Sikkerhet i ethvert operativsystem bør alltid være en av hovedpremissene for å bekjempe hver dag siden flere elementer er avhengige av det, for eksempel brukerfiler, konfigurasjoner, tjenester og andre. En feil konfigurasjon av sikkerhetsparametrene er knyttet til et sårbarhet som lar dører stå åpne slik at angriperne kan få fri tilgang til å utføre handlingene sine.
En av de viktigste sikkerhetsmekanismene er knyttet til systemets brannmur siden takket være den er det mulig å filtrere innkommende og utgående pakker fra nettverket og lage forskjellige regler for å forbedre sikkerheten til både systemet og applikasjonene og objektene som er lagret i det . l.
Derfor vil Solvetic i dag forklare i detalj hvordan du konfigurerer brannmuren i FreeBSD ved hjelp av pf.
Hva er pfPF (Packet Filter - Packet Filter) er utviklet som en brannmurprogramvare for FreeBSD -systemer som vi kan lage hundrevis av regler som lar oss administrere tilgang og oppførsel for alle elementene i systemet på en mye mer sentralisert måte.
Nå skal vi se hvordan du aktiverer og konfigurerer pf i FreeBSD.
1. Slik aktiverer du Linux -brannmuren
Selv om pf er innebygd i FreeBSD, må vi legge til følgende linjer i filen /etc/rc.conf med ønsket redaktør:
nano /etc/rc.confLinjene som skal legges til er:
echo 'pf_enable = "YES"' >> /etc/rc.confecho 'pf_rules = " / usr / local / etc / pf.conf"' >> /etc/rc.confecho 'pflog_enable = "YES"' >> / etc / rc.confecho 'pflog_logfile = " / var / log / pflog"' >> /etc/rc.conf
Når vi legger til disse linjene lagrer vi endringene ved hjelp av Ctrl + O -tastene, og vi avslutter redigeringsprogrammet med Ctrl + X.
Linjene vi har lagt til er:
Aktiver PF -tjenesten
pf_enable = "JA"
Ta PF -reglene fra denne spesifikke filen
pf_rules = " / usr / local / etc / pf.conf"
Aktiver loggstøtte for PF
pflog_enable = "JA"
Refererer til filen der pflogd skal lagre loggfilen
pflog_logfile = " / var / log / pflog"Der vil loggene bli lagret i filen / var / log / pflog.
2. Hvordan lage regler i Linux /usr/local/etc/pf.conf -fil
Når de forrige linjene er lagt til, får vi tilgang til filen /usr/local/etc/pf.conf for å lage reglene som pf må lese og som vil bli tatt i betraktning ved beskyttelse.
Vi får tilgang ved hjelp av en redaktør:
nano /usr/local/etc/pf.confSiden det er en ny fil, er mulighetene for regler tusenvis, for dette tilfellet kan vi gå til følgende lenke og kopiere regelen, som gjelder for en webserver, og lime den inn i vår konfigurasjonsfil:
Der må vi ta hensyn til å endre nettverkskortet i ext_if -feltet for det riktige i hvert tilfelle.
I denne filen har vi lagt til følgende regler:
# vim: set ft = pf # /etc/pf.confext_if="em0"webports = "{http, https}" int_tcp_services = "{domain, ntp, smtp, www, https, ftp}" int_udp_services = "{domain, ntp} "set hoppe over loset loginterface $ ext_if # Normaliseringskrubb i alle tilfeldige ID-fragmentene, sett sammen blokkering tilbake i logg allblock out allantispoof quick for $ ext_if # Block 'hurtig-brann kraftig forsøkstabil persistblock rask fra # ftp-proxy må ha en forankring "ftp-proxy / *" # SSH lytter på port 26pass i rask proto tcp til $ ext_if port 26 keep state (max-src-conn 15, max-src-conn-rate 5/3, overload flush global) # Webserverpass proto tcp fra hvilken som helst til $ ext_if port $ webports # Tillat viktig utgående trafikkpass raskt ut på $ ext_if proto tcp til hvilken som helst port $ int_tcp_services går raskt ut på $ ext_if proto udp til en port $ int_udp_servicesNoe viktig å huske på er at pf har en definert rekkefølge for å etablere reglene, og dette er:
MakroerMakroer må defineres før de refereres til i pf.conf
TabellerTabeller gir en mekanisme for å øke ytelsen og fleksibiliteten til reglene
AlternativerAlternativene justerer oppførselen til pakkefiltreringsmotoren.
Normalisering av trafikkDenne regelen beskytter interne maskiner mot inkonsekvenser i Internett -protokoller og implementeringer.
I køGir båndbreddekontroll basert på definerte regler
OversettelseDette alternativet angir hvordan adresser skal kartlegges eller omdirigeres.
PakkefiltreringTilbyr en regelbasert lås
Når reglene er opprettet lagrer vi endringene med Ctrl + O og avslutter redigeringsprogrammet med Ctrl + X.
3. Slik aktiverer du Linux pf -tjeneste
Deretter vil vi kjøre en rekke kommandoer for å kontrollere og starte pf -tjenesten på FreeBSD.
Trinn 1
For å bekrefte statusen for pf -aktivering kjører vi linjen:
pfctl -e
Steg 2
For å starte pf -tjenesten utfører vi følgende linje:
service pf start
Trinn 3
Vi sjekker tjenesten ved å utføre:
service pf sjekk
Trinn 4
På dette tidspunktet kan vi også utføre et av følgende alternativer:
/etc/rc.d/pf checkpfctl -n -f /usr/local/etc/pf.confHvis vi ønsker å stoppe pf -tjenesten, utfører vi:
service pf stoppSlik starter du pf -tjenesten på nytt:
service pf restart
Trinn 5
Hvis vi vil se gjeldende status for pf -tjenesten:
service pf status
Trinn 6
Pf -brannmuren bruker pflog -tjenesten til å lagre og registrere alle sikkerhetshendelser som oppstår i systemet, alternativene for bruk er:
service pflog start service pflog stop service pflog restart
4. Hvordan bruke pf i FreeBSD Linux
Du må bruke kommandoen pfctl for å se pf -regelsettet og parameterinnstillingene, inkludert informasjon om pakkefilterstatus.
For å se denne informasjonen utfører vi følgende:
pfctl -s regler
I tillegg til dette vil vi ha flere alternativer som:
Legg til regelnummer
pfctl -vvsr show
Vis status
pfctl -s statepfctl -s tilstand | mer
Deaktiver pf
pfctl -d
Aktiver pf
pfctl -e
Fjern alle regler
pfctl -F alle
Slett bare spørsmålene
pfctl -F kø
Fjern alle stater
pfctl -F info
Se pf -hendelser
tcpdump -n -e -ttt -r / var / log / pflog
Vi kan se hvordan pf er et praktisk verktøy når du arbeider med brannmuren i FreeBSD.
