Enkleste oppsett (OpenBSD)

Da har vi endelig kommet til noe praktisk og greit, det helt enkleste oppsettet med PF. På en enslig maskin som skal snakke med et nettverk som godt kan være Internet.

For å starte PF, som vi var inne på i sted, så må du si fra til +rc-systemet at du vil starte tjenesten. Det gjør du i på OpenBSD /etc/rc.conf.local, med den magiske linjen

pf=YES                # aktiver PF

nokså enkelt og greit. I tillegg kan du, hvis du vil, angi hvilken fil PF skal finne reglene sine i.

pf_rules=/etc/pf.conf # angi hvilken fil som inneholder regler

Ved neste omstart vil da PF bli aktivert. Det ser du av meldingen PF enabled på konsollet. I den /etc/pf.conf som kommer ut av en normal installering av OpenBSD, FreeBSD eller NetBSD inneholder en del gode forslag, men alt sammen er kommentert ut.

Men du trenger ikke å starte maskinen på nytt for å aktivere PF. Det bruker du like gjerne pfctl til. Siden vi ikke har lyst til å reboote i tide og utide, sier vi på kommandolinjen

peter@skapet:~$ sudo pfctl -e ; sudo pfctl -f /etc/pf.conf

og da er PF aktivert[1][2]. Foreløpig har vi ikke noe regelsett, så PF gjør ingenting.

Det er antakelig verd å merke seg at hvis du starter maskinen på nytt nå, så vil rc-scriptet, i alle fall på OpenBSD, aktivere et standard-regelsett, som faktisk blir lastet før nettverksgrensesnittene blir aktivert.

Dette regelsettet er utformet som et sikkerhetsnett i tilfelle gatewayen starter med en ugyldig konfigurasjon. Dette gir deg mulighet til å logge inn og rette på det som måtte være av syntaksfeil som gjorde at det egentlige regelsettet ditt ikke lot seg laste. Standardregelsettet tillater trafikk for noen få basistjenester: ssh fra hvor som helst, navneoppslag fra maskinen og montering av NFS-filsystemer.

Noen tidlige versjoner av PF på andre systemer ser ut til å ha oversett, og kan dermed mangle, standardregelsettet.