Freebsd P怎麼安裝？Freebsd PF 安裝使用詳解

　　今天小編為大家帶來的是Freebsd PF 安裝使用詳解，希望對大家會有幫助，有需要的朋友一起去看看吧

　　Freebsd PF 安裝使用

FreeBSD下的PF

　　FreeBSD下的包過濾工具有IPFW，IPF以及PF，它們各有特點。PF原本是OpenBSD下的包過濾工具，FreeBSD開發人員已經把PF移植到了FreeBSD上了。如果要在FreeBSD上使用PF，需如下操作：

1. 編譯核心：

　　cd /usr/src/sys/i386/conf

　　cp GENERIC LOULAN

　　編輯 LOULAN加入以下內容

　　device pf

　　device pflog

　　device pfsync

　　options ALTQ

　　options ALTQ_CBQ

　　options ALTQ_RED

　　options ALTQ_RIO

　　options ALTQ_HFSC

　　options ALTQ_CDNR

　　options ALTQ_PRIQ

　　options ALTQ_NOPCC

　　options ALTQ_DEBUG

　　config LOULAN

　　make depend&& make && make install && reboot

2. 編寫防火牆規則pf.conf

　　具體可以參考 man pf.conf ，根據實現需求編寫防火牆規則。

　　pfctl -f pf.conf 應用pf.conf的規則

　　pfctl -sr 　 檢視訪問規則

　　pfctl -sn　 檢視NAT規則

　　pfctl -sa　 檢視所有PF資訊

　　pfctl -Rf pf.conf　 重新載入訪問規則

　　pfctl -Nf pf.conf　 重新載入NAT規則

　　pfctl -Fa -f pf.conf　重新載入所有規則

Freebsd PF 安裝使用

　　要在 FreeBSD 6.2 上使用 PF 防火牆，有二個方式，一個是編譯進入核心，另外是以動態模組方式載入。

　　編譯進入核心的方式

　　#FreeBSD log traffic，如果有使用 pflog，就要編譯進核心

　　device bpf

　　#啟動 PF Firewall

　　device pf

　　#啟動虛擬網路裝置來記錄流量(經由 bpf)

　　device pflog

　　#啟動虛擬網路裝置來監視網路狀態

　　device pfsync

　　以動態模組載入

　　vi /etc/rc.conf

　　加入下面四行

　　#啟用 PF

　　pf_enable="YES"

　　#PF 防火牆規則的設定檔案

　　pf_rules="/etc/pf.conf"

　　#啟用 inetd 服務

　　inetd_enable="YES"

　　#啟動 pflogd

　　pflog_enable="YES"

　　#pflogd 儲存記錄檔案的地方

　　pflog_logfile="/var/log/pflog"

　　#轉送封包

　　gateway_enable="YES"

　　#開啟 ftp-proxy 功能

　　vi /etc/inetd.conf

　　把下面這一行最前面的 # 刪除

　　ftp-proxy stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy

　　使用 sysctl 做設定(也可以重新開機讓設定生效)

　　sysctl -w net.inet.ip.forwarding=1

　　vi /etc/pf.conf

　　#對外的網路卡

　　ext_if = "sis0"

　　#對內的網路卡

　　int_if = "rl0"

　　#頻寬控管

　　#定義 std_out 總頻寬 512Kb

　　#altq on $ext_if cbq bandwidth 512Kb queue { std_out }

　　#定義 std_out 佇列頻寬 256Kb，使用預設佇列

　　#queue std_out bandwith 256Kb cbq (default)

　　#定義 std_in 總頻寬 2Mb

　　#altq on $int_if cbq bandwidth 2Mb queue { std_in }

　　#假設頻寬足夠的話，可以從父佇列借用額外的頻寬

　　#queue std_in bandwidth 768Kb cbq (brrrow)

　　#對外開放的服務

　　open_services = "{80, 443}"

　　#內部私有的 IP

　　priv_nets = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }"

　　# options

　　#設定拒絕聯機封包的處理方式

　　set block-policy return

　　#

　　set optimization aggressive

　　#紀錄 $ext_if

　　set loginterface $ext_if

　　# scrub

　　#整理封包

　　scrub in all

　　#nat

　　#NAT 地址轉譯處理

　　nat on $ext_if from $int_if:network to any -> $ext_if

　　#ftp-proxy

　　#ftp-proxy 重新導向

　　rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021

　　#rdr on $ext_if proto tcp from any to 140.111.152.13 port 21 -> 192.168.13.253 port 21

