OpenBSD 3.x 防火墙 PF配置新手指南

2009-05-13 15:49:40来源:未知 阅读 ()

新老客户大回馈,云服务器低至5折


OpenBSD 3.x 防火墙 PF配置新手指南(转贴)
级别:初学者
Eric Bullen. (ericb-howto@thedeepsky.com)
Sr. Unix Systems Administrator, Incyte Genomics
September 17, 2003
翻译: pengcz (aoma1999@126.com)
从OpenBSD3.0开始,OpenBSD开发团队就采用PF来取代原有IPF。现在,PF已经成为世界级的防火墙解决方案。PF本身提供了许多优秀的工具来帮助网络工程师创建一个健壮的防护方案来保护公司的私有网络免受不安全的Internet的侵害。本篇文章的目的是引导你如何一步一步地配置你的PF防火墙,并对每一步进行详细解释,但又不会过于深入免得初学者混淆。
在继续这篇文章之前你需要弄清楚一些事情,我会概述这些事情使得我们可以深入这篇文章的重要部分。第一件事情是你要有一个OpenBSD 3.0的系统,至小,你应该已经安装了OpenBSD系统。本文是以OpenBSD 3.3系统为例作说明的,当然你也可以找到很多有关配置防火墙的入门书,我的主要目的是教你如何正确地创建和设置PF防火墙。
首先,你要把你的防火墙接入到网络中去(至少网络中有一台电脑)。这样这台电脑可以接收和发送数据包。如果你没有具备这些条件,我们将很难进行测试。通常,如果一个网络不可用,而你有两台电脑,你可以让两台电脑直接相连(网卡对网卡,用交叉线相连),有关交叉线的制作请参考相关网络资料,通常在电脑配件市场有这种产品可供购买。如果你计划配置NAT(网络地址转换,这样可以让多台电脑共享一个公网IP地址),那么你的OpenBSD系统要安装有两块网卡。
没有任何可以比防火墙更保护网络安全的了。当你创建/配置/测试你的防火墙时,对于互联网上的用户来说(理想情况下)这个防火墙应该是不可到达的,这个防火墙应该位于一个企业网内部。请参考RFC1918 有关私有地址块的事。通常,大部份的内部网络会是192.168.0.0/16 或者10.0.0.0/8。你会发觉设置这些是多么容易的一件事情。如果你发觉设置这些网络有困难,那么我会建议你不要再阅读下去,你应该先去看一些有关 IP网络基础方面参考书。
配置
要激活 PF, 并让系统在启动时自动地加载,请编辑文件你的 /etc/rc.conf.local文件,并添加下面一行到文件中去: pf=YES。 尽管,你也可以编辑 /etc/rc.conf 文件(这个文件中设置的都是系统的默认值)。但我并不建议你去修改它,我建议你修改/etc/rc.conf.local,系统会在最后阅读 /etc/rc.conf.local文件,并用它的值去覆盖系统的默认设置。在我的OpenBSD 系统上的上,/etc/rc.conf.local 文件内容如下:
例1 . /etc/rc.conf.local
#!/bin/sh -pf=YES
# Packet filter / NATpf_rules=/etc/pf.conf
# Packet filter rules filepflogd_flags= # add more flags, ie. "-s 256"
下一步,创建一个 "pass all" pf.conf 文件,这样在系统启动时,OpenBSD 会读取里面的内容,下面是一个供你使用的好例子:
例2 . /etc/pf.conf
## Macros
宏定义SYN_ONLY="S/FSRA"
## TABLES 表
## GLOBAL OPTIONS 全局选项#
# TRAFFIC NORMALIZATION 流量正常化## QUEUEING RULES队列
## TRANSLATION RULES (NAT)网络地址转换
## FILTER RULES 过滤
pass in log all keep state pass out log all keep state
在例2中,你可以看到一些地方是以"##"开头的,它主要用来注释从而让配置文件可读。这些“##”放在这里的一个好处是让你明白PF 是按怎样的顺序如何处理这些规则的。当你看到最后两行以“pass”开头的句子时,你会明白它是记录所有进出防火墙的。当你的系统创建或者收到连接时,防火墙会记录这些内容到你的/var/log/pflog文件中去。我会告诉你如何读取这些内容(它时一个二进制文件,对于文本编辑器来说它是不可读的) 。理想情况下,当你配置你的防火墙,机器不会收发到什么数据流除非你的机器自身产生的数据流。如果你是制造数据流的人,你可以看到系统是如何记录日志的. 说到这里,我们应该重启机器并让系统让修改生效,并确认所有设置自动启动.

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:转:一些关于ports安装及其他问题的解决办法

下一篇:关于检查磁盘的命令fsck