Slik konfigurerer du brannmur på FreeBSD med PF Linux

Sikkerhet i ethvert operativsystem bør alltid være en av hovedpremissene for å bekjempe hver dag siden flere elementer er avhengige av det, for eksempel brukerfiler, konfigurasjoner, tjenester og andre. En feil konfigurasjon av sikkerhetsparametrene er knyttet til et sårbarhet som lar dører stå åpne slik at angriperne kan få fri tilgang til å utføre handlingene sine.

En av de viktigste sikkerhetsmekanismene er knyttet til systemets brannmur siden takket være den er det mulig å filtrere innkommende og utgående pakker fra nettverket og lage forskjellige regler for å forbedre sikkerheten til både systemet og applikasjonene og objektene som er lagret i det . l.

Derfor vil Solvetic i dag forklare i detalj hvordan du konfigurerer brannmuren i FreeBSD ved hjelp av pf.

Hva er pfPF (Packet Filter - Packet Filter) er utviklet som en brannmurprogramvare for FreeBSD -systemer som vi kan lage hundrevis av regler som lar oss administrere tilgang og oppførsel for alle elementene i systemet på en mye mer sentralisert måte.

Nå skal vi se hvordan du aktiverer og konfigurerer pf i FreeBSD.

1. Slik aktiverer du Linux -brannmuren

Selv om pf er innebygd i FreeBSD, må vi legge til følgende linjer i filen /etc/rc.conf med ønsket redaktør:

 nano /etc/rc.conf

Linjene som skal legges til er:

 echo 'pf_enable = "YES"' >> /etc/rc.confecho 'pf_rules = " / usr / local / etc / pf.conf"' >> /etc/rc.confecho 'pflog_enable = "YES"' >> / etc / rc.confecho 'pflog_logfile = " / var / log / pflog"' >> /etc/rc.conf

Når vi legger til disse linjene lagrer vi endringene ved hjelp av Ctrl + O -tastene, og vi avslutter redigeringsprogrammet med Ctrl + X.

Linjene vi har lagt til er:

Aktiver PF -tjenesten

 pf_enable = "JA"

Ta PF -reglene fra denne spesifikke filen

 pf_rules = " / usr / local / etc / pf.conf"

Aktiver loggstøtte for PF

 pflog_enable = "JA"

Refererer til filen der pflogd skal lagre loggfilen

 pflog_logfile = " / var / log / pflog"

Der vil loggene bli lagret i filen / var / log / pflog.

2. Hvordan lage regler i Linux /usr/local/etc/pf.conf -fil

Når de forrige linjene er lagt til, får vi tilgang til filen /usr/local/etc/pf.conf for å lage reglene som pf må lese og som vil bli tatt i betraktning ved beskyttelse.
Vi får tilgang ved hjelp av en redaktør:

 nano /usr/local/etc/pf.conf

Siden det er en ny fil, er mulighetene for regler tusenvis, for dette tilfellet kan vi gå til følgende lenke og kopiere regelen, som gjelder for en webserver, og lime den inn i vår konfigurasjonsfil:

Der må vi ta hensyn til å endre nettverkskortet i ext_if -feltet for det riktige i hvert tilfelle.

I denne filen har vi lagt til følgende regler:

 # vim: set ft = pf # /etc/pf.confext_if="em0"webports = "{http, https}" int_tcp_services = "{domain, ntp, smtp, www, https, ftp}" int_udp_services = "{domain, ntp} "set hoppe over loset loginterface $ ext_if # Normaliseringskrubb i alle tilfeldige ID-fragmentene, sett sammen blokkering tilbake i logg allblock out allantispoof quick for $ ext_if # Block 'hurtig-brann kraftig forsøkstabil persistblock rask fra # ftp-proxy må ha en forankring "ftp-proxy / *" # SSH lytter på port 26pass i rask proto tcp til $ ext_if port 26 keep state (max-src-conn 15, max-src-conn-rate 5/3, overload flush global) # Webserverpass proto tcp fra hvilken som helst til $ ext_if port $ webports # Tillat viktig utgående trafikkpass raskt ut på $ ext_if proto tcp til hvilken som helst port $ int_tcp_services går raskt ut på $ ext_if proto udp til en port $ int_udp_services

Noe viktig å huske på er at pf har en definert rekkefølge for å etablere reglene, og dette er:

MakroerMakroer må defineres før de refereres til i pf.conf
TabellerTabeller gir en mekanisme for å øke ytelsen og fleksibiliteten til reglene
AlternativerAlternativene justerer oppførselen til pakkefiltreringsmotoren.
Normalisering av trafikkDenne regelen beskytter interne maskiner mot inkonsekvenser i Internett -protokoller og implementeringer.
I køGir båndbreddekontroll basert på definerte regler
OversettelseDette alternativet angir hvordan adresser skal kartlegges eller omdirigeres.
PakkefiltreringTilbyr en regelbasert lås

Når reglene er opprettet lagrer vi endringene med Ctrl + O og avslutter redigeringsprogrammet med Ctrl + X.

3. Slik aktiverer du Linux pf -tjeneste

Deretter vil vi kjøre en rekke kommandoer for å kontrollere og starte pf -tjenesten på FreeBSD.

Trinn 1
For å bekrefte statusen for pf -aktivering kjører vi linjen:

 pfctl -e

Steg 2
For å starte pf -tjenesten utfører vi følgende linje:

 service pf start

Trinn 3
Vi sjekker tjenesten ved å utføre:

 service pf sjekk

Trinn 4
På dette tidspunktet kan vi også utføre et av følgende alternativer:

 /etc/rc.d/pf checkpfctl -n -f /usr/local/etc/pf.conf

Hvis vi ønsker å stoppe pf -tjenesten, utfører vi:

 service pf stopp

Slik starter du pf -tjenesten på nytt:

 service pf restart

Trinn 5
Hvis vi vil se gjeldende status for pf -tjenesten:

 service pf status

Trinn 6
Pf -brannmuren bruker pflog -tjenesten til å lagre og registrere alle sikkerhetshendelser som oppstår i systemet, alternativene for bruk er:

 service pflog start service pflog stop service pflog restart

4. Hvordan bruke pf i FreeBSD Linux

Du må bruke kommandoen pfctl for å se pf -regelsettet og parameterinnstillingene, inkludert informasjon om pakkefilterstatus.
For å se denne informasjonen utfører vi følgende:

 pfctl -s regler

I tillegg til dette vil vi ha flere alternativer som:

Legg til regelnummer

 pfctl -vvsr show

Vis status

 pfctl -s statepfctl -s tilstand | mer

Deaktiver pf

 pfctl -d

Aktiver pf

 pfctl -e

Fjern alle regler

 pfctl -F alle

Slett bare spørsmålene

 pfctl -F kø

Fjern alle stater

 pfctl -F info

Se pf -hendelser

 tcpdump -n -e -ttt -r / var / log / pflog

Vi kan se hvordan pf er et praktisk verktøy når du arbeider med brannmuren i FreeBSD.