Grupo de usuários OpenBSD-Pe

Junho 27, 2007

Criando um Firewall OpenBSD utilizando PF

Arquivado em: firewall, openbsd — openbsdpe @ 2:37 pm

Pré-requisitos

O OpenBSD já deve esta instalado na máquina e as interfaces de ethernet 100%
funcionais. É viável que você já tenha bons conhecimentos em rotas e firewalls em outros sistemas ,como Linux e FreeBSD.

Cenário

Vamos adotar para o cenário Firewall em modo NAT que existem 2 placas de rede: nfe0 e sk0.
Respectivamente internet e rede local.

Firewall em modo NAT

Habilitando a passagem de pacotes

Para poder usar o firewall, é preciso que o servidor tenha capacidade
de funcionar como gateway.
Vamos editar o arquivo /etc/sysctl.conf e modificar a seguinte linha:

  net.inet.ip.forwarding=1

Isso é equivalente no Linux a: “echo 1 > /proc/sys/net/ipv4/ip_forward”

Refrências:

OpenBSD Faq

Arquivos de Configuração

No mínimo 2 configurações distintas são feitas num arquivo do pf: NATs e filtros.
Essas configurações devem aparecer na seguinte ordem:

  • opções
  • normalização
  • filas (controle de banda)
  • NAT
  • Filtros

2.2.1 /etc/pf.conf

Esse arquivo é normalmente utilizado para relacionar as regras do PF.
Se nada mais explícito for informado, esse arquivo será executado na inicialização do sistema.
Para iniciar o pf durante o boot, edite o arquivo /etc/rc.conf e modifique a linha referente ao pf para:

   pf=YES  # Packet filter / NAT

Ativando o firewall

Como dito anteriormente, é preciso ativar o pf depois de configurado.
Isso implica em colocar as regras no ar e ativar a funcionalidade.
Se você já alterou seu rc.conf e reiniciou a máquina, não é necessário ativar a funcionalidade.

Rodando as regras

  # pfctl -R
  # pfctl -N

A primeira linha faz com que as regras do firewall e as políticas
sejam lidas e a segunda ativa o nat.
Caso esteja usando outro arquivo com as regras que não o pf.conf, basta inserir a opção “-f” e o nome do arquivo.

Ativando o PF

  # pfctl -e

Agora suas regras estão no ar!

Sobre o autor

Richardson Edson de Lima, trabalha com Linux desde 2000, passando a ser usuário da distribuição Slackware. Não contente passou a trabalhar também com a família BSD e atualmente trabalha como System Administrator/ Network Security de um Centro de pesquisas avançadas de redes de computadores e realidade virtual.

Agradecimentos

Aos meus grandes amigos Guthemberg Silvestre e Rodrigo Germano,por estarem sempre me monstrando o quanto profissionais eles são.

Sem comentários ainda »

Nenhum comentário ainda.

Feed RSS dos comentários deste post URI do TrackBack

Deixe um comentário

Blog no WordPress.com.