Категорії
FreeBSD OpenBSD Security Solaris

[pf] Файервол packet filter

Обновлена 23.06.2016

Введение.

Пару слов о самом pf. Пакетный фильтр (далее PF) OpenBSD предназначен для фильтрации TCP/IP трафика и трансляции адресов (NAT). PF так же способен нормализовать и преобразовывать TCP/IP трафик, управлять приоритетами пакетов и пропускной способностью. PF был включен в ядро GENERIC OpenBSD, начиная с OpenBSD 3.0. Предшествующие версии OpenBSD использовали другой файрвол/NAT пакет, который более не поддерживается. Позже он портировался на FreBSD (начиная с 5.3) и Solaris (начиная с Oracle Solaris 11.3)

Категорії
FreeBSD OpenBSD Security

sshit: удобный блокировщик для pf

Расскажу ещё про один блокировщик подбора паролей. Теперь он будет работать в паре с pf. Сам sshit представляет собой скрипт на языке perl со всеми вытекающими отсюда последствиями. То есть, при наличии необходимых знаний языка perl вы можете нелету (а именно так он и работает) изменять сам скрипт. Это же (то есть налету) можно делать и с конфигурационным файлом.

Примечание: для OpenBSD его так же можно использоват, не смотря на то, что его нет в репозитариях. Учитывая что это скрипт на perl’e – просто скопируйте себе этот бинарник и конфиг и следуйте указанием в статье. Единственное отличие – это то, что в OpenBSD в syslogd нету флага ‘-c’.

Категорії
FreeBSD OpenBSD Routers, GW, Internet

[pf] Режем скорость через altq

Если вы работает с pf и во время загрузки правил получаете такое сообщение:

No ALTQ support in kernel
ALTQ related functions disabled

значит поддержка altq не включена. Включить можно только через пересборку ядра. Для этого добавляем такие опции в конфигурационный файл ядра:

Категорії
FreeBSD Misc, staff, other OpenBSD Security

[pf] Разбираем ключевые слова в имени адреса

У pf есть некоторые особенности использования ключевых слов при составлении правил. Ими пользоваться достаточно просто. Основное преимущество заключается в том, что мы не привязывается к IP адресу, а это очень удобно

– один и тот же конфиг можно использовать на многих машинах, без изменений
– при смене IP адреса нет надобности редактировать правила

Категорії
FreeBSD Linux OpenBSD Solaris WRT

Бэкап по сети через netcat

При использовании роутеров с прошивками OpenWRT возникает проблема создания резервных копий при ограниченном дисковом пространстве. Иными словами нужно делать бэкап на лету по сети. Для этого очень подходит утилита nc (netcat), которая есть уже в базовой прошивке, а так же в большинстве *nix системах.

Категорії
FreeBSD Linux Misc, staff, other OpenBSD Solaris Windows

Выполняем команды от другого пользователя.

Вроде бы такие простые вещи должны знать, но иногда в порыве паники всё вылетает из головы :). Как бы там не было, опишу здесь команды, которые применяются для этого, в *nixwindows системах.

Категорії
FreeBSD Linux Misc, staff, other OpenBSD Solaris

Файерволы и keep state!

Обновлена 21.05.2014

Выдержка из документации:

“Операция состояния – путь для системы сетевой защиты, динамически создающей правила для определенных потоков при обнаружении пакетов соответствующих данному образцу. Поддержка операций состояния доступна через варианты правил check-state, keep-state и limit.

Категорії
FreeBSD Linux OpenBSD Security

Увеличиваем безопасность через файерволы.

Обновил статью 4.10.2011

В этой статье расскажу, о правилах файерволов, которые позволяют бороться с паразитируещим траффиком (фрагментированные пакеты, неправильные бродкасты, …). Приведу примеры для таких файерволов: ipfw, pf, iptables. В некоторых из них будут специфические правила, которые отсутствуют в других.

Категорії
FreeBSD Linux OpenBSD Routers, GW, Internet

Установка и настройка vpn с помощью mpd

Обновлена 13.09.2011

Задача такая: сделать максимально простым подключение к vpn пользователям на windows. Для этих целей я выбрал mpd, так как он больше всего совместим с windows клиентами.

ВАЖНО! Иногда при работе mpd (серверной части) наблюдаются подвисания процесса mpd, без возможности убить/перегрузить процесс. Если у вас появились такие симптомы, читайте в конце статьи ПРИМЕЧАНИЕ (для 8.1 и младше).

Тестовый стенд: сервер (FreeBSD 8.1, mpd 5.5), клиенты (WindowsXP/7, FreeBSD 8.1/8.0, Debian linux)

Домашняя страничка Andy
Записки молодого админа
Самостоятельная подготовка к Cisco CCNA
Самостоятельная подготовка к Cisco CCNP
Powered by Muff