Käsikirja

2 FreeBSD Käyttöjärjestelmä

2.1 Esitellään FreeBSD

2.2 Asennetaan FreeBSD

2.3 Yleistä UNIX järjestelmistä

2.4 Peruskomennot

2.5 Komentotulkit

2.6 Ohjelmien asentaminen ja päivittäminen

2.7 Käynnistysjonot

2.8 Asetustiedostot

2.9 Levykiintiö eli quota

2.10 FreeBSD:n kerneli

2.11 Yhteyden jakaminen NATD:llä

2.12 Palomuuriohjelmistot

2.13 Cvsup ja verkosta päivittäminen

2.14 Käyttöjärjestelmän päivittäminen

2.15 XFree86 Ikkunointijärjestelmä

2.16 Sysinstall Ohjelmisto

2.17 Yleisiä ongelmia

2.18 Muuta

2.19 Levyjärjestelmän laitteiden-nimet

3 Asennetut palvelinohjelmistot ja niiden käyttäminen

3.1 Samba ja toimialuepalvelin

3.2 Squid, Internetin välityspalvelin (proxy)

3.3 Apache, Web-palvelin

3.4 Postfix, Sähköpostipalvelin

3.5 Popd, Sähköpostin hakupalvelin

3.6 Openwebmail

3.7 Bind9, DNS-palvelin

3.8 OpenSSH

3.9 OpenSSL sertifikaatti

2.12 Palomuuriohjelmistot

FreeBSD ja palomuuri

Yleistä: Palomuuri on ohjelmisto, joka suojelee paikallista konettasi internetistä tulevalta "pahalta liikenteeltä", kuten DOSS hyökkäyksiltä ynnä muilta. Palomuuri toimii seuraavasti, internetissä lähetettävistä paketeista löytyy erilaisia tietoja, kuten osoite. Palomuurin tehtävänä on lukea näitä "otsikko tietoja" ja tarkistaa sopivatko ne luotuihin sääntöihin liikenteestä, paketti joko hyväksytään tai hylätään. Palomuureja on yleisesti olemassa, joko laitteistopohjaisia tai ohjelmisto palomuureja. Käytännössä erona näillä kahdella palomuurin tyypillä on, että laitteisto palomuurissa erillinen verkon laite hoitaa verkonliikenteen suodattamisen, tämäkin laite sisältää jonkun sovelluksen sisällään.

Tarvitsenko FreeBSD:llä palomuuria?

Kaikissa tietokone järjestelmän laitteissa on suositeltavaa käyttää palomuuria. Palomuuri ei ole välttämätön, mutta hyvinkin suositeltava. Palomuuri tarjoaa sinulle hyvän suojan ulkopuolisilta hyökkäyksiltä. Esimerkkinä järjestelmät joissa ei ole palomuuria, vastaavat icmp kyselyihin olivatpa järjestelmät Windows, Unix, Linux tai muita alustoja. ICMP protokollaa on helppo käyttää hyväksi ja tukkia "kaverin yhteys" lähettämällä satoja icmp kyselyitä minuutissa osoitteeseen (Huom. Tätä pidetään Suomen laissa tietoliikenteen häirintänä ja näin ollen se on rikos).

FreeBSD:llä käytettävät palomuuri ohjelmistot?

FreeBSD:lle on tarjolla erilaisia palomuuri ohjelmistoja, kuten Ipfw, ipf, PF ja IPSec. Ipfw ja ipf palomuuriohjelmistot löytyvät kaikista FreeBSD:n versioista ja PF ohjelmisto on yleistymässä 5.x sarjan myötä, tämä ohjelmisto on tulossa OpenBSD:n puolelta. Ipfw:n on kuitenkin helppokäyttöinen palomuuriohjelmisto FreeBSD:lle. Seuraavassa hieman Ipfw:n käytöstä.

Tässä ipfw palomuurin syntaksin muodostumisesta

ipfw [-N] komento toiminto protokolla osoite [asetukset]
ipfw add allow tcp from 192.168.0.1/16 to any in via vr0 in keep-state
ipfw komento toiminto protokolla osoite verkonrajapinta asetukset

Komento

add = Lisää hakusana palomuurin sääntö listaan
delete = Poista hakusana palomuurin sääntö listaan
set move = säännön numero ja uusi asetus

Toiminnot

reject = Pudota paketti ja lähetä ICMP osoitteeseen tai porttiin ei luettavissa (asianmukainen) paketin lähde.
allow = Anna paketin läpäistä
deny = Pudota paketti. Kohde ei muistuta ICMP viestiä, paketista, joka vastaanotettiin. "Paketti saavu koskaan määrän päänsä"
count = Päivitä pakettilaskuria mutta älä salli tai hylkää pakettia. Tämä jatkaa seuraavan hakusanan etsimistä.

