Bygge nettverket du trenger med OpenBSDs PF

NUUG, Oslo 11. mars 2008

Peter N. M. Hansteen

peter@bsdly.net


Innholdsfortegnelse
Dette er ikke en HOWTO
PF?
Pakkefilter? Brannmur?
NAT?
PF i dag
BSD kontra Linux - konfigurering
Enkleste oppsett
Første regelsett - enslig maskin
Litt strengere
En gateway
Fallgruber: in, out, on
Hva er lokalnettet ditt?
Enkel gateway, NAT
Enkel gateway med NAT (forts.)
Enkel gateway med NAT (forts.)
Tabeller gjør livet lettere
Tabeller gjør livet lettere: kommandolinje
Ekle gamle FTP
Hvis vi må: ftp-proxy
Holde øye med trafikken - pftop
Logging
Matche loggdata og regelsett
Andre loggverktøy
Et feilsøkingsvennlig nettverk
Skal vi slippe alt gjennom?
Enkel løsning: Det stopper her
Slippe ping gjennom
Hjelpe traceroute
Path MTU discovery
Path MTU discovery (forts)
Hygiene: block-policy, scrub og antispoof
Ikke rutbar trafikk fra andre steder
Filtrere for tjenester
Filtrere for tjenester (cont)
Fysisk skille: DMZ
Regelsett for DMZ
DMZ-regelsett: stramme inn
Lastfordeling: Addresse-'pools'
hoststated
Enkel hoststated-konfig
Enkel hoststated-konfig (forts)
Enkel hoststated-konfig (forts)
hoststatectl
OpenBSD 4.3-nytt: hoststated -> relayd
En web-server og epostserver på innsiden (NAT, ikke DMZ)
Web og epost på innsiden: fra innsiden
Web og epost på innsiden: fra innsiden
Usynlig gateway - bridge
Styre trafikk med ALTQ
ALTQ - prioritere etter trafikktype
ALTQ - prosentvis tildeling
ALTQ - håndtere uønsket trafikk
CARP og pfsync
CARP: redundans
Sette opp CARP
CARP: ifconfig
pfsync
Hva skjer med regelsettet?
Trådløse nettverk: bakgrunn
Trådløse nettverk, helt enkelt
Trådløse nettverk, helt enkelt (forts)
Trådløse nettverk, helt enkelt (forts)
Åpen, men lukket: authpf
Stoppe maset fra robotene
Stoppe maset fra robotene: reglene
Stoppe maset fra robotene (fortsatt)
fjerne gammelt grums
Mobbe spammere
Mobbe spammere (forts)
Grålisting: See RFCen
Mobbe spammere: reglene
Sette opp spamd
Mobbe spammere (forts)
Mobbe spammere (forts)
Mobbe spammere (forts)
En omgang til: spamdb og greytrapping
spamdb og greytrapping
Greytrapping - resultatet
Mobbe spammere: Konklusjon
PF - Haiku
Hvis du har hatt glede av dette: Støtt OpenBSD!
Referanser