Установка PF на NetBSD

  На  NetBSD 2.0, PF стал доступен как загружаемый модуль ядра,  который  может быть установлен посредством пакетов (security/pflkm) или скомпилирован статически в ядро. В NetBSD 3.0 и более поздних версиях, PF является часть базовой системы. На NetBSD PF – один из нескольких возможных систем пакетной фильтрации, и вам явно включить его. Некоторые детали конфигурации PF изменились в разных NetBSD релизах. В этой книге предполагается что вы используете NetBSD 5.02 или более поздние версии.

Для использования загружаемого модуля PF в NetBSD добавим следующие  строки в

/etc/rc.conf для включения загружаемого модуля ядра, PF и интерфейса журналирования PF соответственно.

lkm="YES" # do load kernel modules pf=YES

pflogd=YES

Загрузить модуль PF вручную и включить PF можно введя следующие команды:

$ sudo modload /usr/lkm/pf.o

$ sudo pfctl -e

Кроме того, вы можете запустить rc.d скрипт для включения PF и журналирования, как показано ниже:

$ sudo /etc/rc.d/pf start

$ sudo /etc/rc.d/pflogd start

Для  автоматической  загрузки  модуля  в  процессе  начальной  загрузки,   добавьте следующие строку в /etc/lkm.conf

/usr/lkm/pf.o – – – – BEFORENET

Если ваша файловая система /usr находится в отдельном разделе, добавьте  строку в файл /etc/rc.conf:

critical_filesystems_local="${critical_filesystems_local} /usr"

Если ошибок в этой части не возникло, значит вы успешно включили PF на вашей системе и готовы перейти к создание законченной конфигурации.

Поставляемый  файл  /etc/pf.conf  не  содержит  актвиных  установок.  Там  есть  только закомментированые строки, начинающиеся с хэш символа (#) и  закомментированные правила, но это дает вам обзор правил, которые могут работать. Для примера, если вы удалите хэш символ перед строкой, которая говорит пропускать на loopback интерфейс, раскомментировав ее, а затем сохранив файл, вы включите PF и загрузите установленное правило, а ваш  интерфейс loopback не будет фильтровать трафик, проходящий через него.  Однако, даже если PF включен на вашей NetBSD системе, и мы не  удосужимся написать актуальные правила, то PF не будет выполнять правила,  а будет пропускать пакеты.

В NetBSD реализованы набор правил по умолчанию или резервных правил в файле

/etc/defaults/pf.boot.conf. Это набор правил предназначен только для того, чтобы система завершила  загрузку  в  случае  если  файл  /etc/pf.conf  не   существует  или  содержит некорректный набор правил. Вы можете  переопределить набор правил по умолчанию установив собственные настройки в /etc/pf.boot.conf.

2.  Для инструкций по использованию PF в более ранних релизах, смотрите документацию для ваших релизов, а также смотрите литературу по поддержке в списке Приложения А этой книги.


Простой набор правил PF:
Для единственной, или автономной машины

Главным образом, имея общую, минимальную базу, мы начнем строить набор правил с простейшей конфигурации.

Источник: Книга о PF, by Peter N.M. Hansteen, Перевод выполнил Михайлов Алексей aka iboxjo

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий