PF
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
CONTENTS
#contents
----
Lastmodified &lastmod;
----
http://gd.tuwien.ac.at/.vhost/www.openbsd.org/xxx/faq/pf/...
https://www.google.co.jp/webhp?sourceid=navclient&hl=ja&i...
*PF [#cf3189f7]
http://www.konata.net/freebsd/204_pf.php
/etc/rc.conf
# pf
pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
# touch /etc/pf.conf
root@ns1:/root # /etc/rc.d/pf start
Enabling pfNo ALTQ support in kernel
ALTQ related functions disabled
No ALTQ support in kernel
ALTQ related functions disabled
.
root@ns1:/root #
**# vi /etc/pf.conf [#b359818b]
http://d.hatena.ne.jp/littlebuddha/20100118/1263785513
#macros
# インターネットと通信する側の NIC 名
ext_if = "fxp0"
# LAN 側に接続されている NIC 名
# このサーバがNATやゲートウェイとして稼動する際に使われる
# int_if = "bge0"
# インターネットからの接続を許可するポート番号をまとめて...
tcp_services = "{22, 80, 443, ****}"
# プライベートアドレスとして登録されているアドレス空間を...
priv_nets = "{127.0.0.0/8, 192.168.0.0/16, 172.16.0.0...
# options
# 許可していないパケットはすべて破棄する
# 拒否の応答を返したい場合は「drop」ではなく[return」に...
set block-policy drop
# PF の着信/送出バイト数や通過/ブロックパケット数などの...
# 収集すべきインターフェイスを設定
set loginterface $ext_if
# scrub
# see at http://gd.tuwien.ac.at/.vhost/www.openbsd.org/x...
# パケットの正規化を行う
scrub in all
# default rules
# まずは全ての接続を拒否する
block all
# ループバックアドレスは全て許可する
pass quick on lo0 all
# 詐称されたパケットをブロックする
#antispoof log-all quick for $ext_if inet
antispoof quick for $ext_if inet
# ゲートウェイの役割がある場合は下記を有効にするか判断する
# see at http://gd.tuwien.ac.at/.vhost/www.openbsd.org/x...
# block drop in quick on $ext_if from $priv_nets to any
# block drop out quick on $ext_if from any to $priv_nets
# filter rules
# 外部からの ICMP の特定のプロトコルに応答する
pass in quick on $ext_if inet proto icmp from any icmp-t...
# 外部からの接続は tcp_services に登録したポートへの許可...
pass in on $ext_if inet proto tcp from any to ($ext_if) ...
# pass out all -> ext
# 内部から外部への接続で、下記のプロトコルを許可する
pass out quick on $ext_if proto tcp all modulate state f...
pass out quick on $ext_if proto {udp, icmp} all keep state
** 設定の確認 [#ca421116]
root@ns1:/root # pfctl -nf /etc/pf.conf
/etc/pf.conf:34: syntax error
root@ns1:/root #
root@ns1:/root #
root@ns1:/root # pfctl -nf /etc/pf.conf
root@ns1:/root #
** pf.ko があれば稼働中 [#w201a0e8]
root@ns1:/root # kldstat
Id Refs Address Size Name
1 3 0xc0400000 fd35e8 kernel
2 1 0xc5e50000 33000 pf.ko
** pf の設定内容を確認する。 [#a0d5aa38]
root@ns1:/root # pfctl -sr
No ALTQ support in kernel
ALTQ related functions disabled
scrub in all fragment reassemble
block drop all
pass quick on lo0 all flags S/SA keep state
block drop in quick on ! fxp0 inet from 218.44.228.144/2...
block drop in quick inet from 218.44.228.146 to any
pass in quick on fxp0 inet proto icmp all icmp-type echo...
pass in on fxp0 inet proto tcp from any to (fxp0) port =...
pass in on fxp0 inet proto tcp from any to (fxp0) port =...
pass in on fxp0 inet proto tcp from any to (fxp0) port =...
pass in on fxp0 inet proto tcp from any to (fxp0) port =...
pass out quick on fxp0 proto tcp all flags S/SA modulate...
pass out quick on fxp0 proto udp all keep state
pass out quick on fxp0 proto icmp all keep state
root@ns1:/root #
** PFのコントロール [#j8ce5b67]
http://bakuretsu.atso-net.jp/bakuretsu/freebsd/router-pf....
