(o "iptables" do FreeBSD)
Packet Filter é o "iptables" do FreeBSD.
Habilitando o Packet Filter na inicialização
# vi /etc/rc.conf
pf="YES" (habilita o "módulo" do Packet Filter na inicialização)
pflog_enable="YES" (habilita o log do Packet Filter na inicialização)
pf_rules="/etc/pf.conf" (não necessário, pois essa opção com esse valor já é o padrão. Mas caso se queira mudar o caminho do arquivo que contém das regras do Packet Filter é só usar essa opção)
Habilitando forward/passagem de pacotes que passam através do firewall
# vi /etc/rc.conf
gateway_enable="YES"
Subindo o módulo do Kernel para o Packet Filter
# kldload pf (carrega o módulo do Packet Filter)
# kldstat (mostra todos módulos carregados)
Verificar regras que estão na memória
# pfctl -s nat (pfctl -sn)
# pfctl -s queue (pfctl -sq)
# pfctl -s rules (pfctl -sr)
# pfctl -s Anchors (pfctl -sA)
# pfctl -s state (pfctl -ss)
# pfctl -s Sources (pfctl -sS)
# pfctl -s info (pfctl -si)
# pfctl -s labels (pfctl -sl)
# pfctl -s timeouts (pfctl -st)
# pfctl -s memory (pfctl -sm)
# pfctl -s Tables (pfctl -sT)
# pfctl -s osfp (pfctl -so)
# pfctl -s Interfaces (pfctl -sI)
# pfctl -s all (pfctl -sa)
# pfctl -v -s all (pfctl -sa)
Criando regras "pf.conf"
# vi /etc/pf.conf (arquivo que contém as regras do Packet Filter)
set limit states 50000 (limite para a tabela de estatos das conexões)
set limit src-nodes 50000
set limit frags 50000
set limit tables 50000
set limit table-entries 500000
set optimization aggressive
set timeout tcp.established 64000
set timeout tcp.finwait 60
set loginterface sis2 (monitora o tráfego na interface de rede sis2)
pass in quick on sis0 proto tcp from 172.16.14.218 to 172.16.1.124 port {25,465} (aceita na interface "bge0" pacotes "tcp" do IP de origem 172.16.14.218 para o IP local 172.16.1.124 nas portas de destino "25" e "465")
pass in log quick on sis0 proto tcp from 172.16.14.218 to 172.16.1.124 port {25,465} (idem, só que gera logs)
pass in quick on sis0 proto tcp from 172.16.12.0/24 to 172.16.1.124 port {25,465} (idem, só que em vez de IP de origem, é rede de origem "172.16.12.0/24")
block in quick on sis0 proto tcp from 172.16.14.218 to 172.16.1.124 port {25,465} (bloqueia)
rdr on sis2 proto tcp from 111.48.1.11 to 200.18.42.8 port 22 -> 172.16.1.5 port 22 (redirecionamento para o IP 172.16.1.5 cujo IP de origem for 111.48.1.11 com IP de destino 200.18.42.8 com porta de destino "tcp" "22")
pass in quick on sis2 proto tcp from 111.48.1.11 to 172.16.1.5 port 22 (aceita pacote que chegarem na bge2 com o IP de origem "111.48.1.11" para o IP de destino "172.16.1.5" na porta de destino "tcp" "22")
pass in quick on sis0 proto tcp from 172.16.1.5 port 22 to 111.48.1.11 (regra da volta do pacote)
pass in quick on sis2 proto icmp from 12.18.0.0/23 to 172.16.1.15 (ICMP)
pass in quick on sis0 proto icmp from 172.16.1.15 to 12.18.0.0/23 (regra da volta do pacote)
Referências Bibliográgicas