免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 BSD FreeBSD 6.2 上使用 PF 防火墙(zt)
12下一页
最近访问板块 发新帖
查看: 4522 | 回复: 16
打印 上一主题 下一主题

[FreeBSD] FreeBSD 6.2 上使用 PF 防火墙(zt)  关闭 [复制链接]

大大狗

论坛徽章:
1
荣誉版主 日期:2011-11-23 16:44:17
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2006-12-04 11:37 |只看该作者 |倒序浏览
  1. 要在 FreeBSD 6.2 上使用 PF 防火墙,有二个方式,一个是编译进入核心,另外是以动态模块方式加载。编译进入核心的方式
  2. #FreeBSD log traffic,如果有使用 pflog,就要编译进核心
  3. device bpf
  4. #启动 PF Firewall
  5. device pf
  6. #启动虚拟网络设备来记录流量(经由 bpf)
  7. device pflog
  8. #启动虚拟网络设备来监视网络状态
  9. device pfsync

  11. 以动态模块加载
  12. vi /etc/rc.conf
  13. 加入下面四行
  14. #启用 PF
  15. pf_enable="YES"
  16. #PF 防火墙规则的设定文件
  17. pf_rules="/etc/pf.conf"
  18. #启用 inetd 服务
  19. inetd_enable="YES"
  20. #启动 pflogd
  21. pflog_enable="YES"
  22. #pflogd 储存记录档案的地方
  23. pflog_logfile="/var/log/pflog"
  24. #转送封包
  25. gateway_enable="YES"

  27. #开启 ftp-proxy 功能
  28. vi /etc/inetd.conf
  29. 把下面这一行最前面的 # 删除
  30. ftp-proxy stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy

  32. 使用 sysctl 做设定(也可以重新开机让设定生效)
  33. sysctl -w net.inet.ip.forwarding=1

  35. vi /etc/pf.conf
  36. #对外的网络卡
  37. ext_if = "sis0"
  38. #对内的网络卡
  39. int_if = "rl0"

  41. #频宽控管
  42. #定义 std_out 总频宽 512Kb
  43. #altq on $ext_if cbq bandwidth 512Kb queue { std_out }
  44. #定义 std_out 队列频宽 256Kb,使用预设队列
  45. #queue std_out bandwith 256Kb cbq (default)
  46. #定义 std_in 总频宽 2Mb
  47. #altq on $int_if cbq bandwidth 2Mb queue { std_in }
  48. #假设频宽足够的话,可以从父队列借用额外的频宽
  49. #queue std_in bandwidth 768Kb cbq (brrrow)

  51. #对外开放的服务
  52. open_services = "{80, 443}"
  53. #内部私有的 IP
  54. priv_nets = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }"

  56. # options
  57. #设定拒绝联机封包的处理方式
  58. set block-policy return
  59. #
  60. set optimization aggressive
  61. #纪录 $ext_if
  62. set loginterface $ext_if

  64. # scrub
  65. #整理封包
  66. scrub in all

  68. #nat
  69. #NAT 地址转译处理
  70. nat on $ext_if from $int_if:network to any -> $ext_if

  72. #ftp-proxy
  73. #ftp-proxy 重新导向
  74. rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021
  75. #rdr on $ext_if proto tcp from any to 140.111.152.13 port 21 -> 192.168.13.253 port 21
  76. #Transparent Proxy Server
  77. rdr on rl0 proto tcp from 192.168.13.0/24 to any 80 -> 127.0.0.1 port 3128

  79. #阻挡可疑封包在 $ext_if 网卡进出
  80. antispoof log quick for $ext_if

  82. #阻挡所有进出的封包
  83. block all

  85. #开放 loopback
  86. pass quick on lo0 all

  88. #拒绝内部私有 IP 对 $ext_if 网络卡联机
  89. block drop in quick on $ext_if from $priv_nets to any
  90. block drop out quick on $ext_if from any to $priv_nets

  92. #开放对外的 80, 443 埠
  93. pass in on $ext_if inet proto tcp from any to $ext_if port $open_services flags S/SA keep state
  94. #只容许 140.111.152.0/24 网段对本机做 22 埠联机
  95. pass in on $ext_if inet proto tcp from 140.111.152.0/24 to $ext_if port 22 flags S/SA keep state

  97. #开放内部网络对外联机
  98. #pass in on $inf_if proto rcp from any to any queue std_in
  99. pass in on $int_if from $int_if:network to any keep state
  100. pass out on $int_if from any to $int_if:network keep state

  102. #开放对外网络的联机
  103. #pass out $ext_if proto tcp from any to any queue std_out
  104. pass out on $ext_if proto tcp all modulate state flags S/SA
  105. pass out on $ext_if proto { udp, icmp } all keep state

  107. 启动 PF,并读取 pf 规则
  108. pfctl -e;pfctl -f /etc/pf.conf

  110. PF 指令的用法
  111. #启动 PF
  112. pfctl -e
  113. #加载 PF 规则
  114. pfctl -f /etc/pf.conf
  115. #检查 PF 语法是否正确 (未加载)
  116. pfctl -nf /etc/pf.conf
  117. #停用 PF
  118. pfctl -d
  119. #重读 PF 设定档中的 NAT 部分
  120. pfctl -f /etc/pf.conf -N
  121. #重读 PF 设定档中的 filter rules
  122. pfctl -f /etc/pf.conf -R
  123. #重读 PF 设定文件中的选项规则
  124. pfctl -f /etc/pf.conf -O