Protokollat

all = Kaikki protokollat
icmp = Icmp paketit
tcp = Tcp paketit
udp = Udp paketit

Osoitteen antamisen syntaksi:

from osoite [portti] to osoite [portti] [via verkonrajapinta]

Syntaksi suomeksi.
Mistä osoite portti minne osoite portti minkä verkkolaitteen kautta

Syntaksi osoitteen määrittämiseksi:

Valitsimet

Osoite
Osoite/netmask-bitit
Osoite:netmask-kaava

Kaikki osoitteet

Esimerkki. osoite 192.168.0.1
Esimerkki. netmaskin-biteistä 192.168.0.1/16
Esimerkki. netmaskin-kaavasta 192.168.0.1:255.255.0.0
Esimerkki. any

Pari yleistä osoite valitsinta:

Any = Mikä tahansa kone
Me = Tämä kone

Voit myös määrittää useita IP osoitteita erottelemalle ne pilkulla toisistaan esim. 192.168.0.1, 192.168.10.10

Syntaksi porttien määrittämiseksi

Yksittäisen portin voit määrittää antamalla joko numeron tai /etc/services tiedostossa olevan palvelun nimen esimerkiksi. ssh
Useampia portteja voit määritellä antamalla kertomalla porttivälin esim. 300-400 tai erottamalla eri portit pilkulla toisistaan esim. 22,25,110

Verkonrajapinta määritys

Via määrittää minkä verkkolaitteen kautta liikenteen pitää olla. Esimerkiksi via vr0 tarkoittaa, että sääntö on voimassa ainoastaan via vr0 laitteella.

Asetukset

in = Sisään tulevat paketit
out = Ulos menevät paketit
frag = mikäli paketti ei vastaa kumpaankaan ylempään datagrammiin

Asetukset

Ipoptions spec = Tarkistaa IP osoitteen otsikon sisällön pilkulla erotetun listan asetuksista jotka ovat määritetty spec:issa. Tuetut IP asetukset ovat: ssrr (jyrkkä lähteen reititys), lsrr (hajallinen lähteen reititys), rr (nauhoitettu paketin reititys) ja ts (aika leima). Luovu tarkennetuista asetuksista määrityksistä rivivälillä.

Established = Mikäli paketti on muodostanut TCP yhteyden (toisin sanoen sillä on RST tai ACK bitti asetus). Voit optimoida suorituskykyä palomuurista asettamalla established säännön aikaisin ennen ketjua. Eli aseta established sääntö ennen kuin käsittelet TCP liikennettä. Elä laita yhtään "allow tcp" lauseketta ennen tätä sääntöä!

Setup = Tarkista, jos paketti on muodostamassa TCP yhteyttä (SYN bit asetetaan, mutta ei ACK:ta)

Tcpflags flags = Tarkistaa TCP otsikon sisällön ilmaisimina pilkulla erotettuna listasta. Tuetut ilmaisimet ovat fin, syn, rst, psh, ack ja urg. Pois lukien yksityiskohtaiset ilmaisimet, jotka mahdollisesti ilmaisevat riviväliä.

URG:  Urgent Pointer field significant
ACK:  Acknowledgment field significant
PSH:  Push Function
RST:  Reset the connection
SYN:  Synchronize sequence numbers
FIN:  No more data from sender

icmp tyypit

Täsmää jos ICMP tyyppi on esitelty listan tyypeissä. Lista voi olla yhdistelty osoite sarjoista ja tai yksilöllisistä tyypeistä eroteltuna pilkulla. Yleisesti Käytetyt ICMP tyypit ovat 0 "echo reply" Kaiku vastaus, 3 "destination unreachable" määränpää ulottumattomissa, 5 "redirect" uudelleen ohjaus, 8 "echo request" kaiku kysely (ping pyyntö) ja 11 "time exceeded" ajan ylitys

ICMP tyypit

echo reply (0)
destination unreachable (3)
source quench (4)
redirect (5)
echo request (8)
router advertisement (9)
Router solicitation (10)
time-to-live exceeded (11)
IP header bad (12)
timestamp request (13)
timestamp reply (14),
information request (15)
information reply (16)
address mask request (17)
and address mask reply (18)

Keep state
Sopivalla vastauksella palomuuri tekee dynaamisen säännön, jonka oletus käyttäytyminen on sopiva molemmille suuntaan. Kohteen ja lähteen välillä IP/portti käyttävät samaa protokollaa. Tällä säännöllä on rajoitettu elinaika (hallitaan sysctl:än muttujilla) ja elinaika päivitetään, joka kerran kun sopiva paketti löydetään

Tcpseq seq
TCP paketeille vain. Jos sopiva TCP otsikko sarjanumerokenttä on asetettu seq:si.

