Freebsd PF 安装使用
FreeBSD下的PF
FreeBSD下的包过滤工具有IPFW,IPF以及PF,它们各有特点。PF原本是OpenBSD下的包过滤工具,FreeBSD开发人员已经把PF移植到了FreeBSD上了。如果要在FreeBSD上使用PF,需如下操作:
1. 编译内核:
cd /usr/src/sys/i386/conf
cp GENERIC LOULAN
编辑 LOULAN加入以下内容
device pf
device pflog
device pfsync
options ALTQ
options ALTQ_CBQ
options ALTQ_RED
options ALTQ_RIO
options ALTQ_HFSC
options ALTQ_CDNR
options ALTQ_PRIQ
options ALTQ_NOPCC
options ALTQ_DEBUG
config LOULAN
make depend&& make && make install && reboot
2. 编写防火墙规则pf.conf
具体可以参考 man pf.conf ,根据实现需求编写防火墙规则。
pfctl -f pf.conf 应用pf.conf的规则
pfctl -sr 查看访问规则
pfctl -sn 查看NAT规则
pfctl -sa 查看所有PF信息
pfctl -Rf pf.conf 重新加载访问规则
pfctl -Nf pf.conf 重新加载NAT规则
pfctl -Fa -f pf.conf 重新加载所有规则
Freebsd PF 安装使用
要在 FreeBSD 6.2 上使用 PF 防火墙,有二个方式,一个是编译进入核心,另外是以动态模块方式加载。
编译进入核心的方式
#FreeBSD log traffic,如果有使用 pflog,就要编译进核心
device bpf
#启动 PF Firewall
device pf
#启动虚拟网络设备来记录流量(经由 bpf)
device pflog
#启动虚拟网络设备来监视网络状态
device pfsync
以动态模块加载
vi /etc/rc.conf
加入下面四行
#启用 PF
pf_enable="YES"
#PF 防火墙规则的设定文件
pf_rules="/etc/pf.conf"
#启用 inetd 服务
inetd_enable="YES"
#启动 pflogd
pflog_enable="YES"
#pflogd 储存记录档案的地方
pflog_logfile="/var/log/pflog"
#转送封包
gateway_enable="YES"
#开启 ftp-proxy 功能
vi /etc/inetd.conf
把下面这一行最前面的 # 删除
ftp-proxy stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy
使用 sysctl 做设定(也可以重新开机让设定生效)
sysctl -w net.inet.ip.forwarding=1
vi /etc/pf.conf
#对外的网络卡
ext_if = "sis0"
#对内的网络卡
int_if = "rl0"
#频宽控管
#定义 std_out 总频宽 512Kb
#altq on $ext_if cbq bandwidth 512Kb queue { std_out }
#定义 std_out 队列频宽 256Kb,使用预设队列
#queue std_out bandwith 256Kb cbq (default)
#定义 std_in 总频宽 2Mb
#altq on $int_if cbq bandwidth 2Mb queue { std_in }
#假设频宽足够的话,可以从父队列借用额外的频宽
#queue std_in bandwidth 768Kb cbq (brrrow)
#对外开放的服务
open_services = "{80, 443}"
#内部私有的 IP
priv_nets = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }"
# options
#设定拒绝联机封包的处理方式
set block-policy return
#
set optimization aggressive
#纪录 $ext_if
set loginterface $ext_if
# scrub
#整理封包
scrub in all
#nat
#NAT 地址转译处理
nat on $ext_if from $int_if:network to any -> $ext_if
#ftp-proxy
#ftp-proxy 重新导向
rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021
#rdr on $ext_if proto tcp from any to 140.111.152.13 port 21 -> 192.168.13.253 port 21
#Transparent Proxy Server
rdr on rl0 proto tcp from 192.168.13.0/24 to any 80 -> 127.0.0.1 port 3128
#阻挡可疑封包在 $ext_if 网卡进出
antispoof log quick for $ext_if
#阻挡所有进出的封包
block all
#开放 loopback
pass quick on lo0 all
#拒绝内部私有 IP 对 $ext_if 网络卡联机
block drop in quick on $ext_if from $priv_nets to any
block drop out quick on $ext_if from any to $priv_nets
#开放对外的 80, 443 埠
pass in on $ext_if inet proto tcp from any to $ext_if port $open_services flags S/SA keep state
