[9] PF – Packet Filter – Powrót do podstawowego zestawu reguł

31 stycznia 2024 Wyłączono przez Adam [zicherka] Nogły

W ostatnim rozdziale dotyczącym PF, powrócimy do podstawowego zestawu reguł. To szybki krok, który przywróci nasze ustawienia konfiguracyjne PF do minimalistycznego stanu funkcjonalności. Otwórz podstawowy zestaw reguł za pomocą poniższego polecenia.

root@vfbsd01:~ # mcedit /etc/pf.conf

Porównaj, czy wpisy reguł zgadzają się z poniższymi.

vmx0 = "vmx0"
icmp_types = "{ echoreq unreach }"
table <bruteforce> persist
table <rfc6890> { 0.0.0.0/8 10.0.0.0/8 100.64.0.0/10 127.0.0.0/8 169.254.0.0/16   \
           172.16.0.0/12 192.0.0.0/24 192.0.0.0/29 192.0.2.0/24 192.88.99.0/24    \
           198.18.0.0/15 198.51.100.0/24 203.0.113.0/24 240.0.0.0/4               \
           255.255.255.255/32 }

set skip on lo0
scrub in all fragment reassemble max-mss 1440
antispoof quick for $vmx0
block in quick on $vmx0 from <rfc6890>
block return out quick on egress to <rfc6890>
block all
pass in on $vmx0 proto tcp to port { 22 } \
        keep state (max-src-conn 15, max-src-conn-rate 3/1, \
                overload <bruteforce> flush global)
pass out proto { tcp udp } to port { 22 53 80 123 443 }
pass out inet proto icmp icmp-type $icmp_types

Przeładuj reguły.

root@vfbsd01:~ # pfctl -f /etc/pf.conf

Jeśli polecenie nie zawiera/zwraca błędów, oznacza to, że zestaw reguł nie zawiera błędów, a zapora działa prawidłowo.

Musimy także wyłączyć utworzony interfejs [pflog1]. Ponieważ nie jest w tym momencie potrzebny/używany, możesz wyłączyć interfejs [pflog1] za pomocą narzędzia [sysrc].

root@vfbsd01:~ # sysrc pflog1_enable="NO"
pflog1_enable: YES -> NO

Teraz usuńmy jeszcze plik [/etc/hostname.pflog1] z katalogu [/etc].

root@vfbsd01:~ # rm /etc/hostname.pflog1

Przed wylogowaniem ponownie uruchom serwer, aby upewnić się, że wszystkie zmiany zostały wprowadzone i są trwałe.

root@vfbsd01:~ # reboot –n

Zaczekaj kilka minut przed zalogowaniem się ponownie do serwera.