Tcpwin win
Tcp paketeille vain. Jos TCP otsikkoikkunan kenttä on asetettu win:iksi

Dummy Net Liikenteen rajoittimen käyttö:

Mitä tarvitset:

Tarvitset Dummynet moduulin FreeBSD:n kerneliin.

Lisää seuraava rivi kernelisi asetustiedostoon:
options DUMMYNET

Voiko dummynetillä priorisoida liikennettä?
Ei voi, tästä syystä FreeBSD 5.x sarjalle on saatavilla pf, jossa tämä ominaisuus on mukana.

Dummynet:in käyttö:

pipe

Putki(pipe) emuloi linkkiä annetulla kaistanleveydellä., suvunjatkamisen viivettä, jonon kokoa ja paketin menetys vauhtia. Paketit ovat jonossa putken edessä kunnes tulevat lajittelusta ja sitten siirretään putkeen sovituilla putken parametreilla.

Queue

Queue käsitettä käytetään WF2Q+(Worst- case Fair Weighted Fair Queueing) työkaluna, joka on vaikuttava toisinto WFQ toimintatavassa. Queue yhdistää painoarvon ja viitatun putken jokaiseen virtaan, ja sitten kaikki samaan putkeen osoitetut paketit jaetaan suhteellisesti kaistanleveyden mukaan. Huomaa että liikennettä ei kuitenkaan priorisoida.

pipe ja queue asetukset ovat seuraavanlaisia:
pipe number config pipe-configuration
queue number config queue-configuration

Seuraavat argumentit voidaan lisätä putkeen(pipe):

bw bandwidth | device
Bandwidth, measured in [K|M]{bit/s|Byte/s}.

A value of 0 (default) means unlimited bandwidth. The unit must
immediately follow the number, as in

ipfw pipe 1 config bw 300Kbit/s

Sysctl arvoja ipfw:hen liittyen

#määritetään ack bitin elinaikaa ja udp paketin
net.inet.ip.fw.dyn_ack_lifetime=3600
net.inet.ip.fw.dyn_udp_lifetime=10

net.inet.ip.fw.dyn_buckets=1024

#Rajoitetaan ipfw logi 200000 viestiin.
net.inet.ip.fw.verbose_limit=200000

#TCP syn+fin
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1

rc.firewall asetustiedosto

Aliakset asetustiedostossa

Palomuurin asetustiedostossa voidaan esitellä erilaisia aliaksia, joita voidaan käyttää eri sääntöjen luomisen yhteydessä. Nämä säännöt aliakset esimerkiksi helpottavat sinua muokkaamaan jonkun tietyn kohteen osoite asetuksia. Esimerkin asetustiedoston on tehty natd:lle voit kommentoida 192.168.x.x ja pcn0 rivit tiedostosta pois. ja muokata asetustiedostoasi tämän mallin mukaisesti

IP-osoitteet:

dnspalvelimet="255.255.255.255, 128.128.128.128"
IP osoitte maski: 10.1.2.x alkuiset ip:t ja portit 8,38 ja 60
IP osoitteet ja niiden porttien numerot:
kotiverkko="10.1.2.0/24{8,38,60}"

Esimerkki asetustiedosto:

Client palomuuri kohta hakasulkuihin kirjoitetaan asetustiedoston kohdan nimi

#tyyppi josta säännöt luetaan
[Cc][Ll][Ii][Ee][Nn][Tt])

dnspalvelimet="255.255.255.255, 128.128.128.128" Alias

#alustetaan loopback. Asetetaan loopback laite kohdalleen määritelty muuttuja tiedostossa
setup_loopback

#Lasketaan kaikki liikenne ulos
${fwcmd} add pass all from any to any out

#sallitaan ipv6 pakettejen kulku
${fwcmd} add allow ipv6 from any to any via vr0

#Sallitaan muodostuvat TCP yhteydet korttien perusteella, mikäli established sääntöjä ei anneta ja verkko lakkaa toimimasta,
#koska TCP liikennettä ei voida muodostaa. Voit määrittää myös established:in yksittäisille säännöille. Tämä sallii.

