FreeBSD – firewall server web

Pentru un sistem care rulează freeBSD și singurul rol pe care îl are este de server web, regulile pentru firewall sunt simple. Vom folosi pf. Considerăm că înterfața de rețea este bce0. Vom permite deasemenea logarea ssh pe portul 22 (recomand modificarea acestuia). În primul rând edităm fișierul /etc/rc.conf  și adăugăm următoarele linii pentru a activa pf la boot: pf_enable=”YES” pf_rules=”/etc/pf.conf” Apoi, edităm fisierul /etc/pf.conf și adăugăm liniile de mai jos:

FreeBSD – Firewall PF – PPTP – Windows Sever

În cazul în care folosim pe mașina cu rol de firewall freebsd cu PF și avem nevoie să ne conectam din exterior folosind PPTP la un server Windows care rulează în reteaua locală si este configurat în mod adecvat, atunci nu trebuie decât să avem în fisierul pf.conf liniile de mai jos: rdr on $ext_if proto tcp from any to X.Y.Z.Q port 1723 -> 192.168.100.200/32 rdr on $ext_if proto gre from any to X.Y.Z.Q -> 192.168.100.200/32 unde:

Monitorizare trafic – mrtg si ipfw

Atunci cand dorim sa monitorizam traficul de upload/download pe o anumita interfata a unui sistem cu FreeBSD sau traficul facut de un anumit ip sau clasa de ip-uri la nivelul unui router pe care ruleaza FreeBSD putem realiza acest lucru cu mrtg si ipfw. Ca sa putem folosi firewall trebuie sa incarcam modul ipfw.ko deoarece nu este compilat in kernelul GENERIC: kldload /boot/kernel/ipfw.ko O alta solutie este recompilarea kernel-ului cu optiunile: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=10000 options IPFIREWALL_DEFAULT_TO_ACCEPT options DUMMYNET In /etc/rc.conf adaugam liniile: firewall_enable="YES" firewall_type="/etc/ipfw.conf" Fisierul in care scriem regulile de firewall este /etc/ipfw.conf. Un mic exemplu este…

FreeBSD – Crearea de tabele pentru ipfw din fisiere txt

Atunci cand folosim pf in freeBSD avem posibilitatea sa definim tabele de ip-uri in mai multe moduri, ca de ex: table <local> persist { 192.168.10.0/24, 172.16.0.0/24 } table <virusati> persist file "/etc/pf.conf-virusati" In cazul cand folosim ipfw si avem nevoie sa aplicam diferite reguli unor grupuri de ip-uri, o solutie este sa avem un fisier text cu aceste ip-uri pe care sa il modificam. Sa presupunem ca avem fisierul /etc/ipblock care contine urmatoarele linii: 192.168.0.20 192.168.0.31 192.168.0.53 192.168.0.88 Dorim sa blocam traficul dinspre aceste ip-uri. Pentru aceasta vom face un script in care scriem: #/usr/local/bin/bash ipfw table 0 flush; ipfw…