So konfigurieren Sie die Firewall unter FreeBSD mit PF Linux

Die Sicherheit in jedem Betriebssystem sollte immer eine der Hauptvoraussetzungen sein, für die man jeden Tag kämpfen muss, da mehrere Elemente davon abhängen, wie Benutzerdateien, Konfigurationen, Dienste und andere. Eine falsche Konfiguration der Sicherheitsparameter ist mit einer Schwachstelle verbunden, die Türen offen lässt, damit Angreifer freien Zugang zu ihren Aktionen haben.

Einer der wichtigsten Sicherheitsmechanismen ist mit der Firewall des Systems verbunden, da es möglich ist, eingehende und ausgehende Pakete aus dem Netzwerk zu filtern und verschiedene Regeln zu erstellen, um die Sicherheit des Systems und der darin gespeicherten Anwendungen und Objekte zu verbessern .l.

Aus diesem Grund erklärt Solvetic heute ausführlich, wie Sie die Firewall in FreeBSD mit pf konfigurieren.

Was ist pfPF (Packet Filter - Packet Filter) wurde als Firewall-Software für FreeBSD-Systeme entwickelt, mit der wir Hunderte von Regeln erstellen können, die es uns ermöglichen, den Zugriff und das Verhalten aller Elemente des Systems viel zentralisierter zu verwalten.

Jetzt werden wir sehen, wie man pf in FreeBSD aktiviert und konfiguriert.

1. So aktivieren Sie die Linux-Firewall


Obwohl pf in FreeBSD integriert ist, müssen wir die folgenden Zeilen in der Datei /etc/rc.conf mit einem gewünschten Editor hinzufügen:
 nano /etc/rc.conf
Die hinzuzufügenden Zeilen sind:
 echo 'pf_enable = "YES"' >> /etc/rc.confecho 'pf_rules = "/usr / local / etc / pf.conf"' >> /etc/rc.confecho 'pflog_enable = "YES"' >> / etc / rc.confecho 'pflog_logfile = "/var / log / pflog"' >> /etc/rc.conf

Sobald wir diese Zeilen hinzugefügt haben, speichern wir die Änderungen mit den Tasten Strg + O und verlassen den Editor mit Strg + X.

Die Zeilen, die wir hinzugefügt haben, sind:

Aktivieren Sie den PF-Dienst

 pf_enable = "JA"

Nehmen Sie die PF-Regeln aus dieser speziellen Datei
 pf_rules = "/usr/local/etc/pf.conf"

Protokollierungsunterstützung für PF aktivieren
 pflog_enable = "JA"

Bezieht sich auf die Datei, in der pflogd die Protokolldatei speichern soll

 pflog_logfile = "/var/log/pflog"
Dort werden die Logs in der Datei /var/log/pflog gespeichert.

2. So erstellen Sie Regeln in der Linux-Datei /usr/local/etc/pf.conf


Nachdem die vorherigen Zeilen hinzugefügt wurden, greifen wir auf die Datei /usr/local/etc/pf.conf zu, um die Regeln zu erstellen, die pf lesen muss und die beim Schutz berücksichtigt werden.
Wir greifen über einen Editor zu:
 nano /usr/local/etc/pf.conf
Da es sich um eine neue Datei handelt, gibt es Tausende von Regeln. Für diesen Fall können wir auf den folgenden Link gehen und die Regel, die für einen Webserver gilt, kopieren und in unsere Konfigurationsdatei einfügen:

Dort müssen wir berücksichtigen, dass die Netzwerkkarte im Feld ext_if auf die jeweils richtige geändert wird.

