![[Guia] Firewall + Pf (Proteção para seu Servidor) Sem_ta11](https://i.servimg.com/u/f44/17/64/24/49/sem_ta11.png)
Início
![[Guia] Firewall + Pf (Proteção para seu Servidor) Empty](https://2img.net/i/empty.gif)
Bem como alguns saberão alguma vez que você postar um firewall chamado ipfw, mas o processo vai ser complicado para muitas pessoas, e recebeu muitos mp, além de alguns links expiraram arquivos e não tenho nenhum backup, por essa razão que eu venha para este post proteção para que seus servidores são a melhor proteção possível.
A proteção vou mostrar neste post consiste no firewall FreeBSD normal, configurado no servidor mais eficaz metin2 em conjunto com a PF (Packet Filter) que através de vários tipos de instruções é um grande aliado, e talvez a melhor proteção em FreeBSD.
A primeira coisa a fazer é editar o kernel digitando o seguinte na máquina virtual:
Agora, quando estamos no arquivo do kernel, vá até o fim de tudo abaixo, e escrever o seguinte:
A primeira linha é apenas para identificar essa parte é a PF, e os espaços entre dispositivo e outros estão pressionando a aba duas vezes.
Agora vamos compilar o kernel, o que fazemos da seguinte forma:
Agora, para editar o arquivo rc.conf escrever isso na máquina:
E dentro deste arquivo ir para o final, tanto para baixo e escrever esta:
Depois de escrever e digitar este Esc pressionada duas vezes para salvar suas alterações.
Agora vamos passar para a criação de firewall.rules e arquivos pf.conf na pasta etc, aqui vou apresentar falha com regras que me agradou mais, apenas para transferir arquivos via FTP para lso seu servidor.
firewall.rules: Este arquivo leva em conta a protecção de todas as portas de jogos, além de todas as portas possíveis extras usados, como 80 se tiverem a web no mesmo servidor, 22 e 21 para ftp e ssh.
Se alguém tiver uma sugestão de fazê-la chegar e leva-lo em conta.
pf.conf: Aqui eu tentei alcançar a configuração com uma maior vigilância sobre todas as portas possíveis em uso no servidor, não perfeito, mas acho que fiz o meu melhor XD recolher muita informação e editá-lo de acordo com o que eu acreditava mais conveniente, se você deseja melhorar a si mesmo e definindo que você já entendeu isso, leia-lhes esta:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Aqui o arquivo:
em seguida, colocar esse arquivo na pasta etc, se este comando na máquina virtual para carregar:
Finalmente deve criar dois arquivos, primeiro log que servirá para o MP, apenas crie um arquivo chamado pflog (assim sem extensão) in / var / log / e crie um arquivo chamado lista negra em / var / db /.
Feito isso reboot e deverão estar prontos.
E como eu disse qualquer sugestão nas regras, são bem aceitos e não tenho a última palavra sobre isso, qualquer melhoria é bein recebido.
A proteção vou mostrar neste post consiste no firewall FreeBSD normal, configurado no servidor mais eficaz metin2 em conjunto com a PF (Packet Filter) que através de vários tipos de instruções é um grande aliado, e talvez a melhor proteção em FreeBSD.
A primeira coisa a fazer é editar o kernel digitando o seguinte na máquina virtual:
- Código:
ee /usr/src/sys/i386/conf/GENERIC
Agora, quando estamos no arquivo do kernel, vá até o fim de tudo abaixo, e escrever o seguinte:
- Código:
#PF Firewall
device pf
device pflog
device pfsync
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=1000
options IPDIVERT
options IPFIREWALL_DEFAULT_TO_ACCEPT
options ALTQ
options ALTQ_CBQ
options ALTQ_RED
options ALTQ_RIO
options ALTQ_HFSC
options ALTQ_PRIQ
options ALTQ_NOPCC
A primeira linha é apenas para identificar essa parte é a PF, e os espaços entre dispositivo e outros estão pressionando a aba duas vezes.
