Ranije sam kao komentare u pravilima stavljao objasnjenja sta cemu sluzi... ali je to bilo pre ko zna koliko godina. Sada mi je sve tu u malom prstu. Elem:
int_if = "rl1"
ext_if = "rl0"
- definises interfejse tj. njihove aliase kako ne bi u toku pravila pisao rl1 ili rl0 kao kartice lepo stavis neko ime. Ja sam navikao na int_if za internu karticu koja vodi ka LAN-u i ext_if koja je ona povezana na net. Mozes ih zapravo zvati kako ti drago.
protocols = "{ tcp udp }"
icmp_types = "echoreq"
Opet aliasi. Kako ces cesto u toku pisanja pravila morati da definises koj protokol ces pokriti, a obicno su to TCP i UDP, onda ih ovde lepo definises. Posle toga u sintaksi firewalla samo kucas $protocols. ICMP TYPES se odnosi na ICMP. Firewall po defaultu blokira PING upite. To je ponekad dobro a ponekad lose. Ovaj alias u ovim pravilima nicemu ne sluzi
Posto nema pravila koje pusta ping. Ako ti je to potrebno samo reci pa cu dodati i pravilo za ping. Ovako napisano to je samo alias koji nicemu ne sluzi.
# Options
set block-policy return
set loginterface $ext_if
set skip on lo0
- Dodatne opcije. Ako pazljivo pogledas videces da je poprilicno citljivo. Prvo pravilo definise nacin odbijanja upada, drugi definise koji ce protok logovati. Posto nas brine samo ulaz/izlaz na Net onda logujemo samo ext_if podatke. I konacno, stavljas da firewall ne obraca paznju na desavanja na lokalnom loopback uredjaju.
# Scrub
scrub in all
- Scrub je normalizaija paketa. Sta to znaci? Scrub opcija sastavlja fragmentirane pakete, stiti neke operativne sisteme od DoS napada, odbija TCP pakete sa pogresnom kombinacijom flagova itd. Ova komanda gore radi scrub na sav ulazni saobracaj na svim interfejsima. Ako zelis mozes staviti scrub samo za ext if pa bi pravilo bilo: scrub in on $ext_if
# NAT
nat on $ext_if from $int_if:network to any -> ($ext_if)
- ovo je jasno kao dan. Sav saobracaj iz LAN-a ce biti NAT-ovan.
# Rules
block in log
pass out
pass quick on lo0 all
pass in quick on $int_if from $int_if:network
Da ovo gore ispricam kao pricu: blokiraj sav dolazni saobracaj i loguj. Dozvoli sav odlazni saobracaj. Pusti bez provere sav saobracaj na loopback uredjaj. Dozvoli ulaz na ruter preko int_if uredjaja svima koji su u IP opsegu int_if-a - ako je on 10.0.0.1 onda ce ovo biti 10.0.0.0/24.
I to je to. Nekada davno smo morali da na kraj pravila u firewallu dodajemo i tip flegova koje pustamo (S/SA nrp.) kao i da kazemo keep state. Kao sto znate UDP je stateless protokol. PF cini da cak i takav protokol ne bude stateless tako sto on vodi racuna o trenutnom stanju prenosa podataka - potvrde o prijemu.
Sada je keep state podrazumevana stvar u PF tako da vise ne moramo da navodimo tako nesto. To je super jer su pravila znatno preglednija. Kada sad vidim PF na jednoj FreeBSD 5.4 masini koju imam u USA dodje mi da zaplacem.
antispoof quick for $ext_if
- i konacno, nacin da se maliciozni pokusaji prenosa podataka zaustave. spoof adrese nastaje kada maliciozni korisnik lazira svoju IP adresu kako bi unutar mreze preneli neke podatke kao neko drugi. Ovaj deo pravila se stara da do tako neceg ne dolazi. Korisno za dolazni saobracaj. Kada u pravilo stavis "quick" onda se ono izvrsi bez obzira sta pisalo u ostatku firewalla - dakle, antispoof ma sta se desavalo kasnije.
Mozda sam negde bio malko konfuzan, izvinjavam se. Bio je ovo dug dan. Ako jos nesto nije jasno samo pitajte. Mada je sve lepo objasnjeno na OpenBSD sajtu. Sto se PF-a tice topla preporuka je The Book of PF. Mozete je naci na netu.
