今天小編為大家?guī)淼氖荈reebsd PF 安裝使用詳解，希望對大家會有幫助，有需要的朋友一起去看看吧

　　Freebsd PF 安裝使用

FreeBSD下的PF

　　FreeBSD下的包過濾工具有IPFW，IPF以及PF，它們各有特點。PF原本是OpenBSD下的包過濾工具，F(xiàn)reeBSD開發(fā)人員已經(jīng)把PF移植到了FreeBSD上了。如果要在FreeBSD上使用PF，需如下操作：

1. 編譯內(nèi)核：

　　cd /usr/src/sys/i386/conf

　　cp GENERIC LOULAN

　　編輯 LOULAN加入以下內(nèi)容

　　device pf

　　device pflog

　　device pfsync

　　options ALTQ

　　options ALTQ_CBQ

　　options ALTQ_RED

　　options ALTQ_RIO

　　options ALTQ_HFSC

　　options ALTQ_CDNR

　　options ALTQ_PRIQ

　　options ALTQ_NOPCC

　　options ALTQ_DEBUG

　　config LOULAN

　　make depend&& make && make install && reboot

2. 編寫防火墻規(guī)則pf.conf

　　具體可以參考 man pf.conf ，根據(jù)實現(xiàn)需求編寫防火墻規(guī)則。

　　pfctl -f pf.conf 應(yīng)用pf.conf的規(guī)則

　　pfctl -sr 　 查看訪問規(guī)則

　　pfctl -sn　 查看NAT規(guī)則

　　pfctl -sa　 查看所有PF信息

　　pfctl -Rf pf.conf　 重新加載訪問規(guī)則

　　pfctl -Nf pf.conf　 重新加載NAT規(guī)則

　　pfctl -Fa -f pf.conf　重新加載所有規(guī)則

Freebsd PF 安裝使用

　　要在 FreeBSD 6.2 上使用 PF 防火墻，有二個方式，一個是編譯進(jìn)入核心，另外是以動態(tài)模塊方式加載。

　　編譯進(jìn)入核心的方式

　　#FreeBSD log traffic，如果有使用 pflog，就要編譯進(jìn)核心

　　device bpf

　　#啟動 PF Firewall

　　device pf

　　#啟動虛擬網(wǎng)絡(luò)設(shè)備來記錄流量(經(jīng)由 bpf)

　　device pflog

　　#啟動虛擬網(wǎng)絡(luò)設(shè)備來監(jiān)視網(wǎng)絡(luò)狀態(tài)

　　device pfsync

　　以動態(tài)模塊加載

　　vi /etc/rc.conf

　　加入下面四行

　　#啟用 PF

　　pf_enable="YES"

　　#PF 防火墻規(guī)則的設(shè)定文件

　　pf_rules="/etc/pf.conf"

　　#啟用 inetd 服務(wù)

　　inetd_enable="YES"

　　#啟動 pflogd

　　pflog_enable="YES"

　　#pflogd 儲存記錄檔案的地方

　　pflog_logfile="/var/log/pflog"

　　#轉(zhuǎn)送封包

　　gateway_enable="YES"

　　#開啟 ftp-proxy 功能

　　vi /etc/inetd.conf

　　把下面這一行最前面的 # 刪除

　　ftp-proxy stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy

　　使用 sysctl 做設(shè)定(也可以重新開機(jī)讓設(shè)定生效)

　　sysctl -w net.inet.ip.forwarding=1

　　vi /etc/pf.conf

　　#對外的網(wǎng)絡(luò)卡

　　ext_if = "sis0"

　　#對內(nèi)的網(wǎng)絡(luò)卡

　　int_if = "rl0"

　　#頻寬控管

　　#定義 std_out 總頻寬 512Kb

　　#altq on $ext_if cbq bandwidth 512Kb queue { std_out }

　　#定義 std_out 隊列頻寬 256Kb，使用預(yù)設(shè)隊列

　　#queue std_out bandwith 256Kb cbq (default)

　　#定義 std_in 總頻寬 2Mb

　　#altq on $int_if cbq bandwidth 2Mb queue { std_in }

　　#假設(shè)頻寬足夠的話，可以從父隊列借用額外的頻寬

　　#queue std_in bandwidth 768Kb cbq (brrrow)

　　#對外開放的服務(wù)

　　open_services = "{80, 443}"

　　#內(nèi)部私有的 IP

　　priv_nets = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }"

　　# options

　　#設(shè)定拒絕聯(lián)機(jī)封包的處理方式

　　set block-policy return

　　#

　　set optimization aggressive

　　#紀(jì)錄 $ext_if

　　set loginterface $ext_if

　　# scrub

　　#整理封包

　　scrub in all

　　#nat

　　#NAT 地址轉(zhuǎn)譯處理

　　nat on $ext_if from $int_if:network to any -> $ext_if

　　#ftp-proxy

　　#ftp-proxy 重新導(dǎo)向

　　rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021

　　#rdr on $ext_if proto tcp from any to 140.111.152.13 port 21 -> 192.168.13.253 port 21

