Изключване на конзола PF
pfctl -d
Включване на конзолата PF
pfctl -Д
Използването на файл с правила ПФ
pfctl -f /etc/pf.conf
включване PF
/etc/rc.conf.local
PF = YES # позволи PF
Разрешаването на пакети маршрута от конзолата, отменен след рестарт
Sysctl net.inet.ip.forwarding = 1
Sysctl net.inet6.ip6.forwarding = 1
Включване на маршрута пакети на постоянна основа
/etc/sysctl.conf
net.inet.ip.forwarding = 1
net.inet6.ip6.forwarding = 1
Тъй като OpenBSD 4.1 с правилата по подразбиране е приложимо цитадела състояние опция
За създаване на отговор отказ, динамични правила, които не добавят държавната власт
общите правила на синтаксиса
посока действие бърз на интерфейс Инет прото протокол от src_addr да dst_port
1. действие: разрешение (подаване) или блок (блок) на пакета
2. посока: посоката на преминаване на входящ пакет (в) \ изходящи (изход)
3. бързо: ключовата дума, правилото за пакет съвпадение се прилага незабавно, правилото се счита последният във веригата
4. на интерфейс: посочите мрежовия интерфейс
5. Инет: Инет - протокол IPv4 \ inet6 - IPv6 протокол
6. прото: протокол към уточни TCP, UDP, ICMP, icmp6
8. да dst_port: дестинация порт на пакета
Позволете преминаването на SSH
премине в бърз на de0 прото TCP порт към 22
или така
премине в бърз на de0 прото TCP порт за SSH
Позволете ехо искания ICMP (запази състояние - проследяване на връзки)
премине Инет прото ICMP всички ICMP тип 8 код 0 пазят състояние
или така
премине в бърз Инет прото ICMP всички ICMP тип echoreq
Позволете изходящ трафик
раздавам
блокиране на всички
блокиране на всички
или поотделно
блокират всички
блок във всички
пренасочване на порт
RDR на de0 Инет прото TCP порт за de0 3389 - порт> 192.168.0.69 3389
Peremnnye
ext_if = "de0"
int_if = "DE1"
Изключете прескачането на lo0 # пропуснете сканиране контур
скраб във всички # събират \ нормализиране на всички част от пакета, преди да изпратите
NAT на $ ext_if от $ int_if: мрежа и да е -> $ ext_if # NAT правило
блокиране на всички # Забранете навсякъде
прехвърли lo0 # позволи движението по веригата (взаимозаменяеми първото правило - да пропуснете на lo0)
премине в по $ int_if от всеки на всякакви # позволи на всички в локалната мрежа
или като (селективно върху пристанища)
премине в по $ int_if прото TCP от $ int_if: мрежа до всяко пристанище
раздават на $ ext_if прото TCP от $ ext_if до всяко пристанище
раздават на $ ext_if от $ ext_if всяка # opnbsd позволи достъп до външната страна
премине в по $ ext_if прото TCP от всякакви до $ ext_if порт SSH # позволи SSH
премине в Инет прото ICMP всички ICMP тип echoreq # Разрешаване на ICMP
или така например
прехвърли $ ext_if прото ICMP от всеки за всеки
прехвърли $ int_if прото ICMP от всеки за всеки
Добавянето на един IP на ред
192.168.0.2
192.168.0.3
192.168.0.4
NAT на $ ext_if от
защита Пример от DDOS атаки
В началото на таблицата ще добави към престъпници
маса
блокиране на правило
блок в лог бързо от
премине в по $ ext_if прото TCP до $ ext_if порт 80 знамена S / SA поддържа състояние (макс-Src-вр 30, макс-Src-вр размер 10/5, претоварване
Вижте черния списък:
pfctl -t груба -Т шоу
Махни от черния списък:
pfctl -t груба -Т промиване
Пример stonecrops чрез Cron всеки 30 минути
* / 30 * * * * корен pfctl -t груба -Т промиване
Пример пречистване чрез N брой секунди (в този пример 12 часа):
pfctl -t груба -Т изтича 43200
ALTQ е алтернатива организация платформа за BSD опашка.
Има три график, който в момента се поддържа от FreeBSD в изпълнението ALTQ:
CBQ клас Based Queuing. Опашки прикрепени към интерфейс, създават едно дърво.
