Kaip sukonfigūruoti užkardą „FreeBSD“ naudojant „PF Linux“

Bet kurios operacinės sistemos saugumas visada turėtų būti viena iš pagrindinių patalpų, dėl kurios reikia kovoti kiekvieną dieną, nes nuo jos priklauso keli elementai, tokie kaip vartotojo failai, konfigūracija, paslaugos ir kiti. Netinkama saugos parametrų konfigūracija yra susijusi su pažeidžiamumu, dėl kurio durys atidaromos, kad užpuolikai galėtų laisvai pasiekti savo veiksmus.

Vienas iš pagrindinių apsaugos mechanizmų yra susijęs su sistemos užkarda, nes jos dėka galima filtruoti gaunamus ir siunčiamus paketus iš tinklo ir sukurti įvairias taisykles, siekiant pagerinti sistemos ir joje saugomų programų bei objektų saugumą. . l.

Štai kodėl šiandien „Solvetic“ išsamiai paaiškins, kaip sukonfigūruoti užkardą „FreeBSD“ naudojant pf.

Kas yra pfPF (paketų filtras - paketų filtras) buvo sukurta kaip „FreeBSD“ sistemų užkardos programinė įranga, su kuria galime sukurti šimtus taisyklių, leidžiančių daug centralizuotiau valdyti visų sistemos elementų prieigą ir elgesį.

Dabar pamatysime, kaip įjungti ir sukonfigūruoti pf „FreeBSD“.

1. Kaip įjungti „Linux“ užkardą


Nors pf yra integruotas į „FreeBSD“, mes turime pridėti šias eilutes /etc/rc.conf faile su norimu redaktoriumi:
 nano /etc/rc.conf
Pridėtinos eilutės:
 echo 'pf_enable = "TAIP"' >> /etc/rc.confecho 'pf_rules = " / usr / local / etc / pf.conf"' >> /etc/rc.confecho 'pflog_enable = "TAIP"' >> / etc / rc.confecho 'pflog_logfile = " / var / log / pflog"' >> /etc/rc.conf

Kai pridėsime šias eilutes, išsaugosime pakeitimus naudodami klavišus Ctrl + O ir išeisime iš redaktoriaus naudodami Ctrl + X.

Mes pridėjome šias eilutes:

Įgalinti PF paslaugą

 pf_enable = "TAIP"

Paimkite PF taisykles iš šio konkretaus failo
 pf_rules = " / usr / local / etc / pf.conf"

Įgalinti PF registravimo palaikymą
 pflog_enable = "TAIP"

Nurodo failą, kuriame pflogd turėtų saugoti žurnalo failą

 pflog_logfile = " / var / log / pflog"
Žurnalai bus saugomi faile / var / log / pflog.

2. Kaip sukurti taisykles „Linux“ /usr/local/etc/pf.conf faile


Pridėję ankstesnes eilutes, pateksime į /usr/local/etc/pf.conf failą, kad sukurtume taisykles, kurias pf turi perskaityti ir į kurias bus atsižvelgiama apsaugant.
Mes pasiekiame naudodami redaktorių:
 nano /usr/local/etc/pf.conf
Kadangi tai yra naujas failas, taisyklių galimybės yra tūkstančiai, šiuo atveju galime pereiti prie šios nuorodos ir nukopijuoti taisyklę, kuri taikoma žiniatinklio serveriui, ir įklijuoti ją į mūsų konfigūracijos failą:

Ten turime atsižvelgti į tinklo adapterio pakeitimą lauke „ext_if“, kad jis būtų tinkamas kiekvienu atveju.

