Архивы рубрики ‘OpenBSD’

Таймауты PF

                                                                                    Опция    timeout   устанавливает   таймауты   и   связанные   опции    для    различных взаимодействий с записями в таблице состояний. Большинство доступных параметров это конкретный протокол значения хранящиеся в  секундах и префиксах tcp., udp., icmp., и другие. Тем не менее, adaptive.start  и adaptive.end обозначает количество записей в таблице   состояний.   Следующие  опции   таймаутов   влияют   на   таблицу   состояний,

Продолжение …

Обнаружение внепорядкового использования MX

В OpenBSD 4.1 spamd получил возможность обнаруживать использование внепорядковых MX. Связаться со вторичным MX’ом вместо главного – известный спамерский трюк, именно тот, который мы и ожидаем от рядовых  агентов  передачи спамерской почты. Другими словами,  если кто-то пытается  использовать  почтовые  обменники не в  установленном порядке, можно утвердительно сказать что это спамеры.

Продолжение …

Беспроводные сети: Легко!

Довольно заманчиво сказать, что на BSD и OpenBSD в частности, нет  необходимости "делать беспроводную сеть", поскольку она уже есть.  Создание  беспроводной сети не сильно отличается  от  создания проводной,  однако есть  некоторые вопросы, которые возникают  благодаря  использованию  радиоканала.  Мы  кратко  рассмотрим  некоторые вопросы теории прежде чем перейти к практическим шагам установки.

Продолжение …

Защита от спуфинга с antispoof

                                               Существует  несколько  очень  полезных  и  общих  действий  для  пакетной  обработки, которые  могут  быть  записаны  как  правила  PF,  но  не  без  них  становится  длинным, сложным и подвержен ошибкам шаблонного набора правил. Таким образом, антиспуф был реализован  для  общего  частного  случая  фильтрации  и  блокировки.  Этот  механизм защищает от  деятельности  подделки или поддельных  IP  адресов, в  основном, путем блокирования   пакетов,   которые   появляются   на   интерфейсах   путешествующих   в

Продолжение …

Установка PF на OpenBSD

В  OpenBSD  4.6  и  позже,  вам  нет  необходимости  активизировать  PF,  поскольку  PF активизирован и установлен в минимальной конфигурации по умолчанию1.

1.  Если вы устанавливаете первый раз PF конфигурацию на OpenBSD версии предыдущей чем эта, лучшим советом будет сделать модернизацию до самой последней стабильной версии. Если по какой-то причине вы должны остаться с более старой версией, вы  должны  будете  проконсультироваться  с  первым  изданием  данной  книги,  а  также  с  страницами  мануалов  и  другой документацией для той версии, которую вы используете.

Продолжение …

Настройка шлюза

Мы используем конфигурацию простой машины которую построили в предыдущей главе в качестве  основы  для построения конфигурации фильтра  пакетов  шлюза. Предположим, что  на  машину установлена  дополнительная  сетевая  карта  (или  вы  создали  сетевое подключение из локальной сети к одной или более сетей через Ethernet, PPP или другим способом). В нашем  контексте детали настроек интерфейсов незначительны. Мы просто должны знать, что интерфейс поднят и работает.

Продолжение …

Дополнительные  инструменты  для   журналирования  и статистики PF

Ещё одна важная составляющая постоянного контроля вашей сети – наличие возможности хранить  актуальный  статус  системы.  В  этом  разделе  мы  рассмотрим,  как  выбрать инструменты мониторинга которые могут оказаться  весьма полезными. Все инструменты представленные здесь доступны либо в базовой системе, либо в системе пакетов OpenBSD и FreeBSD (за исключение NetBSD).

Продолжение …

Трансляция сетевых адресов против IPv6

                              Прежде   чем  мы  начнём  управлять  трафиком  между  различными  сетями,  полезно взглянуть  на  то  как  работают  сетевые  адреса  и  почему  можно  встретить  несколько различных схем адресации. Область сетевых  адресов  всегда  была богатым источником путаницы.  Иногда  факты  установить  достаточно  сложно,  если  вы  не  обратитесь  к источникам и не погрузитесь в пучину RFC. В течение нескольких следующих параграфов

Продолжение …

Тестирование набора правил PF

  Это  неплохо протестировать ваш набор правил, это дает уверенность в  том  , что они работают как ожидается. Правильное тестирование станет существенным, как только вы перейдете к более сложным конфигурациям.

Для тестирования простого набора правил следует убедиться, может ли он  выполнять разрешение доменных имен. Для примера, вы могли бы увидеть  что  хост nostarch.com

Продолжение …

Брандмауэр в случае моста

                                                      Ethernet   мост  состоит  из   двух  или  более  интерфейсов   сконфигурированных  в соответствии Ethernet фреймами прозрачно, и  которые  видимы не напрямую, а через несколько верхних слоев, таких как TCP/IP стек. В контексте фильтрации, конфигурация моста часто считают  привлекательной, поскольку это означает, что фильтрация может быть  выполнена на машине, которая не имеет своего собственного IP адреса. Если  на машине, о которой идет речь, запущена OpenBSD или столь же способная операционная

Продолжение …