求PF配置实例!单网卡!!

smilecat

看了网上很多文档,不甚明白,现在主WEB服务器老是很多人攻击,好像是DDOS,服务器是单网卡,已经加载PF模块,目前写了些简单规则,感觉不对,虽然语法没错,但是没起作用,希望大家帮帮忙!

目前的/etc/pf.conf
ext_if="bge0"
web="{127.0.0.1}"
ports="{80}"    这个端口不知道对不对,反正限制了,我用SSH还是登陆的上

###block this IP if threads from the IP more than allowd###
table <abusive_hosts> persist
block in quick on $ext_if inet proto tcp from <abusive_hosts> to $web port 80
pass in quick on $ext_if proto tcp from any to $web port 80 flags S/SA keep \
state (max-src-conn 100, max-src-conn-rate 3/1, max-src-states 5 overload \
<abusive_hosts> flush)
限制IP并发连接

www# pfctl -si     统计信息
No ALTQ support in kernel
ALTQ related functions disabled
Status: Enabled for 0 days 00:19:27           Debug: Urgent

State Table                          Total             Rate
  current entries                        0
  searches                          128597          110.2/s
  inserts                                0            0.0/s
  removals                              15            0.0/s
Counters
  match                             128597          110.2/s
  bad-offset                             0            0.0/s
  fragment                               0            0.0/s
  short                                  0            0.0/s
  normalize                              0            0.0/s
  memory                                 0            0.0/s
  bad-timestamp                          0            0.0/s
  congestion                             0            0.0/s
  ip-option                              0            0.0/s
  proto-cksum                            1            0.0/s
  state-mismatch                         0            0.0/s
  state-insert                           0            0.0/s
  state-limit                            0            0.0/s
  src-limit                              0            0.0/s
  synproxy                               0            0.0/s
各位帮帮忙啊,我需要实现的功能很简单,对外只开放80端口,不知道是不是还要开MYSQL端口了,对内不做限制,不过我是单网卡,不知道行不行,要求外网内网访问网页就可以了,

justts

你这样的规则=开玩笑

虽然我也是菜鸟，我至少把那87页的PF手册看完了才上来提问
你连看都不看.......

justts

你居然还是2005年注册的～～～～～～有没有天理~~~

smilecat

原帖由 justts 于 2008-10-10 19:36 发表
你这样的规则=开玩笑

虽然我也是菜鸟，我至少把那87页的PF手册看完了才上来提问
你连看都不看.......

我承认我是菜鸟，我也没时间看仔细手册啊，我只想请教给我一个配置，解决问题后我再去研究，这有什么问题吗？我现在要的规则只需要实现一个目的，你觉得是开玩笑，觉得我菜，你就告诉我哪里有问题，要不你这样说就完全没有意义！

[ 本帖最后由 smilecat 于 2008-10-10 22:21 编辑 ]

smilecat

原帖由 justts 于 2008-10-10 19:37 发表
你居然还是2005年注册的～～～～～～有没有天理~~~

我不明白你说这话是什么意思，让人很气愤，我2年多没上论坛，没有搞过系统，我以前是搞交换路由的，后来才转到服务器上面，有什么问题么，现在服务器被攻击，我来请教大家，就要我去看几天手册，服务器早垮了，觉得我菜，我是菜，但我绝对不会像你那样说别人！

smilecat

求人不如求己，我看文档算了！我这么菜的问题不会有人回答的，论坛里面就不该有我这样的菜鸟啊！

justts

兄弟不要生气，没有恶意攻击你的意思

是因为我被这个PF弄得非常的烦了，看到PF两个字出现就不顺眼

诚心和你道个歉：）

smilecat

原帖由 justts 于 2008-10-11 17:37 发表
兄弟不要生气，没有恶意攻击你的意思

是因为我被这个PF弄得非常的烦了，看到PF两个字出现就不顺眼

诚心和你道个歉：）

没什么，每个人都要从菜鸟过来，我就是被PF弄的很烦，就没有中国化的文档啊，老外写的东西就是不好懂

cnduly

看看这个合适你不??:wink:

1. 
   
2. ext_if = "em0"
   
3. set loginterface $ext_if
   
4. scrub in all
   
5. block all
   
6. pass out all
   
7. pass quick on lo0
   
8. pass in log on $ext_if proto tcp from any to any port 21
   
9. pass in log on $ext_if proto tcp from any to $ext_if port >1024
   
10. 
    
11. ---------------------------------------------------------------------------------------------------------
    
12. ###block this IP if threads from the IP more than allowd###
    
13. table <abusive_hosts> persist
    
14. block in quick on $ext_if inet proto tcp from <abusive_hosts> to $web port 80
    
15. pass in quick on $ext_if proto tcp from any to $web port 80 flags S/SA keep \
    
16. state (max-src-conn 100, max-src-conn-rate 3/1, max-src-states 5 overload \
    
17. <abusive_hosts> flush)
    
18. 限制IP并发连接
    
19. 
    

复制代码

cnduly

其实很多东西根据自己需要配的!!