${fwcmd} add pass tcp from any to any via vr0 established
${fwcmd} add pass tcp from any to any via pcn0 established

#sallitaan sshd palvelin eli portti 22
${fwcmd} add allow tcp from any to any ssh in setup keep-state via vr0

#www palvelin eli portti 80
${fwcmd} add allow tcp from any to any http in setup keep-state via vr0

#sähköposti smtp ja pop3 palvelin eli portti 25 ja 110
${fwcmd} add allow all from any to any mail in setup via vr0
${fwcmd} add allow all from any to any smtp in setup via vr0

#emule:lle säädöt, jotta se muodostaa palvelimelle nopeat yhteydet
${fwcmd} add allow tcp from any to any 4662 in setup via vr0
${fwcmd} add allow udp from any to any 4665 in

#Nopeutetaan irc yhteyksiä, sallitaan identd toiminta 113 portti
${fwcmd} add allow all from any to any ident in setup via vr0

#vapautetaan porttialue 6666-8000
#${fwcmd} add allow tcp from any to any 6665-8000 in via vr0

#icmp sallitaan vain echot ja time-to-live exceeded
$fwcmd add allow icmp from any to any icmptypes 11 via vr0
$fwcmd add allow icmp from any to any icmptypes 0 via vr0

#avataan udp portit DNS palvelimelta tänne väliltä 1024-65535
$fwcmd add allow udp from ${dnspalvelimet} to any 1024-65535 in keep-state via vr0

#sallitaan tältä koneelta liikenne rajoituksetta sisäverkkoon 192.168.x.x verkosta
$fwcmd add allow all from 192.168.0.0/16 to any via pcn0

#tuhotaan kaikki 192.168.x yhteydet jotka tulevat ulkoverkosta.
$fwcmd add deny all from 192.168.0.0/16 to any via vr0

#tehdään logia kaikesta liikenteestä joka ei läpäise näitä sääntöjä
$fwcmd add deny log ip from any to any via vr0

# Tapetaan kaikki muut yhteydet
# IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
# config file.
;;

Kuinka asetan palomuurin päälle?

Määritä /etc/rc.conf:iin seuraavat

# Otetaan Ipfw Palomuuri käyöön.
firewall_enable="YES"
# Kerrotaan palomuurin tyyppi, josta säännöt luetaan.
firewall_type="client"
open tyyppisellä asetuksella voit sallia kaiken liikenteen.

Ipfw ohjelman sisäiset komennot:

ipfw -f -n flush = Tyhjennä Ipfw:n sääntötaulu
ipfw show = näytä ipfw:n säännöt

Ipfw 5.x sarjalla

Hyödyllistä ja yleistä tietoa internet verkkojen rakenteesta

Tämä määritelmä pohjautuu internet protokollan nelos- versioon. Katso internet protokollan kuutos- versio 6 (IPv6) uuden 128 bittisen IP osoitteen vuoksi. Huomaa että IP osoiteluokkien järjestelmä hoidetaan "Classless Inter-Domain Routing" (CIDR) osoitetuksella, kunnes muokkautuu IP osoite assignaatio.

Kaikkein eniten levittyneimmässä internet protokollan osassa(IP), IP osoite on 32 bittinen numeromikä tunnistaa jokaisen lähetetyn tai vastaanotetun tiedon joka on lähetetty paketissa internetin yli. Kun menet HTML sivulle tai luet sähköpostia, internet protokollan osa TCP/IP lisää IP osoitteesi mukaan viestiin ja lähettää sen IP-osoitteeseen joka kuuluu toimialueelle.

Osoiteluokat:

Alkuperäinen reititys kaavio kehitettiin jo 1970, sivuilla joissa oli osoitteita kolmesta eri luokasta Luokka A, Luokka B ja Luokka C, Osoite luokat eroavat koolta ja numeroiltaan. Luokka A osoitteista on suurin, mutta niitä on vain muutamia, Luokka C on pienin, mutta luokkia on lukuisia, Luokat D ja E ovat myös määritettyjä, mutta ne eivät normaalisti ole käytettävissä.

Sanoakseen sitä luokka-pohjainen IP osoitteisto on käytössä, se on vain ainoastaan menettänyt ymmärrettävyyden.

