Установка PF на OpenBSD

В  OpenBSD  4.6  и  позже,  вам  нет  необходимости  активизировать  PF,  поскольку  PF активизирован и установлен в минимальной конфигурации по умолчанию1.

1.  Если вы устанавливаете первый раз PF конфигурацию на OpenBSD версии предыдущей чем эта, лучшим советом будет сделать модернизацию до самой последней стабильной версии. Если по какой-то причине вы должны остаться с более старой версией, вы  должны  будете  проконсультироваться  с  первым  изданием  данной  книги,  а  также  с  страницами  мануалов  и  другой документацией для той версии, которую вы используете.

Если вы посмотрите сообщения выводимые на системную консоль в процессе  загрузки системы, вы сможете заметить сообщение pf enables, которое  появится вскоре после завершения сообщений ядра.

Если вы не увидели сообщения pf enabled в консоли во время загрузки, у  вас есть несколько возможностей, позволяющих проверить, действительно ли PF активизирован.

Один  простой  путь  для  проверки  –  ввести  команду,  которая   используется  для

активизации PF в командной строке, похожую на эту:

$ sudo pfctl –e

Если PF уже активизирован, система ответит на это сообщением:

pfctl: pf already enabled

Если PF не активизирован команда pfctl –e актвизирует PF и отобразит:

pf enabled

В версиях предшествующих OpenBSD 4.6, PF был не активизирован по умолчанию. Вы можете переопределить значение по умолчанию отредактировав ваш /etc/rc.conf.local (или создав файл, если он не существует). Хотя в этом нет необходимости в последних версиях OpenBSD, не сложно добавить строку в ваш /etc/rc.conf.local файл:

pf=YES                  # enable PF

Если обратиться к содержимому файла /etc/pf.conf на свежей инсталляции  OpenBSD, первое, вы увидите свое первое работающее правило.

По умолчанию файл pf.conf в OpenBSD начинается с установки правила для интерфейса lo позволяющее сохранить уверенность, что трафик на интерфейсе петли не фильтруется.

Следующая активная строка это правило pass, по умолчанию позволяющий  проходить

вашему сетевому трафику. И, наконец, правило block, блокирует удаленный трафик X11 к вашей машине.

Как  вы  возможно заметили, по  умолчанию  pf.conf файл  также  содержит  несколько закомментированных строк начинающихся с хэш символа (#). В  этих  комментариях вы

будете находить предлагаемые правила, которые намекают на полезные настройки, такие как FTP проксирование (смотрите Главу 3) и spamd, демон блокирования спама OpenBSD

(смотрите Главу 6). Эти опции потенциально полезны в различных реальных сценариях, но,   поскольку   они   не   могут   быть   актуальны   во   всех    конфигурациях,   они

закомментированы по умолчанию.

Если вы рассмотрите настройки связанные с PF в файле /etc/rc.conf, вы найдете строку pf_rules=. В принципе, вы можете указывать в этом файле  конфигурацию отличную от

файла  /etc/pf.conf.  Однако,  изменение  этого  параметра  на  стоит  траты   времени.

Используя установки по умолчанию вы даете преимущество для большого  количества домашних приложений, таких как автоматическое ночное резервное копирование вашей конфигурации в /var/backups. На OpenBSD скрипт /etc/rc  имеет встроенный механизм который поможет вам, если вы перезагрузили pf  или при отсутствии файла pf.conf или если  он  содержит  недопустимый  набор  правил.  Перед  активизацией  любых  сетевых интерфейсов, rc скрипт  загружает правило позволяющее несколько базовых сервисов: SSH откуда  угодно, базовое разрешение имен и монтирование NFS. Это позволяет вам залогиниться и исправить любые ошибки в вашем наборе правил, загрузить корректный набор правил и продолжить работу.

Источник: Книга о PF, by Peter N.M. Hansteen, Перевод выполнил Михайлов Алексей aka iboxjo

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий