Установка PF на FreeBSD

Хороший код добре поширюється, і користувачі FreeBSD скажуть вам, що хороший код звідки завгодно, рано чи пізно, знайде шлях у FreeBSD PF не виняток, і з FreeBSD 521 та 4х серій і далі, PF і повязані з ним інструменти стали частиною

FreeBSD

Якщо ви прочитали попередній абзац з установки PF на OpenBSD, ви бачили, що на OpenBSD, PF був активізований за замовчуванням З FreeBSD справи йдуть не так, оскільки PF є тільки одним з трьох доступних варіантів пакетного фільтра системи У

FreeBSD вам необхідно зробити кілька явних дій для того, щоб включити PF і при порівнянні з OpenBSD, здається, що потрібно трохи більше поворожити у вашому

/etc/rcconf Загляньте в файл /etc/defaults/rcconf – там показані значення за замовчуванням для FreeBSD повязані з PF:

pf_enable = NO # Встановити YES для активізації packet filter (PF) pf_rules = / etc / pfconf # Файл для визначення правил для PF pf_program = / sbin / pfctl # Шлях, де знаходиться виконуваний файл PF pf_flags = ” # Додаткові прапори для pfctl

pflog_enable = NO # Встановити YES для включення логування packet filter pflog_logfile = / var / log / pflog # Де pflogd повинен зберігати logfile pflog_program = / sbin / pflogd # Де знаходиться виконуваний файл pflogd

pflog_flags = ” # Додаткові прапори для pflogd

pfsync_enable = NO # Необхідно для синхронізації стану pf для інших хостів pfsync_syncdev = ” # Інтерфейс через який працює pfsync

pfsync_ifconfig = ” # Додаткові опції для ifconfig (8) для pfsync

На щастя, ви можете ігнорувати багато з них – принаймні зараз Наступні опції це тільки ті, що вам необхідно додати в вашу конфігурацію /etc/rcconf:

pf_enable = YES # Включення PF (завантажується модулем якщо потрібно) pflog_enable = YES # Включаємо pflogd (8)

Є деякі відмінності між FreeBSD 4х, 5х, і пізніших версіях щодо PF Посилаючись на хендбук FreeBSD, а саме розділ про PF глави Брандмауери, доступний на http://wwwfreebsdorg ознайомтеся з інформацією яка застосовна у вашому випадку Код PF на FreeBSD 7 і 8 такою ж, як код на OpenBSD 41 з деякими виправленими помилками Ми будемо припускати, що ви працюєте на FreeBSD 70 або новей

На FreeBSD, PF компілюється як модуль ядра за замовчуванням Якщо ваша система FreeBSD встановлена ​​з ядром GENERIC, ви можете запустити PF написавши наступне:

$ sudo kldload pf

$ sudo pfctl –e

Припускаю, що ви вставили строчки згадані у вашому/etc/rcconf і створили

/etc/pfconf файл, а так само, ви повинно бути використовуєтеrc скрипт для запуску PF Наступні рядки включають PF:

$ sudo /etc/rcd/pf start

А ці вимикають пакетний фільтр (packet filter):

$ sudo /etc/rcd/pf stop

На FreeBSD скрипту / etc / rcd / pf необхідна принаймні рядок pf_enable = YES в / etc / rcconf і коректний / etc / pfconf файл Якщо яке або з цих вимог не виконується, скрипт завершить роботу з помилкою За умовчанням в інсталяції FreeBSD файлу / etc / pfconf немає, і вам потрібно буде створити його перед тим як перезавантажувати систему з включеним PF Для наших цілей, створимо порожній / etc / pfconf файл командою touch, але ви могли б також працювати якби скопіювали файл з / usr / share / examples / pf / pfconf поставляється з системою

Файл прикладу/usr/share/examples/pf/pfconf  містить неактивні настройки Він включає тільки закоментовані рядки починаються з символу # і закоментовані правила, що дає огляд того, як виглядають робочі правила Для прикладу, якщо ви видалите знак # перед рядком, яка говорить нам, що потрібно пропускати все на loopback інтерфейс, а потім збережіть файл як/etc/pfconf, ви включите PF і завантажте устаноленное правило на ваш loopback інтерфейс, який не фільтрує трафік Однак, якщо PF включений на системі FreeBSD, а ми не спромоглися написати актуальні правила, PF нічого робити не буде і всі пакети будуть пропущені

На момент написання статті (Вересень 2010) у rc скриптах FreeBSD не встановлені правила за замовчуванням як резервні і якщо конфігурація читається з /etc/pfconf то вона

НЕ буде завантажена Це означає що включення PF без встановлених правил або за

вмістомpfconf, Яке синтаксично невірно залишить пакетний фільтр включеним до правила за замовчуванням пропускати всі

Джерело: Книга про PF, by Peter NM Hansteen, Переклад виконав Михайлов Олексій aka iboxjo

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*