Защита малой сети с помощью Пакетного фильтра (PF)
Часть 1

Pages: 1, 2, 3, 4, 5, 6

Next Page

Защита с помощью NAT

Это - правила pf.conf для защиты внутренней сети (LAN), имеющей внешний адрес IP и NAT. Главный подход к созданию защиты - запрет (deny), разрешать только необходимые передачи данных (allow only needed traffic):

ПРАВИЛА
1 Правила PF  - Разрешать любую передачу из внутренней сети  (LAN) к внешнему межсетевому объединению (Internet): (запрос связи исходит из LAN, stateful filtering)

# --------------------- pf.conf -----------------------
ext_if="fxp0"
int_if="fxp1"
lan_hosts="{192.168.0.2 192.168.0.3}"

set block-policy drop
set optimization normal
set loginterface none

# упорядочить входящие и исходящие пакеты данных на всех подключениях
# (normalize packets in and out, all interfaces)
scrub in all
scrub out all

nat on $ext_if from { 192.168.0.1/16 } to any -> ($ext_if)

# сначала запрещаем все (by default block all)
block in log all

# разрешить выход данных с компьютера-распределителя во вне
# (allow traffic initiated from Router to outside)
pass out quick on $ext_if from ($ext_if) to any flags S/SA modulate state

# разрешить весь поток данных только от внутренних компьютеров вовне
# (allow all traffic only for connections initiated from LAN to Internet)
pass in quick on $int_if from $lan_hosts to any flags S/SA modulate state

# разрешить подключения по защищенному соединению извне (allow SSH traffic from Internet)
pass in quick on $ext_if proto tcp from any to ($ext_if) port 22 flags S/SA modulate state

# разрешить передачу данных от распределителя к внутренним вычислительным устройствам
# (allow traffic from Router to LAN hosts)
pass out quick on $int_if from ($int_if) to $lan_hosts flags S/SA modulate state

antispoof for $ext_if
antispoof for $int_if
# -------------------------------- конец pf.conf -------------------------------------

Pages: 1, 2, 3, 4, 5, 6

Next Page

Оглавление: Защита малой сети с помощью PF для OpenBSD Оглавление: Защита малой сети с помощью PF, часть 1-6 Переход от ipfilter к PF (Jacek Artymiak) -- OpenBSD switched from using IPFilter as its default firewall to PF, or Packet Filter, as the new default. Jacek Artymiak explains how to make a smooth transition from ipf to pf. Правила PF и Sendmail (Jacek Artymiak) -- In the third installment of our series on OpenBSD networking, Jacek Artymiak examines pf rules and potential sendmail problems. Часть 4 (Jacek Artymiak)