Agora vamos compilar o kernel, o que fazemos da seguinte forma:
- Código:
cd /usr/src
make buildkernel KERNCONF=GENERIC
cuando les permita escribir denuevo ponene esto
cd /usr/src
make installkernel KERNCONF=GENERIC
Agora, para editar o arquivo rc.conf escrever isso na máquina:
- Código:
ee /etc/rc.conf
E dentro deste arquivo ir para o final, tanto para baixo e escrever esta:
- Código:
pf_enable="YES"
pflogd_enable="YES"
pflog_logfile="/var/log/pflog"
pf_rules="/etc/pf.conf"
gateway_enable="YES"
firewall_enable="YES"
firewall_script="/etc/firewall.rules"
Depois de escrever e digitar este Esc pressionada duas vezes para salvar suas alterações.
Agora vamos passar para a criação de firewall.rules e arquivos pf.conf na pasta etc, aqui vou apresentar falha com regras que me agradou mais, apenas para transferir arquivos via FTP para lso seu servidor.
firewall.rules: Este arquivo leva em conta a protecção de todas as portas de jogos, além de todas as portas possíveis extras usados, como 80 se tiverem a web no mesmo servidor, 22 e 21 para ftp e ssh.
- Código:
IPF="ipfw -q add"
ipfw -q -f flush
##Custom-Rules
#P2P Ports
$IPF 4 allow all from me to any 14000
$IPF 5 allow all from 127.0.0.0/8 to any 14000
$IPF 6 deny all from any to me 14000
$IPF 7 allow all from me to any 14001
$IPF 8 allow all from 127.0.0.0/8 to any 14001
$IPF 9 deny all from any to me 14001
$IPF 10 allow all from me to any 14099
$IPF 11 allow all from 127.0.0.0/8 to any 14099
$IPF 12 deny all from any to me 14099
$IPF 13 allow all from me to any 12000
$IPF 14 allow all from 127.0.0.0/8 to any 12000
$IPF 15 deny all from any to me 12000
#Game Ports
$IPF 16 allow all form any to me 11002
$IPF 17 allow all from any to me 13000
$IPF 18 allow all from any to me 13001
$IPF 19 allow all from any to me 13099
#Dienste
$IPF 20 allow all from any to me 3306
$IPF 21 allow all from any to me 80
$IPF 22 allow all from any to me 21
##Standart Regeln
$IPF 10000 allow all from any to any via lo0
$IPF 20000 deny all from any to 127.0.0.0/8
$IPF 30000 deny all from 127.0.0.0/8 to any
$IPF 40000 allow all from any to any
Se alguém tiver uma sugestão de fazê-la chegar e leva-lo em conta.
pf.conf: Aqui eu tentei alcançar a configuração com uma maior vigilância sobre todas as portas possíveis em uso no servidor, não perfeito, mas acho que fiz o meu melhor XD recolher muita informação e editá-lo de acordo com o que eu acreditava mais conveniente, se você deseja melhorar a si mesmo e definindo que você já entendeu isso, leia-lhes esta:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Aqui o arquivo:
- Código:
### INTERFACES ###
if = "{ em0 }"
#Intra
table <intranet> { 127.0.0.1 }
pass in quick from <intranet> to any keep state
#Network
table <network> persist
block quick from <network>
pass in on $if proto tcp from any to any \
keep state (max-src-conn 100, max-src-conn-rate 15/1, \
overload <network> flush global)
em seguida, colocar esse arquivo na pasta etc, se este comando na máquina virtual para carregar:
- Código:
pfctl -f /etc/pf.conf
Finalmente deve criar dois arquivos, primeiro log que servirá para o MP, apenas crie um arquivo chamado pflog (assim sem extensão) in / var / log / e crie um arquivo chamado lista negra em / var / db /.
Feito isso reboot e deverão estar prontos.
E como eu disse qualquer sugestão nas regras, são bem aceitos e não tenho a última palavra sobre isso, qualquer melhoria é bein recebido.
