Hur man konfigurerar brandvägg på FreeBSD med PF Linux

Säkerhet i alla operativsystem bör alltid vara en av de viktigaste förutsättningarna att bekämpa varje dag eftersom flera element är beroende av det, till exempel användarfiler, konfigurationer, tjänster och andra. En felaktig konfiguration av säkerhetsparametrarna är förknippad med en sårbarhet som lämnar dörrar öppna så att angripare kan få fri tillgång till sina handlingar.

En av de viktigaste säkerhetsmekanismerna är kopplad till systemets brandvägg eftersom det tack vare den är möjligt att filtrera inkommande och utgående paket från nätverket och skapa olika regler för att förbättra säkerheten för både systemet och applikationer och objekt lagrade i det . l.

Det är därför Solvetic idag kommer att förklara i detalj hur man konfigurerar brandväggen i FreeBSD med hjälp av pf.

Vad är pfPF (Packet Filter - Packet Filter) har utvecklats som en brandväggsprogramvara för FreeBSD -system med vilka vi kan skapa hundratals regler som gör att vi på ett mycket mer centraliserat sätt kan hantera åtkomst och beteende för alla element i systemet.

Nu ska vi se hur du aktiverar och konfigurerar pf i FreeBSD.

1. Hur du aktiverar Linux -brandväggen

Även om pf är inbyggt i FreeBSD måste vi lägga till följande rader i filen /etc/rc.conf med önskad redigerare:

 nano /etc/rc.conf

Raderna som ska läggas till är:

 echo 'pf_enable = "YES"' >> /etc/rc.confecho 'pf_rules = " / usr / local / etc / pf.conf"' >> /etc/rc.confecho 'pflog_enable = "YES"' >> / etc / rc.confecho 'pflog_logfile = " / var / log / pflog"' >> /etc/rc.conf

När vi lägger till dessa rader sparar vi ändringarna med Ctrl + O -tangenterna och vi lämnar redigeraren med Ctrl + X.

Raderna som vi har lagt till är:

Aktivera PF -tjänsten

 pf_enable = "JA"

Ta PF -reglerna från den här specifika filen

 pf_rules = " / usr / local / etc / pf.conf"

Aktivera loggningsstöd för PF

 pflog_enable = "JA"

Avser filen där pflogd ska lagra loggfilen

 pflog_logfile = " / var / log / pflog"

Där kommer loggarna att lagras i filen / var / log / pflog.

2. Hur man skapar regler i Linux /usr/local/etc/pf.conf -fil

När de tidigare raderna har lagts till kommer vi åt filen /usr/local/etc/pf.conf för att skapa de regler som pf måste läsa och som kommer att beaktas vid skydd.
Vi kommer åt med hjälp av en redaktör:

 nano /usr/local/etc/pf.conf

Eftersom det är en ny fil är möjligheterna för regler tusentals, i det här fallet kan vi gå till följande länk och kopiera regeln, som gäller för en webbserver, och klistra in den i vår konfigurationsfil:

Där måste vi ta hänsyn till att modifiera nätverkskortet i ext_if -fältet för det rätta i varje fall.

I den här filen har vi lagt till följande regler:

 # vim: set ft = pf # /etc/pf.confext_if="em0"webports = "{http, https}" int_tcp_services = "{domän, ntp, smtp, www, https, ftp}" int_udp_services = "{domän, ntp} "set hoppa över loset loginterface $ ext_if # Normaliseringskrubba i alla slump-id-fragmentet återmontera blockera inlogga allblock ut allantispoof snabbt för $ ext_if # Block 'rapid-fire brute force försökstabilt persistblock snabbt från # ftp-proxy måste ha en förankring "ftp-proxy / *" # SSH lyssnar på port 26pass i snabb proto tcp till $ ext_if port 26 behåll tillstånd (max-src-conn 15, max-src-conn-rate 5/3, overload flush global) # Webserverpass proto tcp från vilken som helst till $ ext_if port $ webports # Tillåt viktig utgående trafikpass snabbt ut på $ ext_if proto tcp till någon port $ int_tcp_services går snabbt ut på $ ext_if proto udp till någon port $ int_udp_services

Något viktigt att komma ihåg är att pf har en definierad ordning för att fastställa reglerna och detta är:

MakronMakron måste definieras innan de refereras till i pf.conf
TabellerTabeller ger en mekanism för att öka prestandan och flexibiliteten hos reglerna
alternativAlternativen justerar beteendet hos paketfiltreringsmotorn.
TrafiknormaliseringDenna regel skyddar interna maskiner mot inkonsekvenser i internetprotokoll och implementeringar.
KöaGer bandbreddskontroll baserad på definierade regler
ÖversättningDet här alternativet anger hur adresser ska mappas eller omdirigeras.
PaketfiltreringErbjuder ett regelbaserat lås

När reglerna har skapats sparar vi ändringarna med Ctrl + O och lämnar redigeraren med Ctrl + X.

3. Så här aktiverar du Linux pf -tjänst

Därefter kör vi en serie kommandon för att kontrollera och starta pf -tjänsten på FreeBSD.

Steg 1
För att verifiera statusen för pf -aktivering kör vi raden:

 pfctl -e

Steg 2
För att starta pf -tjänsten kör vi följande rad:

 service pf start

Steg 3
Vi kontrollerar tjänsten genom att köra:

 service pf check

Steg 4
Vid denna tidpunkt kan vi också köra något av följande alternativ:

 /etc/rc.d/pf checkpfctl -n -f /usr/local/etc/pf.conf

Om vi ​​vill stoppa pf -tjänsten kör vi:

 service pf stopp

Så här startar du om pf -tjänsten:

 service pf starta om

Steg 5
Om vi ​​vill se den aktuella statusen för pf -tjänsten:

 tjänst pf status

Steg 6
Pf -brandväggen använder pflog -tjänsten för att lagra och registrera alla säkerhetshändelser som uppstår i systemet, alternativen för användning är:

 service pflog start service pflog stop service pflog restart

4. Hur man använder pf i FreeBSD Linux

Du måste använda kommandot pfctl för att kunna se pf -regeluppsättningen och parameterinställningarna, inklusive paketfilterstatusinformation.
För att se denna information utför vi följande:

 pfctl -s regler

Utöver detta kommer vi att ha fler alternativ som:

Lägg till regelnummer

 pfctl -vvsr show

Visa status

 pfctl -s statepfctl -s tillstånd | Mer

Inaktivera pf

 pfctl -d

Aktivera pf

 pfctl -e

Rensa alla regler

 pfctl -F alla

Radera bara frågorna

 pfctl -F -kö

Rensa alla stater

 pfctl -F info

Visa pf -händelser

 tcpdump -n -e -ttt -r / var / log / pflog

Vi kan se hur pf är ett praktiskt verktyg när du arbetar med brandväggen i FreeBSD.