***/etc/pf.conf を変更したときは,以下のコマンドで新しい...
# pfctl -f /etc/pf.conf
***現在のルールを表示させるには以下のコマンドを使用する....
# pfctl -s rules
***ログは /var/log/pflog として作られるが,テキストファイ...
# tcpdump -n -e -ttt -r /var/log/pflog
***ログをリアルタイムで監視するには,以下のようにする.な...
# tcpdump -n -e -ttt -i pflog0
**DDOS DNS [#lb55bde6]
/etc/pf.conf
table <ddos> persist file "/etc/ddos"
block in log quick on $ext_if from <ddos> to any
/etc/ddos
178.32.36.67
**pf log rotation [#z1302602]
http://gd.tuwien.ac.at/.vhost/www.openbsd.org/xxx/faq/pf/...
http://bakuretsu.atso-net.jp/bakuretsu/freebsd/newsyslog....
/etc/newsyslog.conf
/var/log/pflog 600 3 100 * JB /var/run/pfl...
なんだか、初めっからアルっぽい
**DDOS Web [#ef8cf1a7]
http://forums.freebsd.org/showthread.php?t=21692
pf Code:
table <ddos> persist
# stop ddos
block in log quick on $ext_if proto tcp from <ddos> to $...
# http ddos prevention
# I would lower these limits as they are high
pass in quick on $ext_if proto tcp to $web_ip port { 80,...
(max-src-conn 120, max-src-conn-rate 180/60, over...
----
Total access &counter(total);:本日 &counter(today);:昨...
#counter([total|today|yesterday]);
終了行:
CONTENTS
#contents
----
Lastmodified &lastmod;
----
http://gd.tuwien.ac.at/.vhost/www.openbsd.org/xxx/faq/pf/...
https://www.google.co.jp/webhp?sourceid=navclient&hl=ja&i...
*PF [#cf3189f7]
http://www.konata.net/freebsd/204_pf.php
/etc/rc.conf
# pf
pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
# touch /etc/pf.conf
root@ns1:/root # /etc/rc.d/pf start
Enabling pfNo ALTQ support in kernel
ALTQ related functions disabled
No ALTQ support in kernel
ALTQ related functions disabled
.
root@ns1:/root #
**# vi /etc/pf.conf [#b359818b]
http://d.hatena.ne.jp/littlebuddha/20100118/1263785513
#macros
# インターネットと通信する側の NIC 名
ext_if = "fxp0"
# LAN 側に接続されている NIC 名
# このサーバがNATやゲートウェイとして稼動する際に使われる
# int_if = "bge0"
# インターネットからの接続を許可するポート番号をまとめて...
tcp_services = "{22, 80, 443, ****}"
# プライベートアドレスとして登録されているアドレス空間を...
priv_nets = "{127.0.0.0/8, 192.168.0.0/16, 172.16.0.0...
# options
# 許可していないパケットはすべて破棄する
# 拒否の応答を返したい場合は「drop」ではなく[return」に...
set block-policy drop
# PF の着信/送出バイト数や通過/ブロックパケット数などの...
# 収集すべきインターフェイスを設定
set loginterface $ext_if
# scrub
# see at http://gd.tuwien.ac.at/.vhost/www.openbsd.org/x...
# パケットの正規化を行う
scrub in all
# default rules
# まずは全ての接続を拒否する
block all
# ループバックアドレスは全て許可する
pass quick on lo0 all
# 詐称されたパケットをブロックする
#antispoof log-all quick for $ext_if inet
antispoof quick for $ext_if inet
# ゲートウェイの役割がある場合は下記を有効にするか判断する
# see at http://gd.tuwien.ac.at/.vhost/www.openbsd.org/x...
# block drop in quick on $ext_if from $priv_nets to any
# block drop out quick on $ext_if from any to $priv_nets
# filter rules
# 外部からの ICMP の特定のプロトコルに応答する
pass in quick on $ext_if inet proto icmp from any icmp-t...
