any to any
Теперь у вас есть полнофункциональный межсетевой экран, который
разрешает соединения к портам 80 и 22, и отображает в журнале все
остальные попытки соединения. Теперь у вас должна успешно пройти
перезагрузка и ваш межсетевой экран должен нормально заработать. Если вы
обнаружите, что это не так, у вас возникнут проблемы или у вас возникнут
пожелания, пожалуйста, напишите мне письмо по электронной почте.
Вопросы
Почему вы используете natd и ipfw, когда можно использовать
встроенные фильтры ppp?
Скажу честно, что определенной причины, объясняющей, почему я
использую ipfw и natd вместо встроенных в ppp фильтров. В
результате обсуждений этого вопроса с другими людьми я пришел к
мнению, что, хотя ipfw является гораздо более мощным и гибким
инструментом, чем фильтры ppp, но все, что он выигрывает в
широте возможностей, проигрывает в легкости настройки. Одной из
причин, по которой я его использую, является то, что я предпочитаю
функции межсетевого экрана, реализуемые в ядре, а не в
пользовательской программе.
Если во внутренней сети я использую такие адреса, как
192.168.0.0, то могу ли я добавить команду типа $fwcmd add
deny all from any to 192.168.0.0:255.255.0.0 via tun0 к
правилам межсетевого экрана для предотвращения попыток подключиться
извне к машинам во внутренней сети?
Простой ответ выглядит как нет. Причиной этого является то,
что natd выполняет преобразования для всего
трафика, перенаправляемого через устройство tun0. До тех пор, пока
это так, входящие пакеты будут направляться только на динамически
назначенный IP-адрес, а НЕ во внутреннюю сеть. Однако заметьте,
что вы можете добавить, например, правило $fwcmd add deny
all from 192.168.0.4:255.255.0.0 to any via tun0, которое
будет ограничивать коммуникации хоста в вашей внутренней сети с
внешним миром через межсетевой экран.
Что-то здесь неправильно. Я следовал вашим указаниям вплоть до
буквы, и теперь доступ заблокирован.
В этом документе предполагается, что вы работаете с программой
ppp уровня пользователя, поэтому предлагаемый
набор правил работает с интерфейсом tun0,
который соответствует первому соединению, делаемому утилитой
&man.ppp.8; (известной также как user-ppp).
Дополнительные соединения будут использовать устройства
tun1, tun2 и так
далее.
Вы должны также отметить, что программа &man.pppd.8;
использует другой интерфейс, ppp0,
поэтому, если вы осуществляете соединение с помощью программы
&man.pppd.8;, то должны заменить tun0 на
ppp0. Быстрый способ изменить правила для
межсетевого экрана показан ниже. Оригинальный набор правил будет
сохранен в файле fwrules_tun0.
&prompt.user; cd /etc/firewall
/etc/firewall&prompt.user; su
Password:
/etc/firewall&prompt.root; mv fwrules fwrules_tun0
/etc/firewall&prompt.root; cat fwrules_tun0 | sed s/tun0/ppp0/g > fwrules
Для того, чтобы узнать, используете ли вы &man.ppp.8; или
&man.pppd.8;, вы можете посмотреть вывод команды &man.ifconfig.8;
после установки соединения. Например, для соединения, выполняемого
при помощи программы &man.pppd.8;, вы увидите нечто, похожее на
следующее (показаны только относящиеся к делу строчки):
&prompt.user; ifconfig
(skipped...)
ppp0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1524
inet xxx.xxx.xxx.xxx --> xxx.xxx.xxx.xxx netmask 0xff000000
(skipped...)
С другой стороны, для соединений, выполняемых посредством
&man.ppp.8; (user-ppp), вы должны увидеть
нечто вроде следующего:
&prompt.user; ifconfig
(skipped...)
ppp0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
(skipped...)
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1524
(IPv6 stuff skipped...)
inet xxx.xxx.xxx.xxx --> xxx.xxx.xxx.xxx netmask 0xffffff00
Opened by PID xxxxx
(skipped...)