Freebsd PF 安装使用详解

互联网   发布时间:2017-04-06 14:50:35   作者:佚名   我要评论

今天小编为大家带来的是Freebsd PF 安装使用详解,希望对大家会有帮助,有需要的朋友一起去看看吧

Freebsd PF 安装使用

FreeBSD下的PF

FreeBSD下的包过滤工具有IPFW,IPF以及PF,它们各有特点。PF原本是OpenBSD下的包过滤工具,FreeBSD开发人员已经把PF移植到了FreeBSD上了。如果要在FreeBSD上使用PF,需如下操作:

1. 编译内核:

  cd /usr/src/sys/i386/conf

    cp GENERIC LOULAN

    编辑 LOULAN加入以下内容

    device pf

    device pflog

    device pfsync

    options ALTQ

    options ALTQ_CBQ

    options ALTQ_RED

    options ALTQ_RIO

    options ALTQ_HFSC

    options ALTQ_CDNR

    options ALTQ_PRIQ

    options ALTQ_NOPCC

    options ALTQ_DEBUG

    config LOULAN

    make depend&& make && make install && reboot

2. 编写防火墙规则pf.conf

  具体可以参考 man pf.conf ,根据实现需求编写防火墙规则。

    pfctl -f pf.conf      应用pf.conf的规则

    pfctl -sr            查看访问规则

    pfctl -sn            查看NAT规则

    pfctl -sa            查看所有PF信息

    pfctl -Rf pf.conf    重新加载访问规则

    pfctl -Nf pf.conf    重新加载NAT规则

    pfctl -Fa -f pf.conf 重新加载所有规则

Freebsd PF 安装使用

要在 FreeBSD 6.2 上使用 PF 防火墙,有二个方式,一个是编译进入核心,另外是以动态模块方式加载。

编译进入核心的方式

#FreeBSD log traffic,如果有使用 pflog,就要编译进核心

device bpf

#启动 PF Firewall

device pf

#启动虚拟网络设备来记录流量(经由 bpf)

device pflog

#启动虚拟网络设备来监视网络状态

device pfsync

以动态模块加载

vi /etc/rc.conf

加入下面四行

#启用 PF

pf_enable="YES"

#PF 防火墙规则的设定文件

pf_rules="/etc/pf.conf"

#启用 inetd 服务

inetd_enable="YES"

#启动 pflogd

pflog_enable="YES"

#pflogd 储存记录档案的地方

pflog_logfile="/var/log/pflog"

#转送封包

gateway_enable="YES"

#开启 ftp-proxy 功能

vi /etc/inetd.conf

把下面这一行最前面的 # 删除

ftp-proxy stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy

使用 sysctl 做设定(也可以重新开机让设定生效)

sysctl -w net.inet.ip.forwarding=1

vi /etc/pf.conf

#对外的网络卡

ext_if = "sis0"

#对内的网络卡

int_if = "rl0"

#频宽控管

#定义 std_out 总频宽 512Kb

#altq on $ext_if cbq bandwidth 512Kb queue { std_out }

#定义 std_out 队列频宽 256Kb,使用预设队列

#queue std_out bandwith 256Kb cbq (default)

#定义 std_in 总频宽 2Mb

#altq on $int_if cbq bandwidth 2Mb queue { std_in }

#假设频宽足够的话,可以从父队列借用额外的频宽

#queue std_in bandwidth 768Kb cbq (brrrow)

#对外开放的服务

open_services = "{80, 443}"

#内部私有的 IP

priv_nets = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }"

# options

#设定拒绝联机封包的处理方式

set block-policy return

#

set optimization aggressive

#纪录 $ext_if

set loginterface $ext_if

# scrub

#整理封包

scrub in all

#nat

#NAT 地址转译处理

nat on $ext_if from $int_if:network to any -> $ext_if

#ftp-proxy

#ftp-proxy 重新导向

rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021

#rdr on $ext_if proto tcp from any to 140.111.152.13 port 21 -> 192.168.13.253 port 21

#Transparent Proxy Server

rdr on rl0 proto tcp from 192.168.13.0/24 to any 80 -> 127.0.0.1 port 3128

#阻挡可疑封包在 $ext_if 网卡进出

antispoof log quick for $ext_if

#阻挡所有进出的封包

block all

#开放 loopback

pass quick on lo0 all

#拒绝内部私有 IP 对 $ext_if 网络卡联机

block drop in quick on $ext_if from $priv_nets to any

block drop out quick on $ext_if from any to $priv_nets

#开放对外的 80, 443 埠

pass in on $ext_if inet proto tcp from any to $ext_if port $open_services flags S/SA keep state

#只容许 140.111.152.0/24 网段对本机做 22 埠联机

pass in on $ext_if inet proto tcp from 140.111.152.0/24 to $ext_if port 22 flags S/SA keep state

