[BSD] Kompilacja i konfiguracja PF aka Packet Filter

[Badar]

Witajcie .

 

 

Dziś poruszymy kwestię kompilacji jednego z trzech firewalli BSD'ka -- tego najciekawszego, czyli PF'a (Packet Filter) .

Dlaczego najciekawszego ?

PF jest najciekawszym firewallem, ponieważ spełnia wszystkie zadania - to 3 w 1 ! .

Osobiście się do niego bardzo przekonałem i kompiluję tylko PF

.

Ale dość tego wstępu, pora na konkrety .

 

Kompilacja .

 

 

 

Kompilację podzielimy na :

• pobranie source jądra
  
• edycję loader'a
  
• edycję pliku konfiguracyjnego nowego jądra
  
• kompilcję nowego jadra
  

Zaczynamy !

 

Pobranie source jądra .

 

Pora na fazę pierwszą, czyli pobranie source - pokażę to Wam tekstowo i w formie SS'ów .

Łączymy się po przez SSH do naszego serwerka i następnie wpisujemy ten ciąg komend :

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

 

SS'y :

 

1)

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

2)

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

3)

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

4)

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

5)

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

6)

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

7)

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

8)

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

 

W ten sposób pobraliśmy source jądra, teraz możemy działać i je przerobić pod nasze potrzeby

.

Pora na fazę II

 

Edycja loader'a .

 

Pora na edycję loader'a, by umożliwić uruchamianie się PF'a (packet filtera)

.

Wykonujemy to za pomocą następującej komendy :

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

Po tej operacji wychodzimy i zapisujemy plik .

Tu już wszystko wykonaliśmy .

 

SS'y :

 

1)

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

2)

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

3)

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

4)

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

5)

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

 

Koniec fazy II pora na fazę III

 

Edycja pliku konfiguracyjnego nowego jądra.

 

Przyszła pora na edycje naszego CONFIG jądra, by móc dodać opcje PF'a ..

W przypadku 32 i 64 bitowego systemu są to różne ścieżki .

 

32 bitowy OS :

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

 

64 bitowy OS :

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

 

Po wpisaniu któreś z tej komend, kopiujemy plik konfiguracyjny GENERIC na nasz, po przez następującą komendę :

 

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

np:

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

 

Teraz pora na edycję CONFIG'a po przez komendę :

 

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

np:

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

 

W miejscu "options" dopisujemy następujące opcje :

device[TAB][TAB]pf
device[TAB][TAB]pflog
device[TAB][TAB]pfsync
options[TAB][TAB]ALTQ
options[TAB][TAB]ALTQ_CBQ
options[TAB][TAB]ALTQ_RED
options[TAB][TAB]ALTQ_RIO
options[TAB][TAB]ALTQ_HFSC
options[TAB][TAB]ALTQ_PRIQ
options[TAB][TAB]ALTQ_NOPCC

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

 

Następnie czekamy, aż kompilacja się zakończy, gdy to się wydarzy przechodzimy do następnej operacji .

 

 

 

Autostart i komendy

 

 

 

Przyszła pora na edycję pliku autostartu i podanie Wam podstawowych komend do PF'a .

 

Edytujemy plik autostartu (rc.conf) po przez następującą komendę :

 

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

 

Następnie wklejamy tam zawartość code :

 

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

 

To tyle, jeśli chodzi o autostart, teraz pora na wymienienie komend :

 

komendy do PF :

 

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

 

Przechodzimy do kolejnej, ostatniej operacji .

 

 

 

Reguły PF

 

 

 

Pora na reguły naszego PF'a, które znajdą się w pliku pf.conf .

Jest to również ważna część, gdyż bez nich nie damy rady dostać się do maszyny .

Dam Wam gotowe reguły jak i nauczę robić je od zera .

 

Utworzenie pliku zasad PF

 

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

 

Budowa reguł PF'a

 

 

 

PF wspiera powłokę unixową - pozwala na użycie zmiennych, zakresów etc.

Na początek musimy ustalić sobie nasz zakres zmiennych, by móc wygodnie pisać nasze reguły - potocznie nazywamy to makrą .

 

Cały, pełnowartościowy PF składa się z :

 

1. Makry

2. Opcji zarządzania czasem połączenia

3. Składania pofragmentowanych lub rozbitych pakietów

4. Normalizacji pakietów

5. Zarządzania pasmem np. kontrola intensywności ruchu

6. Translacji pakietów

7. Przekierowań - reguły filtrowania

8. Filtrowania pakietów

 

Funkcje PF'a w regułach

 

 

 

PF składa się z wielu dodatkowych funkcji, które ułatwiają zabezpieczanie naszego serwera .

Oto te reguły :

 

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

 

 

 

Warunki, protokoły, flagowanie PF'a w regułach

 

 

 

Reguły PF'a jak każde mają swoje warunki, flagi, protokoły..