　　#Transparent Proxy Server

　　rdr on rl0 proto tcp from 192.168.13.0/24 to any 80 -> 127.0.0.1 port 3128

　　#阻擋可疑封包在 $ext_if 網(wǎng)卡進(jìn)出

　　antispoof log quick for $ext_if

　　#阻擋所有進(jìn)出的封包

　　block all

　　#開放 loopback

　　pass quick on lo0 all

　　#拒絕內(nèi)部私有 IP 對 $ext_if 網(wǎng)絡(luò)卡聯(lián)機(jī)

　　block drop in quick on $ext_if from $priv_nets to any

　　block drop out quick on $ext_if from any to $priv_nets

　　#開放對外的 80, 443 埠

　　pass in on $ext_if inet proto tcp from any to $ext_if port $open_services flags S/SA keep state

　　#只容許 140.111.152.0/24 網(wǎng)段對本機(jī)做 22 埠聯(lián)機(jī)

　　pass in on $ext_if inet proto tcp from 140.111.152.0/24 to $ext_if port 22 flags S/SA keep state

　　#開放內(nèi)部網(wǎng)絡(luò)對外聯(lián)機(jī)

　　#pass in on $inf_if proto rcp from any to any queue std_in

　　pass in on $int_if from $int_if:network to any keep state

　　pass out on $int_if from any to $int_if:network keep state

　　#開放對外網(wǎng)絡(luò)的聯(lián)機(jī)

　　#pass out $ext_if proto tcp from any to any queue std_out

　　pass out on $ext_if proto tcp all modulate state flags S/SA

　　pass out on $ext_if proto { udp, icmp } all keep state

　　啟動 PF，并讀取 pf 規(guī)則

　　pfctl -e;pfctl -f /etc/pf.conf

PF 指令的用法

　　#啟動 PF

　　pfctl -e

　　#加載 PF 規(guī)則

　　pfctl -f /etc/pf.conf

　　#檢查 PF 語法是否正確 (未加載)

　　pfctl -nf /etc/pf.conf

　　#停用 PF

　　pfctl -d

　　#重讀 PF 設(shè)定檔中的 NAT 部分

　　pfctl -f /etc/pf.conf -N

　　#重讀 PF 設(shè)定檔中的 filter rules

　　pfctl -f /etc/pf.conf -R

　　#重讀 PF 設(shè)定文件中的選項規(guī)則

　　pfctl -f /etc/pf.conf -O

　　#查看 PF 信息

　　#顯示現(xiàn)階段過濾封包的統(tǒng)計資料

　　pfctl -s info

　　pfctl -si

　　pfctl -s memory

　　#顯示現(xiàn)階段過濾的規(guī)則

　　pfctl -s rules

　　pfctl -sr

　　pfctl -vs rules

　　#顯示現(xiàn)階段過濾封包的統(tǒng)計資料

　　pfctl -vsr

　　#顯示現(xiàn)階段 NAT 的規(guī)則

　　pfctl -s nat

　　pfctl -sn

　　#檢視目前隊列

　　pfctl -s queue

　　#顯示現(xiàn)階段所有統(tǒng)計的數(shù)據(jù)

　　pfctl -s all

　　pfctl -sa

　　#清除 PF 規(guī)則

　　#清空 NAT 規(guī)則

　　pfctl -F nat

　　#清空隊列

　　pfctl -F queue

　　#清空封包過濾規(guī)則

　　pfctl -F rules

　　#清空計數(shù)器

　　pfctl -F info

　　pfctl -F Tables

　　#清空所有的規(guī)則

　　pfctl -F all

　　#PF Tables 的使用

　　#顯示 table 內(nèi)數(shù)據(jù)

　　pfctl -t ssh-bruteforce -Tshow

　　pfctl -t table_name -T add spammers.org

　　pfctl -t table_name -T delete spammers.org

　　pfctl -t table_name -T flush

　　pfctl -t table_name -T show

　　pfctl -t table_name -T zero

過濾掃描偵測軟件

　　block in quick proto tcp all flags SF/SFRA

　　block in quick proto tcp all flags SFUP/SFRAU

　　block in quick proto tcp all flags FPU/SFRAUP

　　block in quick proto tcp all flags /SFRA

　　block in quick proto tcp all flags F/SFRA

　　block in quick proto tcp all flags U/SFRAU

　　block in quick proto tcp all flags P

如果防火墻和 Proxy Server 不在同一臺主機(jī)

　　Proxy Server：192.168.13.250

　　no rdr on rl0 proto tcp from 192.168.13.250 to any port 80

　　rdr on rl0 proto tcp from 192.168.13.0/24 to any port 80 -> 192.168.13.250 port 3128