Файрвол PF в ОС FreeBSD

[ChePeter]

Пакет на localhost после этой команды
set skip on lo0
пропускается или обрабатывается дальше?

[M14xa]

Эта опция указывает PF полностью пропускать трафик на интерфейсе lo0. Пакет просто уйдет в ядро без проверки.

[dvserg]

— Не вижу про States table. Частый вопрос «я применил правила, а они не работают» — как раз про states.
— Про Policy routing добавить бы в обзор не мешало, как раз к меткам суперспособность.

[M14xa]

Это — просто маленькая обзорная статья. Всё будет. В данный момент планы на 5-6 статей. Там разбор фильтрации, states, NAT, Policy Based Routing, ALTQ и так далее. Если будет время и интерес, то так же разберем, как FreeBSD обрабатывает пакеты в целом, в том числе маршрутизацию.

[JerleShannara]

Очень недурно будет, если вы упомянете очерёдность работы фаерволов(pf/ipfw/ipfilter), а лучше всего, если покажете где в цепочке обработки трафика ядром они встраиваются.

[M14xa]

-

[darken99]

а исходящие соединения вам не нужны?

[M14xa]

Исходящие соединения разрешены правилами
pass out

[darken99]

но ведь его нет в листинге
а есть только разрешение ходить по портам из списка на внешние хосты, кстати тоже непонятно зачем
вобщем конфиг вызывает одни вопросы

[M14xa]

Понял. Входящие соединения разрешаются правилами pass in
pass in proto tcp to port { $permit_tcp_ports }
Так же нашему серверу в вакууме нужно уметь ходить до api (например до офисной crm и трекера) и синхронизировать время.
Ну и вообще — это просто конфигурация, описывающая конфигурацию фильтрации входящих и исходящих соединений + макросы. Я писал, это сферический конфиг в вакууме. В следующих статьях будут разобраны более сложные примеры.

[Worldpunk]

Я наверное не верно настраиваю тк меня его проходят и дальше убивают машины.
Вы хоть написали бы как настраивать грамотно. Вроде все блочу… Как то проходят.
Статья банальная. Фряху не советую обычному юзеру, запутаптся в командах, Debian или арч пусь себе ставит.
Через мою пфку просто меня досят, я гайки затянул что инет упал в 10 раз до 5 мб… И все равно проходят… Печаль…
Не думайте я ещё тот фряшник, меня даже из группы выгнали. Т. е. я всеми руками за систему она сильная но даже снорд говорю не понацея. Если так говорить то и цеску дайте её пройдут по этому нужны конфиги. А так это все… Это тоже самое что гайд с оф сайта вывести или список команд. Это и так все знают.

[M14xa]

В следующей статье будет подробный разбор фильтрации. Собственно возьмем тот недоконфиг, что я привёл в статье, и будем развивать. Статья банальная именно потому, что вводная.
Обычному юзеру на десктоп — понятное дело, фрю не надо. А вот на сервер — уже не так очевидно. Если железо поддерживается, или вообще виртуалка, то особой разницы нет. А с точки зрения целостности системы и единообразия подхода ко всему на свете FreeBSD даст 100 очков форы любому дистрибутиву Linux.
Проблема dos атак в том, что, зачастую, с точки зрения файрволла, это вполне легитимный трафик. Для защиты от такого необходимо ставить что-то 7 уровня, либо реверс-прокси, либо suricata… Собственно мы в ИКС используем suricata. Если же у вас DDOS, то вообще всё скверно, потому что входящим трафиком, который прилетает из шнурка провайдера, мы не управляем.

[M14xa]

Да, именно так. В том числе ограничение количества подключений и защита от спуфинга — в следующей статье. Не забудем и устаревание адресов в таблице bruteforce. Однако table rfc6890 у Вас, на мой взгляд, довольно неоднозначна. У провайдера может быть серая сеть за внешним интерфейсом сервера. Например сервер бэкапов. Или внутренняя нетарифицируемая меж-серверная сеть, годная для обмена данными внутренних ресурсов.