#开放内部网络对外联机

#pass in on $inf_if proto rcp from any to any queue std_in

pass in on $int_if from $int_if:network to any keep state

pass out on $int_if from any to $int_if:network keep state

#开放对外网络的联机

#pass out $ext_if proto tcp from any to any queue std_out

pass out on $ext_if proto tcp all modulate state flags S/SA

pass out on $ext_if proto { udp, icmp } all keep state

启动 PF,并读取 pf 规则

pfctl -e;pfctl -f /etc/pf.conf

PF 指令的用法

#启动 PF

pfctl -e

#加载 PF 规则

pfctl -f /etc/pf.conf

#检查 PF 语法是否正确 (未加载)

pfctl -nf /etc/pf.conf

#停用 PF

pfctl -d

#重读 PF 设定档中的 NAT 部分

pfctl -f /etc/pf.conf -N

#重读 PF 设定档中的 filter rules

pfctl -f /etc/pf.conf -R

#重读 PF 设定文件中的选项规则

pfctl -f /etc/pf.conf -O

#查看 PF 信息

#显示现阶段过滤封包的统计资料

pfctl -s info

pfctl -si

pfctl -s memory

#显示现阶段过滤的规则

pfctl -s rules

pfctl -sr

pfctl -vs rules

#显示现阶段过滤封包的统计资料

pfctl -vsr

#显示现阶段 NAT 的规则

pfctl -s nat

pfctl -sn

#检视目前队列

pfctl -s queue

#显示现阶段所有统计的数据

pfctl -s all

pfctl -sa

#清除 PF 规则

#清空 NAT 规则

pfctl -F nat

#清空队列

pfctl -F queue

#清空封包过滤规则

pfctl -F rules

#清空计数器

pfctl -F info

pfctl -F Tables

#清空所有的规则

pfctl -F all

#PF Tables 的使用

#显示 table 内数据

pfctl -t ssh-bruteforce -Tshow

pfctl -t table_name -T add spammers.org

pfctl -t table_name -T delete spammers.org

pfctl -t table_name -T flush

pfctl -t table_name -T show

pfctl -t table_name -T zero

过滤扫描侦测软件

block in quick proto tcp all flags SF/SFRA

block in quick proto tcp all flags SFUP/SFRAU

block in quick proto tcp all flags FPU/SFRAUP

block in quick proto tcp all flags /SFRA

block in quick proto tcp all flags F/SFRA

block in quick proto tcp all flags U/SFRAU

block in quick proto tcp all flags P

如果防火墙和 Proxy Server 不在同一台主机

Proxy Server:192.168.13.250

no rdr on rl0 proto tcp from 192.168.13.250 to any port 80

rdr on rl0 proto tcp from 192.168.13.0/24 to any port 80 -> 192.168.13.250 port 3128

相关文章

  • Freebsd+IPFW结合使用防小规模DDOS攻击的配置方法

    使用Freebsd+IPFW 防小规模DDOS攻击笔者公司共有10台Web服务器,使用Redhat Linux 9作为操作系统,分布在全国各大城市,主要为用户提供HTTP服务。曾经有一段时间不少用户反
    2013-05-25
  • 使用U盘安装FreeBSD系统的简单教程

    这篇文章主要介绍了使用U盘安装FreeBSD系统的教程,顺带介绍了Ubuntu系统下U盘文件变成只读的问题的解决方法,需要的朋友可以参考下
    2016-02-23
  • 谈谈FreeBSD软件安装方法

    安装了 FreeBSD 后,您一定还会需要安装其它非 FreeBSD 内附的软件。在 FreeBSD 上安装软件有许多种方法,我们将一一为各位介绍。 本章包含了下列软件安装必备的课题
    2008-09-08
  • FreeBSD常用命令集

    FreeBSD作为BSD的主要分支之一,具有健壮、稳定的优点,因此有一些系统管理员尤其钟爱FreeBSD。本文总结了一些FreeBSD的常用指令,读者们可以用于做一个检索
    2008-09-08
  • FREEBSD软件安装

    安装了 FreeBSD 后,您一定还会需要安装其它非 FreeBSD 内附的软件。在 FreeBSD 上安装软件有许多种方法,我们将一一为各位介绍。 本章包含了下列软件安装必备的课题:
    2008-09-08
  • FreeBSD学习指南

    FreeBSD 的版本命名规则 A-主要版本编号 B-次要版本编号 C-修正版本编号 TAG-名称标签,如 RELEASE、STABLE、CURRENT install.iso 安装时用这一片即可!mini.iso 也是
    2008-09-08
  • FreeBSD常用命令--ports使用方法讲解

    更新 INDEX 对照表 4.x 的 INDEX 位於 /usr/ports/INDEX,5.x 位於 /usr/ports/INDEX-5。 INDEX 是对照 ports 所有相依等资讯的对照表,若长期未更新的话,会导致por
    2008-09-08
  • FreeBSD常用命令和packages使用方法讲解

    安装 packages 目前 FreeBSD 的 packages 是由 .tgz 所打包。如果想安装一个 packages ,可使用 pkg_add,如安装一个 joe 的 tgz: pkg_add joe-{version}.tgz
    2008-09-08

最新评论