Brannmur med OpenBSDs pakkefilter PF
Peter N. M. Hansteen
peter@bsdly.net
Copyright
© 2005 - 2007 Peter N. M. Hansteen
Innholdsfortegnelse
Innledende kommentarer
PF?
Pakkefilter? Brannmur?
NAT?
PF i dag
BSD kontra Linux - konfigurering
Enkleste oppsett (OpenBSD)
Enkleste oppsett (FreeBSD)
Enkleste oppsett (NetBSD)
Første regelsett - enslig maskin
Litt strengere
Statistikk med
pfctl
Enkel gateway, NAT hvis du trenger det
Gatewayer og fallgrubene in, out og on
Hva er egentlig lokalnettet ditt?
Sette opp gatewayen
Problembarnet FTP
FTP gjennom NAT:
ftp-proxy
FTP, PF og rutbare adresser:
ftpsesame
,
pftpx
og
ftp-proxy
!
ftp-proxy
, ny utgave
Gjøre nettverket ditt feilsøkingsvennlig
Skal vi så slippe alt gjennom?
Den enkle måten: Dette stopper her
Slippe
ping
gjennom
Hjelpe
traceroute
Path MTU discovery
Nettverkshygiene: block-policy, scrub og så videre
block-policy
scrub
antispoof
Håndtere ikke-rutbare adresser fra andre steder
En webserver og epostserver på innsiden
Ta vare på sine egne - innsiden
Gjøre livet lettere med tabeller
Logging
Ta en titt med
tcpdump
Men det finnes grenser (en liten historie fra virkeligheten)
Få oversikt med pftop
Usynlig gateway med bridge
Trafikkregulering med ALTQ
ALTQ - prioritere etter trafikktype
Så hvorfor virker dette?
ALTQ - prosentvis fordeling
ALTQ - håndtere uønsket trafikk
CARP og pfsync
Trådløse nettverk, ganske enkelt
Litt bakgrunnsinformasjon om IEEE 802.11
WEP (Wired Equivalent Privacy)
WPA (WiFi Protected Access)
Sette opp et enkelt trådløst nettverk
Et åpent, men strengt bevoktet trådløst nettverk med
authpf
Stoppe maset fra robotene
expiretable
rydder tabellene
Mobbe spammere
Du er ikke alene: Svartelister
Svartlister, grålister og klebrige tjærehull
Sette opp
spamd
Hovedtrekk i erfaringene med
spamd
Konklusjoner fra erfaringene med
spamd
PF - Haiku
Referanser
Finne manuskriptet på web
Hvis du hadde glede av dette: Kjøp OpenBSD-CDer og annet, doner!
Neste
Innledende kommentarer