　　#Transparent Proxy Server

　　rdr on rl0 proto tcp from 192.168.13.0/24 to any 80 -> 127.0.0.1 port 3128

　　#阻擋可疑封包在 $ext_if 網路卡進出

　　antispoof log quick for $ext_if

　　#阻擋所有進出的封包

　　block all

　　#開放 loopback

　　pass quick on lo0 all

　　#拒絕內部私有 IP 對 $ext_if 網路卡聯機

　　block drop in quick on $ext_if from $priv_nets to any

　　block drop out quick on $ext_if from any to $priv_nets

　　#開放對外的 80, 443 埠

　　pass in on $ext_if inet proto tcp from any to $ext_if port $open_services flags S/SA keep state

　　#只容許 140.111.152.0/24 網段對本機做 22 埠聯機

　　pass in on $ext_if inet proto tcp from 140.111.152.0/24 to $ext_if port 22 flags S/SA keep state

　　#開放內部網路對外聯機

　　#pass in on $inf_if proto rcp from any to any queue std_in

　　pass in on $int_if from $int_if:network to any keep state

　　pass out on $int_if from any to $int_if:network keep state

　　#開放對外網路的聯機

　　#pass out $ext_if proto tcp from any to any queue std_out

　　pass out on $ext_if proto tcp all modulate state flags S/SA

　　pass out on $ext_if proto { udp, icmp } all keep state

　　啟動 PF，並讀取 pf 規則

　　pfctl -e;pfctl -f /etc/pf.conf

PF 指令的用法

　　#啟動 PF

　　pfctl -e

　　#載入 PF 規則

　　pfctl -f /etc/pf.conf

　　#檢查 PF 語法是否正確 (未載入)

　　pfctl -nf /etc/pf.conf

　　#停用 PF

　　pfctl -d

　　#重讀 PF 設定檔中的 NAT 部分

　　pfctl -f /etc/pf.conf -N

　　#重讀 PF 設定檔中的 filter rules

　　pfctl -f /etc/pf.conf -R

　　#重讀 PF 設定檔案中的選項規則

　　pfctl -f /etc/pf.conf -O

　　#檢視 PF 資訊

　　#顯示現階段過濾封包的統計資料

　　pfctl -s info

　　pfctl -si

　　pfctl -s memory

　　#顯示現階段過濾的規則

　　pfctl -s rules

　　pfctl -sr

　　pfctl -vs rules

　　#顯示現階段過濾封包的統計資料

　　pfctl -vsr

　　#顯示現階段 NAT 的規則

　　pfctl -s nat

　　pfctl -sn

　　#檢視目前佇列

　　pfctl -s queue

　　#顯示現階段所有統計的資料

　　pfctl -s all

　　pfctl -sa

　　#清除 PF 規則

　　#清空 NAT 規則

　　pfctl -F nat

　　#清空佇列

　　pfctl -F queue

　　#清空封包過濾規則

　　pfctl -F rules

　　#清空計數器

　　pfctl -F info

　　pfctl -F Tables

　　#清空所有的規則

　　pfctl -F all

　　#PF Tables 的使用

　　#顯示 table 內資料

　　pfctl -t ssh-bruteforce -Tshow

　　pfctl -t table_name -T add spammers.org

　　pfctl -t table_name -T delete spammers.org

　　pfctl -t table_name -T flush

　　pfctl -t table_name -T show

　　pfctl -t table_name -T zero

過濾掃描偵測軟體

　　block in quick proto tcp all flags SF/SFRA

　　block in quick proto tcp all flags SFUP/SFRAU

　　block in quick proto tcp all flags FPU/SFRAUP

　　block in quick proto tcp all flags /SFRA

　　block in quick proto tcp all flags F/SFRA

　　block in quick proto tcp all flags U/SFRAU

　　block in quick proto tcp all flags P

如果防火牆和 Proxy Server 不在同一臺主機

　　Proxy Server：192.168.13.250

　　no rdr on rl0 proto tcp from 192.168.13.250 to any port 80

　　rdr on rl0 proto tcp from 192.168.13.0/24 to any port 80 -> 192.168.13.250 port 3128