Flagowanie pozwala również na blokadę skanu portów, nasłuchu często stosowaną również na protokole TCP (zwykle na icmp).

Warto je poznać i wymienić, by móc szczelnie budować swoje zestawy reguł .

 

Warunki :

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

 

Argumenty :

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

 

Protokoły :

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

 

State'y w PF

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

State'y w PF są bardzo ważnym dodatkiem, dzięki nim również chronimy swą sieć przed atakami .

 

Flagowanie dla protokołu TCP

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

 

Flagowanie tyczy się tylko i wyłącznie protokołu TCP

 

 

 

To w sumie na tyle, pora na gotowe przykłady

[/code]

 

 

 

Gotowe podstawowe zasady PF'a (przepuszczają każde połączenie)

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

 

Gotowe średniej klasy zasady PF'a (są już bardziej "złożone")

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

 

 

 

Tutorial zostanie dopracowany pod względem estetyki etc do dnia : 6 marca godziny 22:00

 

 

Nie odpowiadam za wszelkie szkody wynikające z błędów podczas kompilacji !

Pozdrawiam !

[make me kebab]

Wyczepisty poradnik . Na pewno się wielu osobom przyda. Like

[ZorQ]

No Badarku, jak zawsze się postarałeś dzięki wielkie, na pewno wielu osobom przyda się ten tut

[WonskiPW]

Tut bardzo sie przyda, ładnie i estetycznie opisane. Może dodałbyś jakieś podpowiedzi jak najlepiej ustawić reguły żeby w jakimś stopniu zabezpieczyć się przed DDOSami?

[Badar]

Tut bardzo sie przyda, ładnie i estetycznie opisane. Może dodałbyś jakieś podpowiedzi jak najlepiej ustawić reguły żeby w jakimś stopniu zabezpieczyć się przed DDOSami?

 

A no to podczas poprawek dodam, ale można się domyśleć jak to kilka razy przeczytasz ;>

 

@Queti - oj ja w to wątpie ... .

 

Btw dawaj na gg

 

 

@Michaś - nie chce mi się new posta robić to tu pisze . Jak to mój 12 tut około Oo

[Qentinios]

Bardzo dobrze że pojawił się tu taki tut. Mam nadzieję że inni to docenią ^_^

[Kaczolot16]

Badarek, rozwija sie z TuTami. Gratki..:].

Dooobre..

Przyda sie.

[brint]

a gdzie znajde tą sciezke PF=Load ?? Bo szukam szukam i nic;/

[Badar]

a gdzie znajde tą sciezke PF=Load ?? Bo szukam szukam i nic;/

 

Jaką ścieżkę Pf-load ? Oo

 

Rozwiń wypowiedź, bo nie zrozumiałem - jak nie dajesz rady to Ci pomogę

 

@Down - przerwała Ci się kompilacja tak więc PF nie wie co robić i zwaliło Ci się jądro .

 

Polecam tryb rescue / reinstall .

[brint]

dobra znalazlem tylko maqm problem wczoraj prz instalacji laptop mi sie wylaczyl i jak probuje sie zalogowac do putty to nie moge ;///

[brint]

yy nie rozumiem tego

W miejscu "options" dopisujemy następujące opcje :

device[TAB][TAB]pf

device[TAB][TAB]pflog

device[TAB][TAB]pfsync

options[TAB][TAB]ALTQ

options[TAB][TAB]ALTQ_CBQ

options[TAB][TAB]ALTQ_RED

options[TAB][TAB]ALTQ_RIO

options[TAB][TAB]ALTQ_HFSC

options[TAB][TAB]ALTQ_PRIQ

options[TAB][TAB]ALTQ_NOPCC

 

 

Gdzie to mam dopisać dokładnie mógł by ktoś powiedziec??

[Badar]

yy nie rozumiem tego

W miejscu "options" dopisujemy następujące opcje :

device[TAB][TAB]pf

device[TAB][TAB]pflog

device[TAB][TAB]pfsync

options[TAB][TAB]ALTQ

options[TAB][TAB]ALTQ_CBQ

options[TAB][TAB]ALTQ_RED

options[TAB][TAB]ALTQ_RIO

options[TAB][TAB]ALTQ_HFSC

options[TAB][TAB]ALTQ_PRIQ

options[TAB][TAB]ALTQ_NOPCC

 

 

Gdzie to mam dopisać dokładnie mógł by ktoś powiedziec??

 

Przeczytaj dokładnie tutka [........]

 

Wklejasz to ofc z tabami do pliku konfiguracyjnego jądra i kompilujesz. Tak ciężko to doczytać i zrozumieć ?