In dieser Datei haben wir die folgenden Regeln hinzugefügt:

 # vim: set ft = pf # /etc/pf.confext_if="em0"webports = "{http, https}" int_tcp_services = "{domain, ntp, smtp, www, https, ftp}" int_udp_services = "{domain, ntp} "set skip on lost logininterface $ ext_if # Normalizationscrub in all random-id fragment reassembleblock return in log allblock out allantispoof quick for $ ext_if # Block 'rapid-fire brute force trytable persistblock quick from # ftp-proxy braucht einen Anchoranchor "ftp-proxy / *" # SSH lauscht auf Port 26pass in Quick Proto tcp an $ ext_if Port 26 Zustand beibehalten (max-src-conn 15, max-src-conn-rate 5/3, Overload Flush global) # Webserverpass proto tcp von jedem an $ ext_if Port $ webports # Erlaube wichtigen ausgehenden Datenverkehr schnell auf $ ext_if auszugeben proto tcp an einen beliebigen Port $ int_tcp_services schnelle Übergabe an $ ext_if proto udp an einen beliebigen Port $ int_udp_services
Es ist wichtig zu beachten, dass pf eine definierte Reihenfolge hat, um die Regeln festzulegen, und dies ist:

MakrosMakros müssen definiert werden, bevor sie in pf.conf referenziert werden
TabellenTabellen bieten einen Mechanismus, um die Leistung und Flexibilität der Regeln zu erhöhen
OptionenDie Optionen passen das Verhalten der Paketfilter-Engine an.
VerkehrsnormalisierungDiese Regel schützt interne Computer vor Inkonsistenzen in Internetprotokollen und -implementierungen.
WarteschlangenBietet Bandbreitenkontrolle basierend auf definierten Regeln
ÜbersetzungDiese Option gibt an, wie Adressen zugeordnet oder umgeleitet werden sollen.
PaketfilterungBietet eine regelbasierte Sperre

Sobald die Regeln erstellt sind, speichern wir die Änderungen mit Strg + O und verlassen den Editor mit Strg + X.

3. So aktivieren Sie den Linux-PF-Dienst


Als nächstes werden wir eine Reihe von Befehlen ausführen, um den pf-Dienst auf FreeBSD zu überprüfen und zu starten.

Schritt 1
Um den Status der pf-Aktivierung zu überprüfen, führen wir die Zeile aus:

 pfctl -e

Schritt 2
Um den pf-Dienst zu starten, führen wir die folgende Zeile aus:

 service pf start

Schritt 3
Wir überprüfen den Dienst, indem wir Folgendes ausführen:

 service pf check

Schritt 4
An dieser Stelle können wir auch eine der folgenden Optionen ausführen:

 /etc/rc.d/pf checkpfctl -n -f /usr/local/etc/pf.conf
Wenn wir den pf-Dienst stoppen möchten, führen wir Folgendes aus:
 service pf halt
So starten Sie den pf-Dienst neu:
 service pf neustart

Schritt 5
Wenn wir den aktuellen Status des pf-Dienstes sehen möchten:

 Service-PF-Status

Schritt 6
Die pf-Firewall verwendet den pflog-Dienst, um alle im System auftretenden Sicherheitsereignisse zu speichern und aufzuzeichnen. Die Verwendungsmöglichkeiten sind:

 service pflog start service pflog stop service pflog neu starten

4. So verwenden Sie pf in FreeBSD Linux


Sie müssen den Befehl pfctl verwenden, um den pf-Regelsatz und die Parametereinstellungen einschließlich der Statusinformationen des Paketfilters anzuzeigen.
Um diese Informationen zu sehen, führen wir Folgendes aus:
 pfctl -s Regeln

Darüber hinaus werden wir weitere Optionen haben, wie zum Beispiel:

Regelnummer hinzufügen

 pfctl -vvsr-show

Status anzeigen

 pfctl -s Zustandpfctl -s Zustand | mehr

pf . deaktivieren

 pfctl -d

pf . aktivieren

 pfctl -e

Alle Regeln löschen

 pfctl -F all

Nur die Abfragen löschen

 pfctl -F Warteschlange

Alle Staaten löschen

 pfctl -F info

pf-Ereignisse anzeigen

 tcpdump -n -e -ttt -r / var / log / pflog

Wir können sehen, dass pf ein praktisches Werkzeug ist, wenn wir mit der Firewall in FreeBSD arbeiten.

wave wave wave wave wave