Установка PF на OpenBSD

У OpenBSD 46 і пізніше, вам немає необхідності активізувати PF, оскільки PF активізований і встановлений у мінімальній конфігурації за умолчанію1

1 Якщо ви встановлюєте перший раз PF конфігурацію на OpenBSD версії попередньої ніж ця, кращим радою буде зробити модернізацію до самої останньої стабільної версії Якщо з якоїсь причини ви повинні залишитися з більш старою версією, ви повинні будете проконсультуватися з першим виданням цієї книги, а також з сторінками мінлива та іншою документацією для тієї версії, яку ви використовуєте

Якщо ви подивитеся повідомлення виводяться на системну консоль в процесі завантаження системи, ви зможете помітити повідомлення pf enables, Яке зявиться незабаром після завершення повідомлень ядра

Якщо ви не побачили повідомлення pf enabled в консолі під час завантаження, у вас є кілька можливостей, що дозволяють перевірити, чи дійсно PF активізований

Один простий шлях для перевірки – ввести команду, яка використовується для

активізації PF в командному рядку, схожу на цю:

$ sudo pfctl –e

Якщо PF вже активізований, система відповість на це повідомленням:

pfctl: pf already enabled

Якщо PF не активізовано команда pfctl –e актвізірует PF і відобразить:

pf enabled

У версіях попередніх OpenBSD 46, PF був не активізовано за замовчуванням Ви можете перевизначити значення за замовчуванням відредагувавши ваш /etc/rcconflocal (Або створивши файл, якщо він не існує) Хоча в цьому немає необхідності в останніх версіях OpenBSD, не складно додати рядок в ваш /etc/rcconflocal файл:

pf=YES                  # enable PF

Якщо звернутися до вмісту файлу /etc/pfconf на свіжій інсталяції OpenBSD, перше, ви побачите своє перше працююче правило

За замовчуванням файл pfconf в OpenBSD починається з установки правила для інтерфейсу lo дозволяє зберегти впевненість, що трафік на інтерфейсі петлі не фільтрується

Наступна активна рядок це правило pass, за замовчуванням дозволяє проходити

вашому мережному трафіку І, нарешті, правило block, Блокує віддалений трафік X11 до вашої машини

Як ви можливо помітили, за замовчуваннямpfconf файл також містить кілька закоментувавши рядків починаються з хеш символу (#) У цих коментарях ви

будете знаходити пропоновані правила, які натякають на корисні настройки, такі як FTP проксінг (дивіться Главу 3) і spamd, Демон блокування спаму OpenBSD

(Дивіться Главу 6) Ці опції потенційно корисні в різних реальних сценаріях, але, оскільки вони не можуть бути актуальні у всіх конфігураціях, вони

закоментовані за замовчуванням

Якщо ви розглянете налаштування повязані з PF у файлі /etc/rcconf, Ви знайдете рядок pf_rules = В принципі, ви можете вказувати в цьому файлі конфігурацію відмінну від

файлу/etc/pfconf Однак, зміна цього параметра на стоїть витрати часу

Використовуючи установки за замовчуванням ви даєте перевагу для великої кількості домашніх додатків, таких як автоматичне нічний резервне копіювання вашої конфігурації в /var/backups На OpenBSD скрипт /etc/rc  має вбудований механізм який допоможе вам, якщо ви перезавантажили pf або за відсутності файлу pfconf або якщо він містить неприпустимий набір правил Перед активізацією будь-яких мережевих інтерфейсів, rc скрипт завантажує правило дозволяє кілька базових сервісів: SSH звідки завгодно, базовий дозвіл імен і монтування NFS Це дозволяє вам залогінитися і виправити будь-які помилки у вашому наборі правил, завантажити коректний набір правил і продовжити роботу

Джерело: Книга про PF, by Peter NM Hansteen, Переклад виконав Михайлов Олексій aka iboxjo

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*