Zabezpečení v každém operačním systému by mělo být vždy jedním z hlavních prostorů, o které je třeba bojovat každý den, protože na něm závisí více prvků, jako jsou uživatelské soubory, konfigurace, služby a další. Nesprávná konfigurace bezpečnostních parametrů je spojena s chybou zabezpečení, která nechává dveře otevřené, aby útočníci měli volný přístup k provádění svých akcí.
Jeden z hlavních bezpečnostních mechanismů je propojen s firewallem systému, protože díky němu je možné filtrovat příchozí a odchozí pakety ze sítě a vytvářet různá pravidla za účelem zlepšení zabezpečení systému i aplikací a objektů v něm uložených . l.
Proto dnes Solvetic podrobně vysvětlí, jak nakonfigurovat firewall ve FreeBSD pomocí pf.
Co je to pfPF (Packet Filter - Packet Filter) byl vyvinut jako software brány firewall pro systémy FreeBSD, pomocí kterého můžeme vytvářet stovky pravidel, která nám umožňují mnohem centralizovaněji spravovat přístup a chování všech prvků systému.
Nyní uvidíme, jak povolit a konfigurovat pf ve FreeBSD.
1. Jak povolit bránu firewall systému Linux
Přestože je pf integrován do FreeBSD, musíme do souboru /etc/rc.conf přidat následující řádky s nějakým požadovaným editorem:
nano /etc/rc.confŘádky, které chcete přidat, jsou:
echo 'pf_enable = "YES"' >> /etc/rc.confecho 'pf_rules = " / usr / local / etc / pf.conf"' >> /etc/rc.confecho 'pflog_enable = "ANO"' >> / etc / rc.confecho 'pflog_logfile = " / var / log / pflog"' >> /etc/rc.conf
Jakmile přidáme tyto řádky, uložíme změny pomocí kláves Ctrl + O a editor ukončíme pomocí Ctrl + X.
Řádky, které jsme přidali, jsou:
Povolte službu PF
pf_enable = "ANO"
Vezměte si pravidla PF z tohoto konkrétního souboru
pf_rules = " / usr / local / etc / pf.conf"
Povolit podporu protokolování pro PF
pflog_enable = "ANO"
Odkazuje na soubor, kam by měl pflogd uložit soubor protokolu
pflog_logfile = " / var / log / pflog"Tam budou protokoly uloženy v souboru / var / log / pflog.
2. Jak vytvořit pravidla v souboru Linux /usr/local/etc/pf.conf
Jakmile byly přidány předchozí řádky, přistoupíme k souboru /usr/local/etc/pf.conf a vytvoříme pravidla, která musí pf číst a která budou při ochraně zohledněna.
Přistupujeme pomocí editoru:
nano /usr/local/etc/pf.confProtože se jedná o nový soubor, možnosti pravidel jsou tisíce, v tomto případě můžeme přejít na následující odkaz a zkopírovat pravidlo, které platí pro webový server, a vložit jej do našeho konfiguračního souboru:
Tam musíme vzít v úvahu úpravu síťového adaptéru v poli ext_if pro každý správný.
Do tohoto souboru jsme přidali následující pravidla:
# vim: set ft = pf # /etc/pf.confext_if="em0"webports = "{http, https}" int_tcp_services = "{doména, ntp, smtp, www, https, ftp}" int_udp_services = "{doména, ntp} "nastavit přeskočení na přihlašovací rozhraní loset $ ext_if # Normalizationscrub ve všech fragmentech náhodných id reassembleblock návrat do log allblock out allantispoof quick for $ ext_if # Block 'rapid-fire brute force attemptstable persistblock quick from # ftp-proxy needs to have an anchoranchor "ftp-proxy / *" # SSH naslouchá na portu 26pass v rychlém proto tcp na $ ext_if port 26 zachovat stav (max-src-conn 15, max-src-conn-rate 5/3, global flush) # Webserverpass proto tcp z libovolného na $ ext_if port $ webports # Povolit rychlý odchozí provoz rychle odejít na $ ext_if proto tcp na jakýkoli port $ int_tcp_servicesodejít rychle na $ ext_if proto udp na jakýkoli port $ int_udp_servicesJe důležité mít na paměti, že pf má definovaný řád pro stanovení pravidel a toto je:
MakraMakra je nutné definovat, než se na ně odkazuje v souboru pf.conf
TabulkyTabulky poskytují mechanismus ke zvýšení výkonu a flexibility pravidel
MožnostiMožnosti upravují chování modulu filtrování paketů.
Normalizace provozuToto pravidlo chrání interní počítače před nesrovnalostmi v internetových protokolech a implementacích.
Čekání ve frontěPoskytuje řízení šířky pásma na základě definovaných pravidel
PřekladTato volba určuje, jak mají být adresy mapovány nebo přesměrovány.
Filtrování paketůNabízí zámek založený na pravidlech
Jakmile jsou pravidla vytvořena, uložíme změny pomocí Ctrl + O a ukončíme editor pomocí Ctrl + X.
3. Jak povolit službu Linux pf
Dále spustíme řadu příkazů ke kontrole a spuštění služby pf na FreeBSD.
Krok 1
Abychom ověřili stav povolení pf, spustíme řádek:
pfctl -e
Krok 2
Pro spuštění služby pf spustíme následující řádek:
služba pf start
Krok 3
Službu kontrolujeme spuštěním:
servisní kontrola
Krok 4
V tomto okamžiku můžeme také spustit libovolnou z následujících možností:
/etc/rc.d/pf checkpfctl -n -f /usr/local/etc/pf.confPokud chceme zastavit službu pf, spustíme:
služba pf stopRestartování služby pf:
služba pf restart
Krok 5
Pokud chceme vidět aktuální stav služby pf:
stav služby pf
Krok 6
Brána firewall pf využívá službu pflog k ukládání a zaznamenávání všech událostí zabezpečení, ke kterým dochází v systému, možnosti použití jsou následující:
service pflog start service pflog stop service pflog restart
4. Jak používat pf ve FreeBSD Linux
K zobrazení sady pravidel pf a nastavení parametrů, včetně informací o stavu filtru paketů, budete muset použít příkaz pfctl.
Chcete -li zobrazit tyto informace, provedeme následující:
pfctl -s pravidla
Kromě toho budeme mít více možností, jako například:
Přidejte číslo pravidla
pfctl -vvsr show
Zobrazit stav
pfctl -s statepfctl -s state | více
Zakázat pf
pfctl -d
Povolit pf
pfctl -e
Vymazat všechna pravidla
pfctl -F vše
Odstraňte pouze dotazy
pfctl -F fronta
Vymazat všechny stavy
pfctl -F informace
Zobrazit události pf
tcpdump -n -e -ttt -r / var / log / pflog
Vidíme, jak je pf praktickým nástrojem při práci s firewallem ve FreeBSD.
