Мінімальний набір правил PF

Сама найпростіша конфігурація правил PF – набір правил для автономної машини, яка не надає сервісів і зєднується тільки з однією мережею (яка може бути і безпосередньо Інтернетом) Ми почнемо працювати з файлом /etc/pfconf, Який виглядає приблизно як цей:

block in all

pass out all keep state

Такий набір правил забороняє весь вхідний трафік, дозволяючи вихідний, і зберігає інформацію про стан наших зєднань PF читає правила зверху вниз виконується останнє правило в наборі правил пріложімо до пакету або зєднанню

Будь-яке входить в нашу систему зєднання, незалежно від джерела, підпадатиме під правилоblock  in  all Навіть з цієї попередньою оцінкою результату буде здійснено перехід до наступного правила (pass out all  keep state), Якщо трафік не підпадатиме під перший критерій (напрям out) Не маючи більше правил для оцінки, статус не буде змінюватися і трафік буде заблокований У схожій манері, будь ініційоване зєднання виходить від машини з цим набором правил не буде збігатися з першим правилом, а буде збігатися з другим (ще раз неправильному напрямку) збіг з pass правилом, дозволило пропустити Ми будемо перевіряти шлях, яким PF оцінює правила і в якому порядку, ці питання більш детально ми будемо розглядати в Главі 3, в контексті трохи більшого набору правил

Для будь-якого правила, яке відноситься до частини keep state, PF зберігає інформацію про зєднання (включаючи різні лічильники та порядкові номери) як запис в таблиці станів (state table) Таблиця станів – це те місце, куди PF зберігає інформацію про існуючі зєднаннях, які вже потрапили під правило, і нові пакети які порівнюються з існуючою таблицею стану в пошуках першого входження в таблицю Тільки якщо пакет не збігається з будь-яким існуючим станом, PF почне повну оцінку набору правил, Перевіряючи, збігся чи пакет з правилом в завантаженому наборі правил Ми можемо також інструктувати PF про дії стану інформації різними шляхами, але в самому простому випадку як цей, наша головна мета це дозволити повернути трафік для зєднань, які повертаються до нас

Зверніть увагу, що в OpenBSD 41 і пізніших версіях, за замовчуванням для pass правила зберігається інформації про стан 3 і нам не потрібно зберігати стан явно в самому простому випадку як цей Це означає, що набір правил може бути записаний так:

# Мінімальний набір правил, OpenBSD 41 і пізніших версіях зберігає стан # за замовчуванням block in all

pass out all

Фактично, ви можете навіть залишити тут ключове слово all, якщо вам подобається

В інших BSD системах справи йдуть приблизно так само, і в частині книги, ми будемо дотримуватися нового стилю правил, з рідкісними нагадуваннями, в тому випадку якщо ви використовуєте старі системи Само собою, ми будемо вважати, що весь трафік генерований від хоста, про який йде мова, по суті заслуговує довіри

Коли ви приготуєтеся використовувати цей набір правил, завантажте їх наступним рядком:

$ sudo pfctl -ef /etc/pfconf

3 Насправді, нове значення за замовчуванням відповідає зберіганню стану прапорів S / SA, гарантуючи, що тільки ініційовані SYN пакети при встановленні зєднання створять стан, усунути деякі загадкові сценарії помилки

Набір правил повинен бути завантажений без яких або помилок або попереджень У всіх системах, крім самих повільних, вам повинно відразу ж повернутися запрошення командного рядка

Джерело: Книга про PF, by Peter NM Hansteen, Переклад виконав Михайлов Олексій aka iboxjo

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*