# 外部からの接続は tcp_services に登録したポートへの許可...
pass in on $ext_if inet proto tcp from any to ($ext_if) ...
# pass out all -> ext
# 内部から外部への接続で、下記のプロトコルを許可する
pass out quick on $ext_if proto tcp all modulate state f...
pass out quick on $ext_if proto {udp, icmp} all keep state
** 設定の確認 [#ca421116]
root@ns1:/root # pfctl -nf /etc/pf.conf
/etc/pf.conf:34: syntax error
root@ns1:/root #
root@ns1:/root #
root@ns1:/root # pfctl -nf /etc/pf.conf
root@ns1:/root #
** pf.ko があれば稼働中 [#w201a0e8]
root@ns1:/root # kldstat
Id Refs Address Size Name
1 3 0xc0400000 fd35e8 kernel
2 1 0xc5e50000 33000 pf.ko
** pf の設定内容を確認する。 [#a0d5aa38]
root@ns1:/root # pfctl -sr
No ALTQ support in kernel
ALTQ related functions disabled
scrub in all fragment reassemble
block drop all
pass quick on lo0 all flags S/SA keep state
block drop in quick on ! fxp0 inet from 218.44.228.144/2...
block drop in quick inet from 218.44.228.146 to any
pass in quick on fxp0 inet proto icmp all icmp-type echo...
pass in on fxp0 inet proto tcp from any to (fxp0) port =...
pass in on fxp0 inet proto tcp from any to (fxp0) port =...
pass in on fxp0 inet proto tcp from any to (fxp0) port =...
pass in on fxp0 inet proto tcp from any to (fxp0) port =...
pass out quick on fxp0 proto tcp all flags S/SA modulate...
pass out quick on fxp0 proto udp all keep state
pass out quick on fxp0 proto icmp all keep state
root@ns1:/root #
** PFのコントロール [#j8ce5b67]
http://bakuretsu.atso-net.jp/bakuretsu/freebsd/router-pf....
***/etc/pf.conf を変更したときは,以下のコマンドで新しい...
# pfctl -f /etc/pf.conf
***現在のルールを表示させるには以下のコマンドを使用する....
# pfctl -s rules
***ログは /var/log/pflog として作られるが,テキストファイ...
# tcpdump -n -e -ttt -r /var/log/pflog
***ログをリアルタイムで監視するには,以下のようにする.な...
# tcpdump -n -e -ttt -i pflog0
**DDOS DNS [#lb55bde6]
/etc/pf.conf
table <ddos> persist file "/etc/ddos"
block in log quick on $ext_if from <ddos> to any
/etc/ddos
178.32.36.67
**pf log rotation [#z1302602]
http://gd.tuwien.ac.at/.vhost/www.openbsd.org/xxx/faq/pf/...
http://bakuretsu.atso-net.jp/bakuretsu/freebsd/newsyslog....
/etc/newsyslog.conf
/var/log/pflog 600 3 100 * JB /var/run/pfl...
なんだか、初めっからアルっぽい
**DDOS Web [#ef8cf1a7]
http://forums.freebsd.org/showthread.php?t=21692
pf Code:
table <ddos> persist
# stop ddos
block in log quick on $ext_if proto tcp from <ddos> to $...
# http ddos prevention
# I would lower these limits as they are high
pass in quick on $ext_if proto tcp to $web_ip port { 80,...
(max-src-conn 120, max-src-conn-rate 180/60, over...
----
Total access &counter(total);:本日 &counter(today);:昨...
#counter([total|today|yesterday]);
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
