Вопросы Теги

конфигурация сервера брандмауэра pf

Я пытаюсь настроить брандмауэр для сервера, которые размещают http, smtp и ssh на пользовательском порте.

Когда я инициализирую pf, я получаю ошибку в командной строке:

No ALTQ support in kernel

и мои замораживания соединения SSH

конфигурация:

[\u@vader:/root] # cat /home/pf.conf
local_host="108.61.175.20"
table <blockedips> persist file "/etc/blocked_ips.conf"
#interface="vtnet0"
icmp_types="echoreq"
ext_if="vtnet0"
# Custom port for ssh
SSH_CUSTOM = 22222

scrub in on $ext_if all fragment reassemble

set skip on lo0
#set skip on lo1

antispoof for $ext_if

# --- EXTERNAL INTERFACE
# --- INCOMING -------------------------------------------------------------------

# --- TCP
pass in  quick on $ext_if inet proto tcp from any to $ext_if  port http
pass in  quick on $ext_if inet proto tcp from any to $ext_if  port https
pass in  quick on $ext_if inet proto tcp from any to $ext_if  port $SSH_CUSTOM

# --- for authoritative DNS server
#pass in  quick on $ext_if inet proto udp from any to $ext_if  port domain

# --- UDP
# --- for authoritative DNS server
#pass in  quick on $ext_if inet proto udp from any to $ext_if  port domain

# --- ICMP
pass in  quick on $ext_if inet proto icmp from any to $ext_if icmp-type $icmp_types

# --- EXTERNAL INTERFACE
# --- OUTGOING --------------------------------------------------------------------

anchor TMP

# --- TCP
pass  out quick log on $ext_if inet proto tcp from $ext_if to any port smtp
pass  out quick     on $ext_if inet proto tcp from $ext_if to any port domain
pass  out quick     on $ext_if inet proto tcp from $ext_if to any port http
pass  out quick     on $ext_if inet proto tcp from $ext_if to any port https
pass  out quick     on $ext_if inet proto tcp from $ext_if to any port whois
pass  out quick     on $ext_if inet proto tcp from $ext_if to any port $SSH_CUSTOM

# --- UDP
pass  out quick on $ext_if inet proto udp from $ext_if to any port domain
pass  out quick on $ext_if inet proto udp from $ext_if to any port ntp

# --- ICMP
pass  out quick on $ext_if inet proto icmp  from $ext_if to any

# ------------------------------------------------------
# --- DEFAULT POLICY
# ------------------------------------------------------
block log all

# ----- end of pf.conf

Как я настраиваю основной сервер pf fw для разрешения входящего www, smtp и пользовательского ssh трафика порта? Мне нужна таблица блоков, подобная той в конфигурации.

-1
задан 9 August 2015 в 05:33
1 ответ

Сообщение нормальное, так как ALTQ не скомпилирован в ядре FreeBSD. Если только вам не нужно использовать ALTQ, это не имеет значения.

Запуск брандмауэра прерывает все текущие соединения, включая вашу сессию ssh, которая перестает отвечать. Просто откройте другой терминал и снова войдите в систему. Оригинальная сессия в конце концов перестанет работать.

Хорошая идея - установить задание cron на выключение PF примерно через десять минут, чтобы вы могли войти обратно, если ошибетесь, до тех пор, пока не убедитесь в правильности настроек.

.
3
ответ дан 5 December 2019 в 19:14

Теги

Похожие вопросы