По този начин, още от деца опашки могат да бъдат на всяка крачка.
Всяка опашка може да се зададе приоритет и трафик.
Приоритет главно контролира времето, в което са изпратени пакети, а други ще чакат реда си
Поради това, регулирани трафик.
PRIQ Приоритет Queuing. Тези изблици не могат да бъдат деца опашки.
Всяка опашка получава уникален приоритет, вариращи 0-15
Пакети с по-големи числа имат по-висок приоритет.
HFSC Йерархично Fair Service Curve.
Опашката за родител се определя от комбинирана мощност на всички опашки интерфейс.
Определя общия капацитет, предоставен от доставчика на услуги и не зависи от скоростта на мрежовия интерфейс.
Дъщерното опашката Тази директива определя максималния процент бит информация, която ще бъде обработено в опашката по всяко време
списък на опашка експлоатационните параметри:
подразбиране - хванат в опашката не се проверява върху опаковката и веднага преработени
червено - Random Early Detection отхвърля пакети, които биха могли евентуално да смаже всички
ECN - Изрично Задръстванията Уведомление - като червено, червено, но използва по-оптимизирани алгоритъм и технологични линии в червеното е много по-бързо
назаем параметър - оправяне на детето може да отнеме свободния капацитет на опашката родител, ако е необходимо
приоритетната параметъра - приоритетната опашка. CBQ HFSC и Y стойности могат да бъдат между 0 и 7, за PRIQ - от 0 до 15. Стойността по подразбиране за всички опашки - 1
# Активиране на опашката за мрежов интерфейс 10 мегабита за списък на опашки:
altq на de0 CBQ трафик 10Mb опашка
# Генерал се извършва 10% от нашите 10 канал мегабитова
редят на опашки обща пропускателна способност 10% CBQ (по подразбиране)
# Включете уеб отнема 30%, има две деца: webchildone, webchildtwo
# Механизъм за определяне на преждевременното им натоварване - червено
# Могат да заемат честотна лента от своята майка, опашка - уеб с помощта на заем параметър
# Включете уеб има приоритет 4, той е нашата конфигурация - най-висок приоритет
# 4 ненужно високи стойности не са определени, съответно, на всички уеб ще обработва пакети от първите,
опашка уеб трафик с 30% приоритет 4 CBQ (назаем червено)
# Опашката потомци имат скорост като процент от 50% и 30%
# Процентите са изчислени от общия капацитет, който се определя на опашката родител - уеб
опашка webchildone честотна лента 30%
опашка webchildtwo лента 50% CBQ (заемат)
# Публикация се осъществява от 5% от общия капацитет, който има по-нисък приоритет - 0
# Механизъм за определяне на неговата преждевременна натоварване - ECN
опашка пост честотна лента е 5% приоритет 0 CBQ (назаем ЕМК)
# Ssh опашката има две деца: ssh_connect, ssh_data имат приоритети 7 и 0
# Когато пакет за порта на получателя 22 обикновено се поставя в ssh_connect на опашката
# След като свържете пакет влиза ssh_data място и ще има най-висок приоритет за опашката родител - SSH
опашка SSH честотна лента 20% CBQ (заем)
редят на опашки ssh_data приоритет 7
опашка ssh_connect приоритет 0
Правила за опашки
Пълни правила на синтаксис:
посока действие [Дневник] [бърз] на интерфейса [AF] [пра протокол] от src_addr [порт src_port], за да dst_addr [порт dst_port] [tcp_flags] [състояние]
за действие
Действието, което ще се прилага към пакета - подаване или блок. Преминава с пакета обратно към ядрото за
нататъшна обработка. докато блок ще реагира в съответствие с блок-политика.
Реакцията по подразбиране може да бъде преодоляно чрез определяне или блок капка блок или замяна.
блок се върне върху de0 Инет всички обща опашка
раздават на de0 Инет прото TCP от 192.168.1.0/24 и да е порт 80 се запази държавната опашка webchildone
раздават на de0 Инет прото TCP от 192.168.0.0/24 и да е порт 80 се запази държавната опашка webchildtwo
раздават на de0 Инет прото TCP от всеки и да е порт 22 се запази държавната опашка (ssh_connect, ssh_data)
раздават на de0 Инет прото TCP от всеки и да е порт 25 се запази държавната опашка пост