Приложение C. Пакетный фильтр
OpenBSD
—
pf(4)
Приложение C. Пакетный фильтр
OpenBSD
—
pf(4)
Содержание
C.1. Введение в работу с пакетным фильтром
OpenBSD
C.2. Конфигурационный файл
pf.conf(5)
C.2.1. Основы конфигурирования пакетного фильтра
C.2.1.1. Списки
C.2.1.2. Макросы
C.2.1.3. Таблицы
C.2.1.3.1. Манипулирование таблицами с помощью утилиты
pfctl(8)
C.2.1.3.2. Адреса
C.2.1.3.3. Соответствие адресам
C.2.1.4. Фильтрация пакетов
C.2.1.4.1. Синтаксис правил
C.2.1.4.2. Политика
C.2.1.4.3. Пропускаем трафик
C.2.1.4.4. Ключевое слово
quick
C.2.1.4.5. Отслеживание состояния соединения
C.2.1.4.6. Хранение состояний для UDP
C.2.1.4.7. Опции таблицы состояний
C.2.1.4.8. TCP флаги
C.2.1.4.9. TCP SYN proxy
C.2.1.4.10. Борьба со спуфингом
C.2.1.4.11. Unicast Reverse Path Forwarding
C.2.1.4.12. Пассивное детектирование операционной системы
C.2.1.4.13. Опции IP
C.2.1.4.14. Пример
C.2.1.5. NAT
C.2.1.5.1. Как работает NAT
C.2.1.5.2. NAT и фильтрация
C.2.1.5.3. IP forward, проброс пакетов
C.2.1.5.4. Конфигурирование NAT
C.2.1.5.5. Bidirectional mapping (соответствие 1:1)
C.2.1.5.6. Исключения из трансляции
C.2.1.5.7. Проверка состояния правил NAT
C.2.1.6. Перенаправление пакетов, проброс портов
C.2.1.6.1. Введение
C.2.1.6.2. Перенаправление и фильтрация пакетов
C.2.1.6.3. Вопросы безопасности
C.2.1.6.4. Перенаправление и отражение
C.2.1.7. Приёмы используемые для упрощения файла
pf.conf(5)
C.2.1.7.1. Использование Макросов
C.2.1.7.2. Использование списков
C.2.1.7.3. Грамматика пакетного фильтра
C.2.2. Углублённое конфигурирование Пакетного фильтра
C.2.2.1. Опции в пакетном фильтре
C.2.2.2. Нормализация трафика (Scrub)
C.2.2.3. Anchors
C.2.2.3.1. Именованные наборы правил
C.2.2.3.2. Опции якоря
C.2.2.3.3. Управление именованными наборами
C.2.2.4. Очереди, приоритеты (регулировка полосы пропускания)
C.2.2.4.1. Очереди
C.2.2.4.2. Планировщики
C.2.2.4.3. Конфигурирование очереди
C.2.2.4.4. Пример 1: небольшая домашняя сеть
C.2.2.4.5. Пример 2: корпоративная сеть
C.2.2.5. Адресные пулы, балансировка нагрузки
C.2.2.5.1. Адресные пулы NAT
C.2.2.5.2. Балансировка нагрузки входящего трафика
C.2.2.5.3. Балансировка нагрузки исходящего трафика
C.2.2.6. Маркирование пакетов, фильтрация на основе политик
C.2.2.6.1. Присваивание маркера пакетам
C.2.2.6.2. Проверка маркеров
C.2.2.6.3. Фильтрация на основе политик
C.2.2.6.4. Маркирование кадров ethernet (канальный уровень OSI)
C.2.3. Дополнительные разделы
C.2.3.1. Журналирование в пакетном фильтре
C.2.3.1.1. Помещение пакетов в журнал
C.2.3.1.2. Чтение журнала
C.2.3.1.3. Фильтрация журнальных данных
C.2.3.1.4. Журналирование при помощи
syslogd(8)
C.2.3.2. Производительность
C.2.3.3. FTP
C.2.3.3.1. Режимы FTP
C.2.3.3.2. FTP клиент за брандмауэром
C.2.3.3.3. FTP сервер защищённый пакетным фильтром запущенным непосредственно на нём
C.2.3.3.4. FTP сервер защищённый внешним пакетным фильтром с запущенным на нём NAT
C.2.3.3.5. Проксирование TFTP
C.2.3.4. Authpf: авторизация в пакетном фильтре
C.2.3.4.1. Конфигурирование
authpf(8)
C.2.3.4.2. Создание класса authpf для
/etc/login.conf(5)
C.2.3.4.3. Кто зашёл в систему через
authpf(8)
?
C.2.3.4.4. Пример
C.2.3.5.
CARP
и pfsync
C.2.3.5.1. Введение в
CARP
C.2.3.5.2. Как работает
CARP
C.2.3.5.3. Настройка CARP
C.2.3.5.4. Пример
CARP
C.2.3.5.5. Введение в pfsync(4)
C.2.3.5.6. Использование с pfsync(4)
C.2.3.5.7. Конфигурирование pfsync
C.2.3.5.8. Пример использования pfsync
C.2.3.5.9. Совместное использование
CARP
и pfsync для отказоустойчивости
C.2.3.5.10. Замечания по использованию
CARP
и pfsync
C.2.4. Пример: брандмауэр для дома или небольшого офиса
C.2.4.1. Сценарий
C.2.4.1.1. Сеть
C.2.4.1.2. Задача
C.2.4.1.3. Подготовительные операции
C.2.4.2. Поэтапное описание правил фильтрации
C.2.4.2.1. Макросы
C.2.4.2.2. Опции
C.2.4.2.3. Нормализация трафика
C.2.4.2.4. Трансляция NAT
C.2.4.2.5. Перенаправление
C.2.4.2.6. Фильтрация
C.2.4.3. Полный листинг правил
C.3. Управление пакетным фильтром
OpenBSD
при помощи утилиты
pfctl(8)
C.3.1. Примеры
C.4. Интеграция пакетного фильтра с програмным окружением
C.4.1. Активное реагирование на события на примере борьбы с атаками bruteforce на SSH
C.4.1.1. Способы защиты от bruteforce атак
C.4.1.2. Постановка задачи
C.4.1.3. Сбор данных через syslog
C.4.1.4. Блокировка в пакетном фильтре
C.4.1.5. Обработчик событий
C.4.1.6. Скрипт и его применение
C.5. Программы для удобной работы с пакетным фильтром
C.5.1.
pfstat
C.5.2.
pftop
C.5.3. ftpsesame
Легенда (условные обозначения)
.
Свежая версия данного
учебника по *BSD
.
Если вы нашли ошибку, выделите её в браузере и нажмите клавиши <Ctrl>+<Enter> (пожалуйста, «зачёрпывайте» окрестности ошибки, чтобы её было легче найти в тексте)
Замечания и предложения можно высылать по адресу
Автор,
Евгений Миньковский
, ведёт
курсы по администрированию
FreeBSD
и
Linux
. в Академии Корпоративных Систем:
http://www.a-sys.ru/
HIVE
: All information for read only. Please respect copyright!