#只容许 140.111.152.0/24 网段对本机做 22 埠联机
pass in on $ext_if inet proto tcp from 140.111.152.0/24 to $ext_if port 22 flags S/SA keep state
#开放内部网络对外联机
#pass in on $inf_if proto rcp from any to any queue std_in
pass in on $int_if from $int_if:network to any keep state
pass out on $int_if from any to $int_if:network keep state
#开放对外网络的联机
#pass out $ext_if proto tcp from any to any queue std_out
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state
启动 PF,并读取 pf 规则
pfctl -e;pfctl -f /etc/pf.conf
PF 指令的用法
#启动 PF
pfctl -e
#加载 PF 规则
pfctl -f /etc/pf.conf
#检查 PF 语法是否正确 (未加载)
pfctl -nf /etc/pf.conf
#停用 PF
pfctl -d
#重读 PF 设定档中的 NAT 部分
pfctl -f /etc/pf.conf -N
#重读 PF 设定档中的 filter rules
pfctl -f /etc/pf.conf -R
#重读 PF 设定文件中的选项规则
pfctl -f /etc/pf.conf -O
#查看 PF 信息
#显示现阶段过滤封包的统计资料
pfctl -s info
pfctl -si
pfctl -s memory
#显示现阶段过滤的规则
pfctl -s rules
pfctl -sr
pfctl -vs rules
#显示现阶段过滤封包的统计资料
pfctl -vsr
#显示现阶段 NAT 的规则
pfctl -s nat
pfctl -sn
#检视目前队列
pfctl -s queue
#显示现阶段所有统计的数据
pfctl -s all
pfctl -sa
#清除 PF 规则
#清空 NAT 规则
pfctl -F nat
#清空队列
pfctl -F queue
#清空封包过滤规则
pfctl -F rules
#清空计数器
pfctl -F info
pfctl -F Tables
#清空所有的规则
pfctl -F all
#PF Tables 的使用
#显示 table 内数据
pfctl -t ssh-bruteforce -Tshow
pfctl -t table_name -T add spammers.org
pfctl -t table_name -T delete spammers.org
pfctl -t table_name -T flush
pfctl -t table_name -T show
pfctl -t table_name -T zero
过滤扫描侦测软件
block in quick proto tcp all flags SF/SFRA
block in quick proto tcp all flags SFUP/SFRAU
block in quick proto tcp all flags FPU/SFRAUP
block in quick proto tcp all flags /SFRA
block in quick proto tcp all flags F/SFRA
block in quick proto tcp all flags U/SFRAU
block in quick proto tcp all flags P
如果防火墙和 Proxy Server 不在同一台主机
Proxy Server:192.168.13.250
no rdr on rl0 proto tcp from 192.168.13.250 to any port 80
rdr on rl0 proto tcp from 192.168.13.0/24 to any port 80 -> 192.168.13.250 port 3128
免责声明:本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除!
稳了!魔兽国服回归的3条重磅消息!官宣时间再确认!
昨天有一位朋友在大神群里分享,自己亚服账号被封号之后居然弹出了国服的封号信息对话框。
这里面让他访问的是一个国服的战网网址,com.cn和后面的zh都非常明白地表明这就是国服战网。
而他在复制这个网址并且进行登录之后,确实是网易的网址,也就是我们熟悉的停服之后国服发布的暴雪游戏产品运营到期开放退款的说明。这是一件比较奇怪的事情,因为以前都没有出现这样的情况,现在突然提示跳转到国服战网的网址,是不是说明了简体中文客户端已经开始进行更新了呢?
更新日志
- 小骆驼-《草原狼2(蓝光CD)》[原抓WAV+CUE]
- 群星《欢迎来到我身边 电影原声专辑》[320K/MP3][105.02MB]
- 群星《欢迎来到我身边 电影原声专辑》[FLAC/分轨][480.9MB]
- 雷婷《梦里蓝天HQⅡ》 2023头版限量编号低速原抓[WAV+CUE][463M]
- 群星《2024好听新歌42》AI调整音效【WAV分轨】
- 王思雨-《思念陪着鸿雁飞》WAV
- 王思雨《喜马拉雅HQ》头版限量编号[WAV+CUE]
- 李健《无时无刻》[WAV+CUE][590M]
- 陈奕迅《酝酿》[WAV分轨][502M]
- 卓依婷《化蝶》2CD[WAV+CUE][1.1G]
- 群星《吉他王(黑胶CD)》[WAV+CUE]
- 齐秦《穿乐(穿越)》[WAV+CUE]
- 发烧珍品《数位CD音响测试-动向效果(九)》【WAV+CUE】
- 邝美云《邝美云精装歌集》[DSF][1.6G]
- 吕方《爱一回伤一回》[WAV+CUE][454M]