Jak konfigurovat firewall na FreeBSD s PF Linux

Zabezpečení v každém operačním systému by mělo být vždy jedním z hlavních prostorů, o které je třeba bojovat každý den, protože na něm závisí více prvků, jako jsou uživatelské soubory, konfigurace, služby a další. Nesprávná konfigurace bezpečnostních parametrů je spojena s chybou zabezpečení, která nechává dveře otevřené, aby útočníci měli volný přístup k provádění svých akcí.

Jeden z hlavních bezpečnostních mechanismů je propojen s firewallem systému, protože díky němu je možné filtrovat příchozí a odchozí pakety ze sítě a vytvářet různá pravidla za účelem zlepšení zabezpečení systému i aplikací a objektů v něm uložených . l.

Proto dnes Solvetic podrobně vysvětlí, jak nakonfigurovat firewall ve FreeBSD pomocí pf.

Co je to pfPF (Packet Filter - Packet Filter) byl vyvinut jako software brány firewall pro systémy FreeBSD, pomocí kterého můžeme vytvářet stovky pravidel, která nám umožňují mnohem centralizovaněji spravovat přístup a chování všech prvků systému.

Nyní uvidíme, jak povolit a konfigurovat pf ve FreeBSD.

1. Jak povolit bránu firewall systému Linux


Přestože je pf integrován do FreeBSD, musíme do souboru /etc/rc.conf přidat následující řádky s nějakým požadovaným editorem:
 nano /etc/rc.conf
Řádky, které chcete přidat, jsou:
 echo 'pf_enable = "YES"' >> /etc/rc.confecho 'pf_rules = " / usr / local / etc / pf.conf"' >> /etc/rc.confecho 'pflog_enable = "ANO"' >> / etc / rc.confecho 'pflog_logfile = " / var / log / pflog"' >> /etc/rc.conf

Jakmile přidáme tyto řádky, uložíme změny pomocí kláves Ctrl + O a editor ukončíme pomocí Ctrl + X.

Řádky, které jsme přidali, jsou:

Povolte službu PF

 pf_enable = "ANO"

Vezměte si pravidla PF z tohoto konkrétního souboru
 pf_rules = " / usr / local / etc / pf.conf"

Povolit podporu protokolování pro PF
 pflog_enable = "ANO"

Odkazuje na soubor, kam by měl pflogd uložit soubor protokolu

 pflog_logfile = " / var / log / pflog"
Tam budou protokoly uloženy v souboru / var / log / pflog.

2. Jak vytvořit pravidla v souboru Linux /usr/local/etc/pf.conf


Jakmile byly přidány předchozí řádky, přistoupíme k souboru /usr/local/etc/pf.conf a vytvoříme pravidla, která musí pf číst a která budou při ochraně zohledněna.
Přistupujeme pomocí editoru:
 nano /usr/local/etc/pf.conf
Protože se jedná o nový soubor, možnosti pravidel jsou tisíce, v tomto případě můžeme přejít na následující odkaz a zkopírovat pravidlo, které platí pro webový server, a vložit jej do našeho konfiguračního souboru:

Tam musíme vzít v úvahu úpravu síťového adaptéru v poli ext_if pro každý správný.

Do tohoto souboru jsme přidali následující pravidla:

 # vim: set ft = pf # /etc/pf.confext_if="em0"webports = "{http, https}" int_tcp_services = "{doména, ntp, smtp, www, https, ftp}" int_udp_services = "{doména, ntp} "nastavit přeskočení na přihlašovací rozhraní loset $ ext_if # Normalizationscrub ve všech fragmentech náhodných id reassembleblock návrat do log allblock out allantispoof quick for $ ext_if # Block 'rapid-fire brute force attemptstable persistblock quick from # ftp-proxy needs to have an anchoranchor "ftp-proxy / *" # SSH naslouchá na portu 26pass v rychlém proto tcp na $ ext_if port 26 zachovat stav (max-src-conn 15, max-src-conn-rate 5/3, global flush) # Webserverpass proto tcp z libovolného na $ ext_if port $ webports # Povolit rychlý odchozí provoz rychle odejít na $ ext_if proto tcp na jakýkoli port $ int_tcp_servicesodejít rychle na $ ext_if proto udp na jakýkoli port $ int_udp_services
Je důležité mít na paměti, že pf má definovaný řád pro stanovení pravidel a toto je:

MakraMakra je nutné definovat, než se na ně odkazuje v souboru pf.conf
TabulkyTabulky poskytují mechanismus ke zvýšení výkonu a flexibility pravidel
MožnostiMožnosti upravují chování modulu filtrování paketů.
Normalizace provozuToto pravidlo chrání interní počítače před nesrovnalostmi v internetových protokolech a implementacích.
Čekání ve frontěPoskytuje řízení šířky pásma na základě definovaných pravidel
PřekladTato volba určuje, jak mají být adresy mapovány nebo přesměrovány.
Filtrování paketůNabízí zámek založený na pravidlech

Jakmile jsou pravidla vytvořena, uložíme změny pomocí Ctrl + O a ukončíme editor pomocí Ctrl + X.

3. Jak povolit službu Linux pf


Dále spustíme řadu příkazů ke kontrole a spuštění služby pf na FreeBSD.

Krok 1
Abychom ověřili stav povolení pf, spustíme řádek:

 pfctl -e

Krok 2
Pro spuštění služby pf spustíme následující řádek:

 služba pf start

Krok 3
Službu kontrolujeme spuštěním:

 servisní kontrola

Krok 4
V tomto okamžiku můžeme také spustit libovolnou z následujících možností:

 /etc/rc.d/pf checkpfctl -n -f /usr/local/etc/pf.conf
Pokud chceme zastavit službu pf, spustíme:
 služba pf stop
Restartování služby pf:
 služba pf restart

Krok 5
Pokud chceme vidět aktuální stav služby pf:

 stav služby pf

Krok 6
Brána firewall pf využívá službu pflog k ukládání a zaznamenávání všech událostí zabezpečení, ke kterým dochází v systému, možnosti použití jsou následující:

 service pflog start service pflog stop service pflog restart

4. Jak používat pf ve FreeBSD Linux


K zobrazení sady pravidel pf a nastavení parametrů, včetně informací o stavu filtru paketů, budete muset použít příkaz pfctl.
Chcete -li zobrazit tyto informace, provedeme následující:
 pfctl -s pravidla

Kromě toho budeme mít více možností, jako například:

Přidejte číslo pravidla

 pfctl -vvsr show

Zobrazit stav

 pfctl -s statepfctl -s state | více

Zakázat pf

 pfctl -d

Povolit pf

 pfctl -e

Vymazat všechna pravidla

 pfctl -F vše

Odstraňte pouze dotazy

 pfctl -F fronta

Vymazat všechny stavy

 pfctl -F informace

Zobrazit události pf

 tcpdump -n -e -ttt -r / var / log / pflog

Vidíme, jak je pf praktickým nástrojem při práci s firewallem ve FreeBSD.

Vám pomůže rozvoji místa, sdílet stránku s přáteli

wave wave wave wave wave