Kako konfigurirati požarni zid v FreeBSD s PF Linuxom

Varnost v katerem koli operacijskem sistemu mora biti vedno eden glavnih prostorov, s katerimi se lahko vsak dan borite, saj je odvisen od več elementov, kot so uporabniške datoteke, konfiguracije, storitve in drugi. Nepravilna konfiguracija varnostnih parametrov je povezana z ranljivostjo, ki pušča vrata odprta, tako da imajo napadalci prost dostop do izvajanja svojih ukrepov.

Eden glavnih mehanizmov varnosti je povezan s sistemskim požarnim zidom, ker je zaradi njega mogoče filtrirati dohodne in odhodne pakete iz omrežja in ustvariti različna pravila, da bi izboljšali varnost tako sistema kot aplikacij in predmetov, shranjenih v l.

Zato bo danes Solvetic podrobno razložil, kako konfigurirati požarni zid v FreeBSD s pomočjo pf.

Kaj je pf

PF (Packet Filter) je bil razvit kot programska oprema za požarni zid za FreeBSD sisteme, s katerimi lahko oblikujemo na stotine pravil, ki nam omogočajo, da na veliko bolj centraliziran način upravljamo z dostopom in obnašanjem vseh elementov sistema.

Zdaj bomo videli, kako omogočiti in konfigurirati pf v FreeBSD.

1. Kako aktivirati požarni zid Linuxa

Čeprav je pf integriran v FreeBSD, moramo v datoteko /etc/rc.conf dodati poljubne vrstice s katerim koli želenim urejevalnikom:

 nano /etc/rc.conf 

Vrstice, ki jih je treba dodati:

 echo 'pf_enable = "DA"' >> /etc/rc.confecho 'pf_rules = "/ usr / local / etc / pf.conf"' >> /etc/rc.confecho 'pflog_enable = "DA"' >> / itd / rc.confecho 'pflog_logfile = "/ var / log / pflog"' >> /etc/rc.conf 

Ko dodamo te vrstice, spremembe shranimo s tipkami Ctrl + O in urednik izstopimo s Ctrl + X.

Vrstice, ki smo jih dodali, so:

Omogočite storitev PF

 pf_enable = "DA" 

Vzemite pravila PF iz te posebne datoteke

 pf_rules = "/ usr / local / itd / pf.conf" 

Omogoči podporo za registracijo PF

 pflog_enable = "DA" 

Nanaša se na datoteko, v katero naj pflogd shrani datoteko dnevnika

 pflog_logfile = "/ var / log / pflog" 

Tam bodo zapisi shranjeni v datoteko / var / log / pflog.

2. Kako ustvariti pravila v datoteki /usr/local/etc/pf.conf Linux

Ko smo dodali prejšnje vrstice, bomo dostopili do datoteke /usr/local/etc/pf.conf in ustvarili pravila, ki jih mora brati pf in ki jih bomo upoštevali ob zaščiti.
Dostopamo z nekim urejevalnikom:

 nano /usr/local/etc/pf.conf 

Ker gre za novo datoteko, je možnosti pravil na tisoče, v tem primeru lahko preidemo na naslednjo povezavo in kopiramo pravilo, ki velja za spletni strežnik, in ga prilepimo v našo konfiguracijsko datoteko:

Pravila PF

Tam moramo razmisliti o spremembi omrežnega adapterja v polju ext_if za pravilno v vsakem primeru.

V to datoteko smo dodali naslednja pravila:

 # vim: set ft = pf # /etc/pf.confext_if="em0"webports = "{http, https}" int_tcp_services = "{domena, ntp, smtp, www, https, ftp}" int_udp_services = "{domena, ntp} "nastavite preskočite na losetterface loginterface $ ext_if # Normalizationscrub v vseh naključnih fragmentih znova sestavite blokado vrnitev v dnevnik allblock ven allantispoof hitro za $ ext_if # Block 'hitri ogenj, hitra sila, poskušljiva vztrajna blokada hitro od # ftp-proxy mora imeti sidrišče "ftp-proxy / *" # SSH posluša na portalu 26pass v hitrem proto tcp do $ ext_if port 26 stanje vzdrževanja (max-src-conn 15, max-src-conn-stopnja 5/3, globalna rdeča preobremenitev) # Webserverpass proto tcp iz katerega koli do $ ext_if port $ webports # Dovoli, da bistveni odhodni promet hitro odide na $ ext_if proto tcp do katerega koli pristanišča $ int_tcp_servicespass hitro na $ ext_if proto udp na katero koli pristanišče $ int_udp_services 

Nekaj ​​bistvenega je treba upoštevati, da ima pf določen vrstni red za določitev pravil in to je:

$config[ads_text5] not found

Makroni

Makroi morajo biti definirani, preden so nanje navedeni v pf.conf
Mize

Tabele zagotavljajo mehanizem za povečanje učinkovitosti in prilagodljivosti pravil
Možnosti

Možnosti prilagodijo obnašanje motorja za filtriranje paketov.
Normalizacija prometa

To pravilo varuje notranje stroje pred nedoslednostmi v internetnih protokolih in izvedbah.
Čakalne vrste

Omogoča nadzor pasovne širine na podlagi določenih pravil
Prevod

Ta možnost določa, kako naj bodo naslovi preslikani ali preusmerjeni.
Filtriranje paketov

Ponuja ključavnico, ki temelji na pravilih

Ko so pravila ustvarjena, spremembe shranimo s pomočjo Ctrl + O in urednik izstopimo s Ctrl + X.

3. Kako omogočiti storitev Linux pf

Nato bomo izvedli vrsto ukazov za preverjanje in zagon storitve pf v FreeBSD.

1. korak
Za preverjanje stanja omogočenosti pf izvedemo vrstico:

 pfctl -e 

2. korak
Za zagon storitve pf zaženemo naslednjo vrstico:

 servis pf start 

3. korak
Storitev preverimo z izvajanjem:

 servis pf check 

4. korak
Na tej točki lahko izvedemo tudi katero od naslednjih možnosti:

 /etc/rc.d/pf checkpfctl -n -f /usr/local/etc/pf.conf 

Če želimo ustaviti storitev pf, jo izvedemo:

 servis pf stop 

Če želite znova zagnati storitev pf:

 servis pf znova zaženite 

5. korak
Če želimo videti trenutno stanje storitve pf:

 status pf storitve 

6. korak
Požarni zid pf uporablja storitev pflog za shranjevanje in beleženje vseh varnostnih dogodkov, ki se zgodijo v sistemu, možnosti uporabe so:

 storitev pflog start (Service start) storitev pflog stop (Service stop) storitev pflog restart 

$config[ads_text5] not found

4. Kako uporabljati pf v FreeBSD Linuxu

Z ukazom pfctl bo treba vizualizirati nabor pravil pf in konfiguracijo parametrov, vključno s podatki o stanju filtra za paket.
Za ogled teh podatkov izvedemo naslednje:

 pravila pfctl -s 

Poleg tega bomo imeli še več možnosti, kot so:

Dodajte številko pravila

 pfctl -vvsr show 

Prikaži stanje

 pfctl -s statepfctl -s stanje | več 

$config[ads_text6] not found

Onemogoči pf

 pfctl -d 

Omogoči pf

 pfctl -e 

Počistite vsa pravila

 pfctl -F vse 

Izbrišite samo poizvedbe

 pfctl -F vrsta 

Počisti vse države

 pfctl -F informacije 

Oglejte si dogodke pf

 tcpdump -n -e -ttt -r / var / log / pflog 

$config[ads_text5] not found

Vidimo, kako je pf praktično orodje pri delu s požarnim zidom v FreeBSD.