Šiame faile pridėjome šias taisykles:

 # vim: set ft = pf # /etc/pf.confext_if="em0"webports = "{http, https}" int_tcp_services = "{domain, ntp, smtp, www, https, ftp}" int_udp_services = "{domenas, ntp} "set skip on loset loginterface $ ext_if # Normalizationcrub visuose atsitiktinių taškų fragmentuose reassembleblock grąžinimas žurnale allblock out allantispoof quick for $ ext_if # Blokuoti" fast-fire brute force "bandomąjį stabilų blokavimą greitai iš # ftp-proxy reikia turėti inkarą "ftp-proxy / *" # SSH klausosi 26 prievado, greitai proto tcp į $ ext_if 26 prievadą išlaikyti būseną (max-src-conn 15, max-src-conn-rate 5/3, perkrovos praplovimas globalus) # Webserverpass proto tcp iš bet kurio į $ ext_if prievadą $ webports # Leisti esminiam išeinančiam srautui greitai išeiti per $ ext_if proto tcp į bet kurį prievadą
Svarbu nepamiršti, kad pf turi apibrėžtą tvarką, kad nustatytų taisykles, ir tai yra:

MakrokomandosMakrokomandos turi būti apibrėžtos prieš jas nurodant pf.conf
LentelėsLentelėse pateikiamas taisyklių našumo ir lankstumo didinimo mechanizmas
GalimybėsParinktys reguliuoja paketų filtravimo variklio veikimą.
Eismo normalizavimasŠi taisyklė apsaugo vidines mašinas nuo neatitikimų interneto protokoluose ir diegimuose.
EilėTeikia pralaidumo valdymą pagal apibrėžtas taisykles
VertimasŠi parinktis nurodo, kaip adresai turėtų būti susieti ar peradresuoti.
Paketų filtravimasSiūlo taisyklėmis pagrįstą užraktą

Kai taisyklės bus sukurtos, išsaugosime pakeitimus naudodami Ctrl + O ir išeisime iš redaktoriaus naudodami Ctrl + X.

3. Kaip įjungti „Linux pf“ paslaugą


Toliau paleisime komandų seriją, kad patikrintume ir paleistume „pf“ paslaugą „FreeBSD“.

1 žingsnis
Norėdami patikrinti pf įgalinimo būseną, vykdome eilutę:

 pfctl -e

2 žingsnis
Norėdami pradėti pf paslaugą, vykdome šią eilutę:

 paslaugos pradžia

3 žingsnis
Paslaugą tikriname atlikdami:

 paslaugos pf patikrinimas

4 žingsnis
Šiuo metu taip pat galime atlikti bet kurią iš šių parinkčių:

 /etc/rc.d/pf checkpfctl -n -f /usr/local/etc/pf.conf
Jei norime sustabdyti pf paslaugą, vykdome:
 paslaugos pf stop
Norėdami iš naujo paleisti pf paslaugą:
 service pf restart

5 žingsnis
Jei norime pamatyti dabartinę pf paslaugos būseną:

 paslaugos pf būsena

6 žingsnis
„Pf“ užkardoje naudojama „pflog“ paslauga, skirta saugoti ir įrašyti visus sistemos įvykius, kurie naudojami sistemoje. Naudojimo parinktys yra šios:

 paslauga pflog paleisti paslaugą pflog sustabdyti paslaugą pflog restart

4. Kaip naudotis pf „FreeBSD Linux“


Norėdami peržiūrėti pf taisyklių rinkinį ir parametrų nustatymus, įskaitant paketų filtro būsenos informaciją, turėsite naudoti komandą pfctl.
Norėdami pamatyti šią informaciją, vykdome šiuos veiksmus:
 pfctl -s taisyklės

Be to, turėsime daugiau galimybių, tokių kaip:

Pridėkite taisyklės numerį

 pfctl -vvsr šou

Rodyti būseną

 pfctl -s būsenapfctl -s būsena | daugiau

Išjungti pf

 pfctl -d

Įgalinti pf

 pfctl -e

Išvalyti visas taisykles

 pfctl -F visi

Ištrinkite tik užklausas

 pfctl -F eilė

Išvalyti visas būsenas

 pfctl -F informacija

Peržiūrėkite PF įvykius

 tcpdump -n -e -ttt -r / var / log / pflog

Matome, kaip pf yra praktiškas įrankis dirbant su „FreeBSD“ užkarda.

wave wave wave wave wave