詢問有關FreeBSD IPFilter防火牆設定

freebsd ipfilter

fuchan0310 2012-05-29 02:33:09 ‧ 7717 瀏覽

分享至

事情是這樣的，這幾天我將手邊多的主機灌上FreeBSD9，拿來當我的伺服器，所以裝了FreeBSD後先裝了PF試試，發現一個問題，是服務登入時有點緩慢(像是SSH卡在輸入帳號後等密碼提示這段時間)，之後移除換了IPFilter試試，也是差不多這樣的情形，關閉則有改善，所以推測是防火牆的問題
我想詢問的是主機有兩個網卡代號(共一張網卡)，小弟知道一張是對內的，代號是alc0(實體網卡)，對外是tun0(由PPPoe撥號後產生取得)，架防火牆只是當作封包過濾器，無NAT，那請問在防火牆規則上該設定哪張，這部分小弟比較不懂，不知有哪位大大能夠清楚解釋

看更多先前的討論...收起先前的討論...

fuchan0310 iT邦新手 4 級 ‧ 2012-05-30 02:14:53 檢舉

感謝大大，小弟有解決該問題了，另外還有一個疑問，就是pf紀錄檔，是放在哪呢....

ganymede iT邦好手 1 級 ‧ 2012-06-01 20:05:22 檢舉

pflog 可參考
http://blog.roodo.com/freebsdgiive/archives/529971.html

ganymede iT邦好手 1 級 ‧ 2012-06-01 20:06:25 檢舉

您的新問題, 可以把 /etc/rc.conf 的內容列出來嗎? 因為我不太懂您的新問題.

ganymede iT邦好手 1 級 ‧ 2012-06-03 08:40:43 檢舉

喔...請在 /etc/rc.conf 裡加上
pf_enable="YES"
以後開機時就都會自動載入了.

FreeBSD 所有網路服務若需要在開機時載入, 都是在 /etc/rc.conf 裡設定.

fuchan0310 iT邦新手 4 級 ‧ 2012-06-03 15:08:20 檢舉

可是我確定已經有加入pf_enable="YES"，但是問題依舊
不知道大大有沒有發現這樣的問題!!
用FreeBSD9.0看看!

ganymede iT邦好手 1 級 ‧ 2012-06-04 10:38:24 檢舉

這太奇怪了,因為系統預設值即為 /etc/pf.conf 啊.
我沒碰過這樣子的問題.
如果強迫在 /etc/rc.conf 裡加入
pf_rules="/etc/pf.conf"
讓系統去抓這個設定.

fuchan0310 iT邦新手 4 級 ‧ 2012-06-05 01:49:33 檢舉

pf_rules="/etc/pf.conf"也試著加入也是不行
因為我規則有加上
block return-icmp(net-unr) in quick on $ext_if proto udp all
有檔icmp，指ping失效無回應，所以我才發覺說失效的問題
再來現在有寫sh檔放在/usr/local/etc/rc.d/
也似乎沒甚麼用....，所以就是蠻納悶的!
網路上的資料說，FreeBSD9是不用編譯核心，但是我有試著，回應卻不支援ALTQ
我裝FreeBSD9.0 amd64版本....

ganymede iT邦好手 1 級 ‧ 2012-06-05 08:35:51 檢舉

這和 /etc/pf.conf 的規則無關. 實在太奇怪了....

重開機後, 有試過執行 pfctl -s all 來查看 pf 的所有狀況嗎? 若有顯示您所設定的相關規則, 那就表示可以正常工作.
執行 pfctl -F -f /etc/pf.conf 後有秀出什麼訊息??

ALTQ 是用來做網路流量控管用的, 您如果不需要它, 是可以不用放到 kernel 裡.

fuchan0310 iT邦新手 4 級 ‧ 2012-06-11 01:39:32 檢舉

ganymede提到：
pfctl -f /etc/pf.conf

是顯示
No ALTQ support in kernel
ALTQ related functions disabled

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

ganymede

iT邦好手 1 級 ‧ 2012-05-29 08:19:38

最佳解答

先回答您第一個問題.
是您的 FreeBSD 解析不到您 client 的 IP 才會造成您以為連線過慢的情形. 記得是在 /etc/hosts.allow 裡加上
sshd : host.example.com : allow
or
sshd : 1.2.3.0/255.255.255.0 : allow
or
sshd : 1.2.3.4 : allow
即可.

第二個問題, 通常都是設在外部的那張 interface, 並建議使用 PF 做為您的 firewall.