PF防火墙-FreeBSD

PF 是一个功能齐全的完整防火墙，具有对 ALTQ（备用队列）的可选支持，后者提供服务质量（QoS）

1. 定义一个简单规则文件

cat /etc/pf_rules.conf

#定义接口变量
eth0="vmx0"

block in all
pass in inet proto tcp to $eth0 port 22
pass in inet proto tcp to $eth0 port 53
pass out all keep state

2. 配置并启用

内核配置(开启流量转发)

sysctl -w net.inet.ip.forwarding=1
sysctl -w net.inet6.ip6.forwarding=1
#check
sysctl -a|grep forward

PF防火墙默认是关闭的，将以下内容添加到/etc/rc.conf文件

pf_enable="YES"
pf_flags=""
pf_rules="/etc/pf_rules.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
gateway_enable="YES"
ipv6_gateway_enable="YES"

3. 启动服务

service pf start
service pf status
service pflog start

#测试规则是否正常
pfctl -nf /etc/pf_rules.conf

#重新加载规则
pfctl -f /etc/pf_rules.conf

#查看当前规则
pfctl -s rules

#查看PF日志(二进制格式)
tcpdump -n -e -ttt -r /var/log/pflog
#查看PF实时日志
tcpdump -n -e -ttt -i pflog0

附录：完整rules

#定义宏
ext_if="vmx0"
ext_if_ip="172.16.1.100"
SSH_Port="22"
Web_Port="{http,https}"
Lan_NetWork="172.16.1.0/24"


#跳过回环端口 - 跳过端口上的所有PF处理
set skip on lo
#设置 PF 应该统计的端口信息，如发送/接收字节数，通过/禁止的包的数目
set loginterface $ext_if
# 基于 IP 分片的错误处理来防御攻击
scrub in all
#禁止欺骗包
antispoof quick for $ext_if

#-------------------- 默认rules -------------------------#
#禁止所有in流量
block in all
#允许所有out流量(同时保留状态信息，允许这些流量的返方向回传)
pass out all keep state


#------------------- 自定义rules ---------------------#
#允许Ping
pass inet proto icmp from any to $ext_if_ip keep state

#NAT
vir_network="192.168.100.0/24"
pass from $vir_network to any keep state

#允许SSH
pass in inet proto tcp from $Lan_NetWork to $ext_if port $SSH_Port keep state

#允许Web服务-Nginx等80和443端口
pass in inet proto tcp from any to $ext_if port $Web_Port keep state

#允许访问本机UDP 53端口
pass in inet proto udp from $Lan_NetWork to $ext_if port 53 keep state

需注意条目先后顺序

参考：《FreeBSD简中手册》

• 本文作者： GaryWu
• 本文链接： https://garywu520.github.io/2022/07/19/PF防火墙-FreeBSD/
• 版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！