Kā konfigurēt ugunsmūri FreeBSD ar PF Linux

Drošībai jebkurā operētājsistēmā vienmēr jābūt vienai no galvenajām telpām, par kuru jācīnās katru dienu, jo no tās ir atkarīgi vairāki elementi, piemēram, lietotāju faili, konfigurācijas, pakalpojumi un citi. Nepareiza drošības parametru konfigurācija ir saistīta ar ievainojamību, kas atstāj durvis atvērtas, lai uzbrucēji varētu brīvi piekļūt savu darbību veikšanai.

Viens no galvenajiem drošības mehānismiem ir saistīts ar sistēmas ugunsmūri, jo pateicoties tam ir iespējams filtrēt ienākošās un izejošās paketes no tīkla un izveidot dažādus noteikumus, lai uzlabotu gan sistēmas, gan tajā saglabāto lietojumprogrammu un objektu drošību l.

Tāpēc šodien Solvetic detalizēti paskaidros, kā konfigurēt ugunsmūri FreeBSD, izmantojot pf.

Kas ir pfPF (pakešu filtrs - pakešu filtrs) ir izstrādāts kā FreeBSD sistēmu ugunsmūra programmatūra, ar kuras palīdzību mēs varam izveidot simtiem noteikumu, kas ļauj daudz centralizētāk pārvaldīt visu sistēmas elementu piekļuvi un uzvedību.

Tagad mēs redzēsim, kā iespējot un konfigurēt pf FreeBSD.

1. Kā iespējot Linux ugunsmūri


Lai gan pf ir iebūvēts FreeBSD, mums ir jāpievieno šādas rindiņas failā /etc/rc.conf ar vēlamo redaktoru:
 nano /etc/rc.conf
Pievienojamās rindas ir šādas:
 echo 'pf_enable = "JĀ"' >> /etc/rc.confecho 'pf_rules = " / usr / local / etc / pf.conf"' >> /etc/rc.confecho 'pflog_enable = "JĀ"' >> / etc / rc.confecho 'pflog_logfile = " / var / log / pflog"' >> /etc/rc.conf

Kad šīs rindiņas ir pievienotas, mēs saglabājam izmaiņas, izmantojot taustiņus Ctrl + O, un izejam no redaktora, izmantojot taustiņu kombināciju Ctrl + X.

Mēs esam pievienojuši šādas rindas:

Iespējojiet PF pakalpojumu

 pf_enable = "JĀ"

Ņemiet PF noteikumus no šī konkrētā faila
 pf_rules = " / usr / local / etc / pf.conf"

Iespējot PF reģistrēšanas atbalstu
 pflog_enable = "JĀ"

Attiecas uz failu, kurā pflogd jāglabā žurnāla fails

 pflog_logfile = " / var / log / pflog"
Tur žurnāli tiks saglabāti failā / var / log / pflog.

2. Kā izveidot noteikumus Linux /usr/local/etc/pf.conf failā


Kad iepriekšējās rindas ir pievienotas, mēs piekļūsim /usr/local/etc/pf.conf failam, lai izveidotu noteikumus, kas pf jāizlasa un kas tiks ņemti vērā, aizsargājot.
Mēs piekļūstam, izmantojot redaktoru:
 nano /usr/local/etc/pf.conf
Tā kā tas ir jauns fails, noteikumu iespējas ir tūkstošiem, šajā gadījumā mēs varam doties uz šo saiti un nokopēt kārtulu, kas attiecas uz tīmekļa serveri, un ielīmēt to mūsu konfigurācijas failā:

Tur mums jāņem vērā tīkla adaptera pārveidošana laukā ext_if, lai katrā gadījumā būtu pareizs.

