Како конфигурисати заштитни зид на ФрееБСД -у са ПФ Линук -ом

Заштита у било ком оперативном систему увек би требало да буде једна од главних премиса за коју се треба свакодневно борити јер од ње зависи више елемената, попут корисничких датотека, конфигурација, услуга и других. Нетачна конфигурација безбедносних параметара повезана је са рањивошћу која оставља отворена врата тако да нападачи могу имати слободан приступ за извршавање својих радњи.

Један од главних сигурносних механизама повезан је са заштитним зидом система, јер је захваљујући њему могуће филтрирати долазне и одлазне пакете са мреже и креирати различита правила како би се побољшала сигурност и система и апликација и објеката који се у њему чувају. л.

Зато ће данас Солветиц детаљно објаснити како конфигурирати заштитни зид у ФрееБСД -у помоћу пф.

Шта је пфПФ (Пацкет Филтер - Пацкет Филтер) је развијен као софтвер за заштитни зид за ФрееБСД системе са којим можемо створити стотине правила која нам омогућавају да на много централизованији начин управљамо приступом и понашањем свих елемената система.

Сада ћемо видети како омогућити и конфигурирати пф у ФрееБСД -у.

1. Како омогућити Линук заштитни зид

Иако је пф уграђен у ФрееБСД, морамо додати следеће редове у /етц/рц.цонф датотеку са неким жељеним уређивачем:

 нано /етц/рц.цонф

Линије за додавање су:

 ецхо 'пф_енабле = "ДА"' >> /етц/рц.цонфецхо 'пф_рулес = " / уср / лоцал / етц / пф.цонф"' >> /етц/рц.цонфецхо 'пфлог_енабле = "ДА"' >> / етц / рц.цонфецхо 'пфлог_логфиле = " / вар / лог / пфлог"' >> /етц/рц.цонф

Када додамо ове редове, сачувамо промене помоћу тастера Цтрл + О и изађемо из уређивача помоћу Цтрл + Кс.

Линије које смо додали су:

Омогућите услугу ПФ

 пф_енабле = "ДА"

Преузмите ПФ правила из ове датотеке

 пф_рулес = " / уср / лоцал / етц / пф.цонф"

Омогући подршку евидентирања за ПФ

 пфлог_енабле = "ДА"

Односи се на датотеку у којој би пфлогд требао похранити датотеку дневника

 пфлог_логфиле = " / вар / лог / пфлог"

Тамо ће се евиденције складиштити у датотеци / вар / лог / пфлог.

2. Како креирати правила у датотеци Линук /уср/лоцал/етц/пф.цонф

Када додате претходне редове, приступићемо датотеци /уср/лоцал/етц/пф.цонф да бисмо креирали правила која пф мора да прочита и која ће се узети у обзир при заштити.
Приступамо помоћу уређивача:

 нано /уср/лоцал/етц/пф.цонф

Како се ради о новој датотеци, могућности правила су хиљаде, у овом случају можемо отићи на следећу везу и копирати правило које се односи на веб сервер и залепити га у нашу конфигурацијску датотеку:

Ту морамо узети у обзир измену мрежног адаптера у пољу ект_иф за исправну у сваком случају.

У ову датотеку смо додали следећа правила:

 # вим: сет фт = пф # /етц/пф.цонфект_иф="ем0"вебпортс = "{хттп, хттпс}" инт_тцп_сервицес = "{домен, нтп, смтп, ввв, хттпс, фтп}" инт_удп_сервицес = "{домен, нтп} "сет скип он лосет логинтерфаце $ ект_иф # Нормализатионсцруб у свим фрагментима насумичног ИД-а поново саставитиблоцк ретурн ин лог аллблоцк оут аллантиспооф брзо за $ ект_иф # Блоцк 'куицк-фире бруте форце пробабле персистблоцк брзо са # фтп-проки мора имати сидро "фтп-проки / *" # ССХ слуша на порту 26пасс у брзом прото тцп-у до $ ект_иф порт 26 задржи стање (мак-срц-цонн 15, мак-срц-цонн-рате 5/3, преоптерећење испирање глобално) # Вебсерверпасс прото тцп са било ког на $ ект_иф порт $ вебпортс # Дозволи брзи одлазни одлазни промет на $ ект_иф прото тцп на било који порт $ инт_тцп_сервицес брзо пребаци на $ ект_иф прото удп на било који порт $ инт_удп_сервицес

Нешто што је важно имати на уму је да пф има дефинисан редослед успостављања правила, а то је:

МакроиМакрои морају бити дефинисани пре него што се на њих позове у пф.цонф
ТабелеТабеле пружају механизам за повећање перформанси и флексибилности правила
ОпцијеОпције прилагођавају понашање механизма за филтрирање пакета.
Нормализација саобраћајаОво правило штити интерне машине од недоследности у Интернет протоколима и имплементацијама.
Стати у редОмогућава контролу пропусног опсега на основу дефинисаних правила
ПревођењеОва опција одређује како треба мапирати или преусмеравати адресе.
Филтрирање пакетаНуди закључавање засновано на правилима

Када се правила створе, сачувамо промене помоћу Цтрл + О и изађемо из уређивача помоћу Цтрл + Кс.

3. Како омогућити Линук пф услугу

Затим ћемо покренути низ наредби за проверу и покретање пф услуге на ФрееБСД -у.

Корак 1
Да бисмо проверили статус омогућавања пф -а, извршавамо ред:

 пфцтл -е

Корак 2
За покретање пф услуге извршавамо следећи ред:

 услуга пф старт

Корак 3
Услугу проверавамо извршавањем:

 сервис пф цхецк

Корак 4
У овом тренутку такође можемо извршити било коју од следећих опција:

 /етц/рц.д/пф цхецкпфцтл -н -ф /уср/лоцал/етц/пф.цонф

Ако желимо да зауставимо пф услугу, извршавамо:

 услуга пф стоп

Да бисте поново покренули услугу пф:

 сервице пф рестарт

Корак 5
Ако желимо да видимо тренутни статус пф услуге:

 статус пф статус

Корак 6
Заштитни зид пф користи услугу пфлог за складиштење и снимање свих безбедносних догађаја који се дешавају у систему, опције за коришћење су:

 услуга пфлог старт услуга пфлог стоп услуга пфлог рестарт

4. Како користити пф у ФрееБСД Линук -у

Морат ћете користити наредбу пфцтл да бисте могли видјети скуп правила пф и поставке параметара, укључујући информације о статусу филтера пакета.
Да бисмо видели ове податке, извршавамо следеће:

 пфцтл -с рулес

Поред овога, имаћемо још опција као што су:

Додајте број правила

 пфцтл -ввср схов

Прикажи статус

 пфцтл -с стањепфцтл -с стање | више

Онемогући пф

 пфцтл -д

Омогући пф

 пфцтл -е

Обришите сва правила

 пфцтл -Ф све

Избришите само упите

 пфцтл -Ф ред

Обришите све државе

 пфцтл -Ф инфо

Погледајте пф догађаје

 тцпдумп -н -е -ттт -р / вар / лог / пфлог

Можемо видети како је пф практичан алат при раду са заштитним зидом у ФрееБСД -у.