Facebook Youtube


Você não está conectado. Conecte-se ou registre-se

[Guia] Firewall + Pf (Proteção para seu Servidor)

Ir em baixo  Mensagem [Página 1 de 1]

Skull

avatar
Administrador
Administrador
Bem como alguns saberão alguma vez que você postar um firewall chamado ipfw, mas o processo vai ser complicado para muitas pessoas, e recebeu muitos mp, além de alguns links expiraram arquivos e não tenho nenhum backup, por essa razão que eu venha para este post proteção para que seus servidores são a melhor proteção possível.

A proteção vou mostrar neste post consiste no firewall FreeBSD normal, configurado no servidor mais eficaz metin2 em conjunto com a PF (Packet Filter) que através de vários tipos de instruções é um grande aliado, e talvez a melhor proteção em FreeBSD.

A primeira coisa a fazer é editar o kernel digitando o seguinte na máquina virtual:

Código:

ee /usr/src/sys/i386/conf/GENERIC

Agora, quando estamos no arquivo do kernel, vá até o fim de tudo abaixo, e escrever o seguinte:

Código:

#PF Firewall
device          pf                     
device          pflog                 
device          pfsync
options  IPFIREWALL
options  IPFIREWALL_VERBOSE
options  IPFIREWALL_VERBOSE_LIMIT=1000
options  IPDIVERT
options IPFIREWALL_DEFAULT_TO_ACCEPT
options  ALTQ
options  ALTQ_CBQ
options  ALTQ_RED
options  ALTQ_RIO
options  ALTQ_HFSC
options  ALTQ_PRIQ
options  ALTQ_NOPCC   

A primeira linha é apenas para identificar essa parte é a PF, e os espaços entre dispositivo e outros estão pressionando a aba duas vezes.

Agora vamos compilar o kernel, o que fazemos da seguinte forma:

Código:

cd /usr/src
make buildkernel KERNCONF=GENERIC
cuando les permita escribir denuevo ponene esto
cd /usr/src
make installkernel KERNCONF=GENERIC

Agora, para editar o arquivo rc.conf escrever isso na máquina:

Código:

ee /etc/rc.conf

E dentro deste arquivo ir para o final, tanto para baixo e escrever esta:

Código:

pf_enable="YES" 
pflogd_enable="YES"
pflog_logfile="/var/log/pflog"
pf_rules="/etc/pf.conf"
gateway_enable="YES"
firewall_enable="YES"
firewall_script="/etc/firewall.rules"

Depois de escrever e digitar este Esc pressionada duas vezes para salvar suas alterações.

Agora vamos passar para a criação de firewall.rules e arquivos pf.conf na pasta etc, aqui vou apresentar falha com regras que me agradou mais, apenas para transferir arquivos via FTP para lso seu servidor.

firewall.rules: Este arquivo leva em conta a protecção de todas as portas de jogos, além de todas as portas possíveis extras usados​​, como 80 se tiverem a web no mesmo servidor, 22 e 21 para ftp e ssh.

Código:


IPF="ipfw -q add"
ipfw -q -f flush

##Custom-Rules
#P2P Ports
$IPF 4 allow all from me to any 14000
$IPF 5 allow all from 127.0.0.0/8 to any 14000
$IPF 6 deny all from any to me 14000
$IPF 7 allow all from me to any 14001
$IPF 8 allow all from 127.0.0.0/8 to any 14001
$IPF 9 deny all from any to me 14001
$IPF 10 allow all from me to any 14099
$IPF 11 allow all from 127.0.0.0/8 to any 14099
$IPF 12 deny all from any to me 14099
$IPF 13 allow all from me to any 12000
$IPF 14 allow all from 127.0.0.0/8 to any 12000
$IPF 15 deny all from any to me 12000
#Game Ports
$IPF 16 allow all form any to me 11002
$IPF 17 allow all from any to me 13000
$IPF 18 allow all from any to me 13001
$IPF 19 allow all from any to me 13099
#Dienste
$IPF 20 allow all from any to me 3306
$IPF 21 allow all from any to me 80
$IPF 22 allow all from any to me 21

##Standart Regeln
$IPF 10000 allow all from any to any via lo0
$IPF 20000 deny all from any to 127.0.0.0/8
$IPF 30000 deny all from 127.0.0.0/8 to any
$IPF 40000 allow all from any to any 


Se alguém tiver uma sugestão de fazê-la chegar e leva-lo em conta.

pf.conf: Aqui eu tentei alcançar a configuração com uma maior vigilância sobre todas as portas possíveis em uso no servidor, não perfeito, mas acho que fiz o meu melhor XD recolher muita informação e editá-lo de acordo com o que eu acreditava mais conveniente, se você deseja melhorar a si mesmo e definindo que você já entendeu isso, leia-lhes esta:
[Você precisa estar registrado e conectado para ver este link.]

Aqui o arquivo:

Código:


### INTERFACES ###
if = "{ em0 }"

#Intra
table <intranet> { 127.0.0.1 }
pass in quick from <intranet> to any keep state

#Network
table <network> persist
block quick from <network>
pass in on $if proto tcp from any to any \
keep state (max-src-conn 100, max-src-conn-rate 15/1, \
overload <network> flush global)


em seguida, colocar esse arquivo na pasta etc, se este comando na máquina virtual para carregar:

Código:

pfctl -f /etc/pf.conf   

Finalmente deve criar dois arquivos, primeiro log que servirá para o MP, apenas crie um arquivo chamado pflog (assim sem extensão) in / var / log / e crie um arquivo chamado lista negra em / var / db /.

Feito isso reboot e deverão estar prontos.


E como eu disse qualquer sugestão nas regras, são bem aceitos e não tenho a última palavra sobre isso, qualquer melhoria é bein recebido.

Ver perfil do usuário http://roxgames.ativoforum.com

Voltar ao Topo  Mensagem [Página 1 de 1]

Permissão deste fórum:
Você não pode responder aos tópicos neste fórum