[9] PF – Packet Filter – Powrót do podstawowego zestawu reguł
31 stycznia 2024W ostatnim rozdziale dotyczącym PF, powrócimy do podstawowego zestawu reguł. To szybki krok, który przywróci nasze ustawienia konfiguracyjne PF do minimalistycznego stanu funkcjonalności. Otwórz podstawowy zestaw reguł za pomocą poniższego polecenia.
root@vfbsd01:~ # mcedit /etc/pf.conf
Porównaj, czy wpisy reguł zgadzają się z poniższymi.
vmx0 = "vmx0" icmp_types = "{ echoreq unreach }" table <bruteforce> persist table <rfc6890> { 0.0.0.0/8 10.0.0.0/8 100.64.0.0/10 127.0.0.0/8 169.254.0.0/16 \ 172.16.0.0/12 192.0.0.0/24 192.0.0.0/29 192.0.2.0/24 192.88.99.0/24 \ 198.18.0.0/15 198.51.100.0/24 203.0.113.0/24 240.0.0.0/4 \ 255.255.255.255/32 } set skip on lo0 scrub in all fragment reassemble max-mss 1440 antispoof quick for $vmx0 block in quick on $vmx0 from <rfc6890> block return out quick on egress to <rfc6890> block all pass in on $vmx0 proto tcp to port { 22 } \ keep state (max-src-conn 15, max-src-conn-rate 3/1, \ overload <bruteforce> flush global) pass out proto { tcp udp } to port { 22 53 80 123 443 } pass out inet proto icmp icmp-type $icmp_types
Przeładuj reguły.
root@vfbsd01:~ # pfctl -f /etc/pf.conf
Jeśli polecenie nie zawiera/zwraca błędów, oznacza to, że zestaw reguł nie zawiera błędów, a zapora działa prawidłowo.
Musimy także wyłączyć utworzony interfejs [pflog1]. Ponieważ nie jest w tym momencie potrzebny/używany, możesz wyłączyć interfejs [pflog1] za pomocą narzędzia [sysrc].
root@vfbsd01:~ # sysrc pflog1_enable="NO" pflog1_enable: YES -> NO
Teraz usuńmy jeszcze plik [/etc/hostname.pflog1] z katalogu [/etc].
root@vfbsd01:~ # rm /etc/hostname.pflog1
Przed wylogowaniem ponownie uruchom serwer, aby upewnić się, że wszystkie zmiany zostały wprowadzone i są trwałe.
root@vfbsd01:~ # reboot –n
Zaczekaj kilka minut przed zalogowaniem się ponownie do serwera.