Internet reititin toimii tällä tavoin: A reitin vastaanottaa IP paketin purettuna sen määrän pään osoite, joka luokiteltu (sanatarkasti) tutkimaan ensimmäiset neljä bittiä. Kun osoite luokka on määritetty.

Ip-osoite luokat:

A luokka - 0nnnnnnn hhhhhhhh hhhhhhhh hhhhhhhh
First bit 0; 7 network bits; 24 host bits
Ensimmäinen bitti: 0 - 127
126 Class As exist (0 and 127 are reserved)
16,777,214 hosts on each Class A

B luokka - 10nnnnnn nnnnnnnn hhhhhhhh hhhhhhhh
First two bits 10; 14 network bits; 16 host bits
Ensimmäinen bitti: 128 - 191
16,384 Class Bs exist
65,532 hosts on each Class B

C luokka - 110nnnnn nnnnnnnn nnnnnnnn hhhhhhhh
First three bits 110; 21 network bits; 8 host bits
Ensimmäinen bitti: 192 - 223
2,097,152 Class Cs exist
254 hosts on each Class C

D luokka - 1110mmmm mmmmmmmm mmmmmmmm mmmmmmmm
First four bits 1110; 28 multicast address bits
Ensimmäinen bitti: 224 - 247
Class Ds are multicast addresses - see RFC 1112

E luokka - 1111rrrr rrrrrrrr rrrrrrrr rrrrrrrr
First four bits 1111; 28 reserved address bits
Ensimmäinen bitti: 248 - 255
Reserved for experimental use

Julkiset IPv4 osoitteet:

Julkinen IP osoite on koko Internet verkkoon näkyvä IP osoite, johon kuka tahansa voi liikennöidä julkisesta verkosta.

Yksityiset Ipv4 osoitteet:

Yksityiset IP-osoitteet ovat osoitteita, jotka eivät ole varattu kenenkään käytössä. Tällaisia osoitteita ovat mm. 10.0.0.0, 172.16.0.0, 192.168.0.0. Katso seuraavasta taulukoista osoitteista lisää.

Mikä yksityis verkko on?

Privaatti verkko on verkko, joka muodostuu rekisteröimättömästä osoitteesta. Privaattiverkkoa käytetään yleisesti NATD:llä osoitemuunnoksen päässä. Julkisesta verkosta ei voida liikennöidä privaatti verkon suuntaan suoraan, mikäli haluat koneesi piiloutuvan yksityisen osoite avaruuden sisään voit, tehdä osoitemuunnoksen natd:llä. Tällöin privaatti verkkosi voi, näkyä vaikka yhtenä julkisena IP osoitteena internetin suuntaan (yksisuuntainen osoitemuunnos). Tällöin privaatti verkkosi koneet liikennöivät yhden IP osoitteen yli liikenteensä.

Yksityinen osoite avaruus (RFC 1918)

Netmaskin bitit ja niiden merkitykset

Hieman termejä:

Aliluokka = 255.255.0.0 Toiseksi viimeinen numero kertoo meille "mihin aliluokkaan" osoite kuuluu. aliluokilla voi olla aliluokkia ja aliluokkia
Bittisyys = Bittisyys kertoo meille minkä kokoinen netmask on käytössä. Katso seuraava muuntotaulukko

Netmask taulukkoa tarvitset useasti suunnitellessa natd::llä verkon koneidesi määrää, sillä ip taulun koko määrää montako konetta verkkoosi mahtuu.

Selitys taulukon käytöstä:

Nolla tarkoittaa, että tämä sarja on sinulle täysin vapaa käytettäväksi väliltä 0-255, mikäli sarjassa on jokin muu luku kuin nolla esimerkiksi 240 sinulle on varattu vielä tästä sarjasta luvut 240-255.

Esimerkkinä 255.255.0.0 muunnettuna biteiksi on /16
Esimerkkinä 255.255.255.128 muunnettuna biteiksi on /25

Kuinka lasken koneideni määrän alueella

Esimerkiksi /16 netmaskilla on käytössään 255*255 konetta eli = 65025 konetta. Tähän alueeseen tulee myös laskea reitin kone, joka syö 192.168.0.1 osoitteen

Mikäli olisi kyseessä netmask /9 (255.128.0.0) voisit laskea sen seuraavasti:
255-128 = 127
127*256*256

Eli karkeasti, kun vähennät netmaskin kolmen sarjan, joka ei ole 255 255:stä, saat tulokseksi montako osoitetta saat tästä aliluokasta käyttöösi.

Netmaskin bitit