Сегодня я решил написать статью по установке фаервола PF на FreeBSD. Приступим….
Во всех новых версиях FreeBSD, PF доступен в виде подгружаемого модуля, но я предпочитаю включить его в ядро с подальшей пересборкой. В ядро необходимо добавить следующее:
device pf
device pflog
device pfsyncИ еще несколько опций для организации очередей.
options ALTQ
options ALTQ_CBQ # Class Bases Queuing (CBQ)
options ALTQ_RED # Random Early Detection (RED)
options ALTQ_RIO # RED In/Out
options ALTQ_HFSC # Hierarchical Packet Scheduler (HFSC)
options ALTQ_PRIQ # Priority Queuing (PRIQ)
options ALTQ_NOPCC # Required for SMP buildПересобираем наше ядро…
И включаем загрузку PF в файле /etc/rc.conf
pf_enable="YES"
pflog_enable="YES"Допустим я указываю путь к конфигу явно при тестировании нового конфига. Сервер находится далеко и чтоб не остаться без доступа я перед тестом ставлю отложенный рестарт системы через 10 минут, и тестовый конфиг применяю из другого файла, если что то накосячил и ssh доступ пропал, то система через 10 минут перезагрузится и загрузит старые правила из файла /etc/pf.conf.
Поэтому, я бы еще советовал добавить:
pf_rules="/etc/pf.conf"PF автоматически загрузится при следующем рестарте системы, без перезагрузки можно включить командой pfctl -e. В следующей статье мы на примере разбером конфигурационный файл PF.
3,975 всего просмотров, 2 за сегодня