  126. #查看 PF 信息
  127. #显示现阶段过滤封包的统计资料
  128. pfctl -s info
  129. pfctl -si

  131. pfctl -s memory

  133. #显示现阶段过滤的规则
  134. pfctl -s rules
  135. pfctl -sr

  137. pfctl -vs rules

  139. #显示现阶段过滤封包的统计资料
  140. pfctl -vsr

  142. #显示现阶段 NAT 的规则
  143. pfctl -s nat
  144. pfctl -sn

  146. #检视目前队列
  147. pfctl -s queue

  149. #显示现阶段所有统计的数据
  150. pfctl -s all
  151. pfctl -sa

  153. #清除 PF 规则
  154. #清空 NAT 规则
  155. pfctl -F nat
  156. #清空队列
  157. pfctl -F queue
  158. #清空封包过滤规则
  159. pfctl -F rules
  160. #清空计数器
  161. pfctl -F info
  162. pfctl -F Tables
  163. #清空所有的规则
  164. pfctl -F all

  166. #PF Tables 的使用
  167. #显示 table 内数据
  168. pfctl -t ssh-bruteforce -Tshow
  169. pfctl -t table_name -T add spammers.org
  170. pfctl -t table_name -T delete spammers.org
  171. pfctl -t table_name -T flush
  172. pfctl -t table_name -T show
  173. pfctl -t table_name -T zero

  175. 过滤扫描侦测软件
  176. block in quick proto tcp all flags SF/SFRA
  177. block in quick proto tcp all flags SFUP/SFRAU
  178. block in quick proto tcp all flags FPU/SFRAUP
  179. block in quick proto tcp all flags /SFRA
  180. block in quick proto tcp all flags F/SFRA
  181. block in quick proto tcp all flags U/SFRAU
  182. block in quick proto tcp all flags P

  184. 如果防火墙和 Proxy Server 不在同一台主机
  185. Proxy Server:192.168.13.250
  186. no rdr on rl0 proto tcp from 192.168.13.250 to any port 80
  187. rdr on rl0 proto tcp from 192.168.13.0/24 to any port 80 -> 192.168.13.250 port 3128
复制代码
iceblood

论坛徽章:
1
金牛座 日期:2014-05-29 15:55:47
2 [报告]
发表于 2006-12-04 11:49 |只看该作者
#开启 ftp-proxy 功能
vi /etc/inetd.conf
把下面这一行最前面的 # 删除
ftp-proxy stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy
看到这个就有些吐血~
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
大大狗

论坛徽章:
1
荣誉版主 日期:2011-11-23 16:44:17
3 [报告]
发表于 2006-12-04 12:03 |只看该作者
原帖由 iceblood 于 2006-12-4 11:49 发表
#开启 ftp-proxy 功能
vi /etc/inetd.conf
把下面这一行最前面的 # 删除
ftp-proxy stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy
看到这个就有些吐血~

实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
minok

论坛徽章:
0
4 [报告]
发表于 2006-12-04 12:36 |只看该作者
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
ezgo

论坛徽章:
0
5 [报告]
发表于 2006-12-04 13:51 |只看该作者
好東西,先收藏
慢慢消化
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
yzhkp

论坛徽章:
0
6 [报告]
发表于 2006-12-04 13:56 |只看该作者
up
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
iceblood

论坛徽章:
1
金牛座 日期:2014-05-29 15:55:47
7 [报告]
发表于 2006-12-04 16:39 |只看该作者
呵呵~别误会,不说说你的东西不好,而是讨厌PF在FTP代理上的模式。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
大大狗

论坛徽章:
1
荣誉版主 日期:2011-11-23 16:44:17
8 [报告]
发表于 2006-12-04 16:43 |只看该作者
原帖由 iceblood 于 2006-12-4 16:39 发表
呵呵~别误会,不说说你的东西不好,而是讨厌PF在FTP代理上的模式。

哈哈 没误会 你不吐血了
还准备组织人去给你输血呢
今天 小呆 问这个问题 正好找到就转过来 共大家学习一下
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
Ericzhao82

论坛徽章:
0
9 [报告]
发表于 2006-12-04 17:08 |只看该作者
原帖由 iceblood 于 2006-12-4 11:49 发表
#开启 ftp-proxy 功能
vi /etc/inetd.conf
把下面这一行最前面的 # 删除
ftp-proxy stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy


使用过程中,有的ftp连接不规范,会导致freebsd无法关闭fpt-proxy代理,我遇到过一次,始终无法释放内网一IP地址的ftp-proxy连接,内网ip的这台电脑关机也不行,inetd重启也不行,当然pf重启也不行。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
Ericzhao82

论坛徽章:
0
10 [报告]
发表于 2006-12-04 17:10 |只看该作者
原帖由 大大狗 于 2006-12-4 16:43 发表

哈哈 没误会 你不吐血了
还准备组织人去给你输血呢
今天 小呆 问这个问题 正好找到就转过来 共大家学习一下



其实我看了这篇文章后,发现我没有做错。
我是用动态模块加载的方式来实现的。

delphij也说不应该,估计八成是我那个超超级烂Dell服务器搞的(说他烂我可以说出5、6处问题,包括1周前在其他系统上的问题)
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP