Freebsd PF 安裝使用
FreeBSD下的PF
FreeBSD下的包過濾工具有IPFW,IPF以及PF,它們各有特點。PF原本是OpenBSD下的包過濾工具,F(xiàn)reeBSD開發(fā)人員已經(jīng)把PF移植到了FreeBSD上了。如果要在FreeBSD上使用PF,需如下操作:
1. 編譯內(nèi)核:
cd /usr/src/sys/i386/conf
cp GENERIC LOULAN
編輯 LOULAN加入以下內(nèi)容
device pf
device pflog
device pfsync
options ALTQ
options ALTQ_CBQ
options ALTQ_RED
options ALTQ_RIO
options ALTQ_HFSC
options ALTQ_CDNR
options ALTQ_PRIQ
options ALTQ_NOPCC
options ALTQ_DEBUG
config LOULAN
make depend make make install reboot
2. 編寫防火墻規(guī)則pf.conf
具體可以參考 man pf.conf ,根據(jù)實現(xiàn)需求編寫防火墻規(guī)則。
pfctl -f pf.conf 應(yīng)用pf.conf的規(guī)則
pfctl -sr 查看訪問規(guī)則
pfctl -sn 查看NAT規(guī)則
pfctl -sa 查看所有PF信息
pfctl -Rf pf.conf 重新加載訪問規(guī)則
pfctl -Nf pf.conf 重新加載NAT規(guī)則
pfctl -Fa -f pf.conf 重新加載所有規(guī)則
Freebsd PF 安裝使用
要在 FreeBSD 6.2 上使用 PF 防火墻,有二個方式,一個是編譯進入核心,另外是以動態(tài)模塊方式加載。
編譯進入核心的方式
#FreeBSD log traffic,如果有使用 pflog,就要編譯進核心
device bpf
#啟動 PF Firewall
device pf
#啟動虛擬網(wǎng)絡(luò)設(shè)備來記錄流量(經(jīng)由 bpf)
device pflog
#啟動虛擬網(wǎng)絡(luò)設(shè)備來監(jiān)視網(wǎng)絡(luò)狀態(tài)
device pfsync
以動態(tài)模塊加載
vi /etc/rc.conf
加入下面四行
#啟用 PF
pf_enable="YES"
#PF 防火墻規(guī)則的設(shè)定文件
pf_rules="/etc/pf.conf"
#啟用 inetd 服務(wù)
inetd_enable="YES"
#啟動 pflogd
pflog_enable="YES"
#pflogd 儲存記錄檔案的地方
pflog_logfile="/var/log/pflog"
#轉(zhuǎn)送封包
gateway_enable="YES"
#開啟 ftp-proxy 功能
vi /etc/inetd.conf
把下面這一行最前面的 # 刪除
ftp-proxy stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy
使用 sysctl 做設(shè)定(也可以重新開機讓設(shè)定生效)
sysctl -w net.inet.ip.forwarding=1
vi /etc/pf.conf
#對外的網(wǎng)絡(luò)卡
ext_if = "sis0"
#對內(nèi)的網(wǎng)絡(luò)卡
int_if = "rl0"
#頻寬控管
#定義 std_out 總頻寬 512Kb
#altq on $ext_if cbq bandwidth 512Kb queue { std_out }
#定義 std_out 隊列頻寬 256Kb,使用預(yù)設(shè)隊列
#queue std_out bandwith 256Kb cbq (default)
#定義 std_in 總頻寬 2Mb
#altq on $int_if cbq bandwidth 2Mb queue { std_in }
#假設(shè)頻寬足夠的話,可以從父隊列借用額外的頻寬
#queue std_in bandwidth 768Kb cbq (brrrow)
#對外開放的服務(wù)
open_services = "{80, 443}"
#內(nèi)部私有的 IP
priv_nets = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }"
# options
#設(shè)定拒絕聯(lián)機封包的處理方式
set block-policy return
#
set optimization aggressive
#紀錄 $ext_if
set loginterface $ext_if
# scrub
#整理封包
scrub in all
#nat
#NAT 地址轉(zhuǎn)譯處理
nat on $ext_if from $int_if:network to any -> $ext_if
#ftp-proxy
#ftp-proxy 重新導向
rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021
#rdr on $ext_if proto tcp from any to 140.111.152.13 port 21 -> 192.168.13.253 port 21
#Transparent Proxy Server