Šajā failā mēs esam pievienojuši šādus noteikumus:

 # vim: set ft = pf # /etc/pf.confext_if="em0"webports = "{http, https}" int_tcp_services = "{domēns, ntp, smtp, www, https, ftp}" int_udp_services = "{domēns, ntp} "set skip on loset loginterface $ ext_if # Normalizationscrub in all random-id fragment reassembleblock return in log allblock out allantispoof quick for $ ext_if # Bloķēt ātras ugunsgrēka brutālu spēku mēģinājumu stabilizējamu noturīgu bloķēšanu ātri no # ftp-proxy ir nepieciešams enkurs "ftp-proxy / *" # SSH klausās portā 26pass ātrā proto tcp līdz $ ext_if portam 26 saglabāt stāvokli (max-src-conn 15, max-src-conn-rate 5/3, overload flush global) # Webserverpass proto tcp no jebkura uz $ ext_if port $ webports # Atļaut būtiskai izejošajai trafikam ātri pārsūtīt $ ext_if proto tcp uz jebkuru ostu $ int_tcp_servicesātri izvadīt $ ext_if proto udp uz jebkuru ostu $ int_udp_services
Ir svarīgi paturēt prātā, ka pf ir noteikta kārtība, lai izveidotu noteikumus, un tas ir:

MakroMakro ir jādefinē, pirms uz tiem atsaucas pf.conf
TabulasTabulas nodrošina mehānismu, kā palielināt noteikumu veiktspēju un elastību
IespējasIespējas pielāgo pakešu filtrēšanas dzinēja darbību.
Satiksmes normalizēšanaŠis noteikums aizsargā iekšējās mašīnas pret pretrunām interneta protokolos un ieviešanā.
RindaNodrošina joslas platuma kontroli, pamatojoties uz noteiktiem noteikumiem
TulkošanaŠī opcija nosaka, kā adreses ir jākartē vai jānovirza.
Pakešu filtrēšanaPiedāvā uz noteikumiem balstītu bloķēšanu

Kad noteikumi ir izveidoti, mēs saglabājam izmaiņas, izmantojot Ctrl + O, un izejam no redaktora, izmantojot Ctrl + X.

3. Kā iespējot Linux pf pakalpojumu


Tālāk mēs izpildīsim virkni komandu, lai pārbaudītu un sāktu pf pakalpojumu FreeBSD.

1. darbība
Lai pārbaudītu pf iespējošanas statusu, mēs izpildām rindu:

 pfctl -e

2. solis
Lai sāktu pf pakalpojumu, mēs izpildām šādu rindu:

 pakalpojuma pf start

3. solis
Mēs pārbaudām pakalpojumu, izpildot:

 pakalpojuma pf pārbaude

4. solis
Šajā brīdī mēs varam arī izpildīt kādu no šīm iespējām:

 /etc/rc.d/pf checkpfctl -n -f /usr/local/etc/pf.conf
Ja mēs vēlamies apturēt pf pakalpojumu, mēs izpildām:
 pakalpojums pf stop
Lai restartētu pf pakalpojumu:
 pakalpojuma pf restartēšana

5. solis
Ja mēs vēlamies redzēt pf pakalpojuma pašreizējo statusu:

 pakalpojuma pf statuss

6. darbība
Pf ugunsmūris izmanto pflog pakalpojumu, lai saglabātu un reģistrētu visus drošības notikumus, kas notiek sistēmā. Lietošanas iespējas ir šādas:

 pakalpojums pflog start service pflog stop service pflog restart

4. Kā izmantot pf FreeBSD Linux


Jums būs jāizmanto komanda pfctl, lai varētu skatīt pf noteikumu kopu un parametru iestatījumus, tostarp pakešu filtra statusa informāciju.
Lai redzētu šo informāciju, mēs izpildām sekojošo:
 pfctl -s noteikumi

Papildus tam mums būs vairāk iespēju, piemēram:

Pievienojiet kārtulas numuru

 pfctl -vvsr šovs

Rādīt statusu

 pfctl -s stāvoklispfctl -s stāvoklis | vairāk

Atspējot pf

 pfctl -d

Iespējot pf

 pfctl -e

Notīriet visus noteikumus

 pfctl -F viss

Dzēsiet tikai vaicājumus

 pfctl -F rinda

Notīrīt visus štatus

 pfctl -F informācija

Skatīt pf notikumus

 tcpdump -n -e -ttt -r / var / log / pflog

Mēs varam redzēt, kā pf ir praktisks instruments, strādājot ar ugunsmūri FreeBSD.

wave wave wave wave wave