[AdminFreeBSD]

Tak na marginesie to nie trzeba kompilować PF do jądra można pominąć ten etap instrukcji gdyż po dodaniu wpisu pf_enable="YES" do /etc/rc.conf skrypt uruchamiający pf będzie ładował moduł pf, który jest dostępny w systemie. Wydaje mi się że nie ma sensu obciążać jądro dodatkowymi kb gdy można używać modułu. Poprawność załadowania modułu można sprawdzić komendą kldstat

 

P.S. przy zabawie z regułkami na dedyku dobrze jest sobie zrobić skrypt, który zrobi flush regułek i wrzucić go do crontaba w celu uniknięcia muki kiedy sami siebie przez przypadek zablokujemy

 

A do załadowania regułek bez rozłączenia połączeń gdy stosujemy zasadne domyślnego blokowania można zastosować polecenie pfctl -R -f /etc/pf.conf

 

Pozdrawiam

 

AdminFreeBSD

[Badar]

Tak na marginesie to nie trzeba kompilować PF do jądra można pominąć ten etap instrukcji gdyż po dodaniu wpisu pf_enable="YES" do /etc/rc.conf skrypt uruchamiający pf będzie ładował moduł pf, który jest dostępny w systemie. Wydaje mi się że nie ma sensu obciążać jądro dodatkowymi kb gdy można używać modułu. Poprawność załadowania modułu można sprawdzić komendą kldstat

 

P.S. przy zabawie z regułkami na dedyku dobrze jest sobie zrobić skrypt, który zrobi flush regułek i wrzucić go do crontaba w celu uniknięcia muki kiedy sami siebie przez przypadek zablokujemy

 

A do załadowania regułek bez rozłączenia połączeń gdy stosujemy zasadne domyślnego blokowania można zastosować polecenie pfctl -R -f /etc/pf.conf

 

Pozdrawiam

 

AdminFreeBSD

 

Pozwolisz, że dodam to do tutoriala ? (wolę spytać) .

 

Ten moduł wg Ciebie zadziała tak samo poprawnie? :P

 

@down - jasne, dziękuję Ci - zaznaczę, czyja to wypowiedź

[AdminFreeBSD]

Tak możesz dodać oczywiście z odpowiednim podpisem Ja stosuję moduł i nie mam z tym żadnych problemów w moich konfiguracjach więc moim zdaniem nie ma żadnej różnicy a wręcz jest zaleta że jądro ma parę kb mniej.

[morwa123]

A powie mi ktoś jak odinstalować firewalla??? Bo jak to zrobiłem to teraz nie mogę się w ogóle zalogować na VPS to wole odinstalowac;/;

[Maliusek1]

A powie mi ktoś jak odinstalować firewalla??? Bo jak to zrobiłem to teraz nie mogę się w ogóle zalogować na VPS to wole odinstalowac;/;

Odinstalować ? Ciekawe.

Może lepiej wyłączyć ?

Jak masz możliwość to wejdź w tryb rescue, zamontuj partycję i w rc.conf wyłącz firewall'a.

Jeżeli takiej nie masz, to poproś administratora o podobne działanie.

[morwa123]

Mam dostęp do awaryjej konsoli zmieniłem pf_enable="YES" na NO

 

i zobaczymy czy będę mógł wejść do vps..

 

 

@edit dalej coś blokuje logowanie się pomoże ktoś ??

[AdminFreeBSD]

Napisz jaki masz komunikat błędu. Napisz jak się logujesz jaki port używasz w putty, podaj konfiguracje z pliku sshd_config. Ogólnie opisz sytuacje to ci kto pewnie pomoże. Bo z zdania nie moge się zalogować to dużo wywnioskować nie można.

[morwa123]

błąd mam taki : zmieniłem kiedyś port 22 na port 5000

[Badar]

błąd mam taki : zmieniłem kiedyś port 22 na port 5000

 

Podajesz złe hasło milordzie

[morwa123]

ale kur.. dobre wpisuje.. Na maila nic mi nie przyszło ze zmienili;/

 

ale jak wpisuje takie dane w awaryjnej konsoli to pokazuje ze dobrze to kur.. czemu w putty tak pokazuje?

[Badar]

ale kur.. dobre wpisuje.. Na maila nic mi nie przyszło ze zmienili;/

 

ale jak wpisuje takie dane w awaryjnej konsoli to pokazuje ze dobrze to kur.. czemu w putty tak pokazuje?

 

Hasło do vsphere jest inne niż do SSH, i możesz nie mieć odblokowanego permit logina milordzie

[morwa123]

ja wpisuje w Putty Hasło do VPS a nie hasło do vsphere ) a gdzie odblokować ten permit login?? Obczaj też ten temat

To jest ukryta treść, proszę

• Zaloguj się
• lub
• Zarejestruj się

 

http://www.mpcforum....roblem-problem/

[AdminFreeBSD]

Plik /etc/ssh/sshd_config się kłania jak nie wiesz co z tym zrobić, zmienić zapytaj wujka google.pl. Są dwie opcje twojego problemu. 1. Podajesz złe hasło. Zmień je i się zaloguj. 2. Masz właśnie jak Badar napisał zablokowane logowanie konta root. Ewentualnie coś zdupczyłeś bawiąc się plikami systemowymi