rdr on rl0 proto tcp from 192.168.13.0/24 to any 80 -> 127.0.0.1 port 3128
#阻擋可疑封包在 $ext_if 網(wǎng)卡進出
antispoof log quick for $ext_if
#阻擋所有進出的封包
block all
#開放 loopback
pass quick on lo0 all
#拒絕內(nèi)部私有 IP 對 $ext_if 網(wǎng)絡(luò)卡聯(lián)機
block drop in quick on $ext_if from $priv_nets to any
block drop out quick on $ext_if from any to $priv_nets
#開放對外的 80, 443 埠
pass in on $ext_if inet proto tcp from any to $ext_if port $open_services flags S/SA keep state
#只容許 140.111.152.0/24 網(wǎng)段對本機做 22 埠聯(lián)機
pass in on $ext_if inet proto tcp from 140.111.152.0/24 to $ext_if port 22 flags S/SA keep state
#開放內(nèi)部網(wǎng)絡(luò)對外聯(lián)機
#pass in on $inf_if proto rcp from any to any queue std_in
pass in on $int_if from $int_if:network to any keep state
pass out on $int_if from any to $int_if:network keep state
#開放對外網(wǎng)絡(luò)的聯(lián)機
#pass out $ext_if proto tcp from any to any queue std_out
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state
啟動 PF,并讀取 pf 規(guī)則
pfctl -e;pfctl -f /etc/pf.conf
PF 指令的用法
#啟動 PF
pfctl -e
#加載 PF 規(guī)則
pfctl -f /etc/pf.conf
#檢查 PF 語法是否正確 (未加載)
pfctl -nf /etc/pf.conf
#停用 PF
pfctl -d
#重讀 PF 設(shè)定檔中的 NAT 部分
pfctl -f /etc/pf.conf -N
#重讀 PF 設(shè)定檔中的 filter rules
pfctl -f /etc/pf.conf -R
#重讀 PF 設(shè)定文件中的選項規(guī)則
pfctl -f /etc/pf.conf -O
#查看 PF 信息
#顯示現(xiàn)階段過濾封包的統(tǒng)計資料
pfctl -s info
pfctl -si
pfctl -s memory
#顯示現(xiàn)階段過濾的規(guī)則
pfctl -s rules
pfctl -sr
pfctl -vs rules
#顯示現(xiàn)階段過濾封包的統(tǒng)計資料
pfctl -vsr
#顯示現(xiàn)階段 NAT 的規(guī)則
pfctl -s nat
pfctl -sn
#檢視目前隊列
pfctl -s queue
#顯示現(xiàn)階段所有統(tǒng)計的數(shù)據(jù)
pfctl -s all
pfctl -sa
#清除 PF 規(guī)則
#清空 NAT 規(guī)則
pfctl -F nat
#清空隊列
pfctl -F queue
#清空封包過濾規(guī)則
pfctl -F rules
#清空計數(shù)器
pfctl -F info
pfctl -F Tables
#清空所有的規(guī)則
pfctl -F all
#PF Tables 的使用
#顯示 table 內(nèi)數(shù)據(jù)
pfctl -t ssh-bruteforce -Tshow
pfctl -t table_name -T add spammers.org
pfctl -t table_name -T delete spammers.org
pfctl -t table_name -T flush
pfctl -t table_name -T show
pfctl -t table_name -T zero
過濾掃描偵測軟件
block in quick proto tcp all flags SF/SFRA
block in quick proto tcp all flags SFUP/SFRAU
block in quick proto tcp all flags FPU/SFRAUP
block in quick proto tcp all flags /SFRA
block in quick proto tcp all flags F/SFRA
block in quick proto tcp all flags U/SFRAU
block in quick proto tcp all flags P
如果防火墻和 Proxy Server 不在同一臺主機
Proxy Server:192.168.13.250
no rdr on rl0 proto tcp from 192.168.13.250 to any port 80
rdr on rl0 proto tcp from 192.168.13.0/24 to any port 80 -> 192.168.13.250 port 3128