Хотелось бы написать, как я настраивал пакетный фильтр во FreeBSD на офисном интернет шлюзе.
Задача:
- Дать доступ в Интернет сотрудникам организации;
- Разрешить соединение с другими офисами;
- Разрешить отдельное VPN соединение для сотрудников, которым необходим внешний IP адрес из другой подсети;
- Иметь возможность, что бы неизвестный IP адрес устройства, перенаправлялся на внутренний веб сервер;
- Блокировать определённые адреса, определённым пользователям.
Первым делом необходимо подготовить ядро системы, чтобы не подгружать модули ядра.
Делается это элементарно и написано об этом много статей, но на всякий случай напишу, нужно прописать в конфигурационном файле ядра следующие строки:
device pf
device pflog
device pfsync
options ALTQ
options ALTQ_CBQ
options ALTQ_RED
options ALTQ_RIO
options ALTQ_HFSC
options ALTQ_PRIQ
options ALTQ_NOPCC
После этого собираем и устанавливаем.
Дальше нужно отредактировать файл /etc/rc.conf
В его пишем:
#PF
pf_enable="YES"
pf_rules="/etc/pf.conf"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""
И собственно сам конфиг пакетного фильтра:
lan_net = "192.168.1.0/24" #Наша сеть
lan_1 = "192.168.10.0/24" #Сеть 1 офиса
lan_2 = "192.168.4.0/24" #Сеть 2 офиса
lan_3 = "10.0.0.0/8" #Сеть 3 офиса
ext_3 = "ng0" #Интерфейс VPN 3 офиса
ext_3gw = "10.1.1.59" #Шлюз 3 офиса
int_if = "hn0" #Интерфейс внутренней сети
ext_if = "hn1" #Интерфейс внешней сети Интернет
ext_2 = "tun0" #Интерфейс 2 офиса
ext_2gw = "192.168.224.1" #Шлюз 2 офиса
ext_1 = "tun1" #Интерфейс 1 офиса
ext_1gw = "10.10.200.1" #Шлюз 1 офиса
ext_usa = "tun2" #Интерфейс для замены IP адреса
ext_gw = "xxx.xxx.xxx.xxx" #Внешний IP адрес
ext_gwusa = "192.168.225.1" #Шлюз для замены IP адреса
table <device_USA> persist file "/etc/pf/device.list" #Таблица замены IP адреса
table <users> persist file "/etc/pf/users.list" #Таблица IP пользователей #внутренней сети
table <block_user> persist file "/etc/pf/block.list" #Таблица заблокированных IP
table <office3> persist file "/etc/pf/office3.list" #Таблица адресов которым есть #доступ в 3 офис
table <block_ip> persist file "/etc/pf/block_ip.list" #Заблокированные адреса
SERVER = "192.168.1.200" #IP адрес сервера внутри сети
FILESERVER = "192.168.1.202" #IP адрес внутреннего файл #сервера
allowed_icmp_types="{ echoreq, unreach }"
set block-policy drop #Отбрасываем пакеты
scrub in all #Нормализуем трафик
#Включаем трансляцию адресов (NAT)
nat on $ext_if from <users> to any -> ($ext_if)
nat on $ext_usa from <device_USA> to any -> ($ext_usa)
nat on $ext_3 from <office3> to any -> ($ext_3)
#Проброс портов на сервера (SSH, RDP, WWW, MySQL)
rdr on $ext_if proto tcp from any to $ext_if port rdp -> $SERVER port rdp
rdr on $ext_if proto tcp from any to $ext_if port 9022 -> $FILESERVER port 22
rdr on $ext_if proto tcp from any to $ext_if port 8080 -> $FILESERVER port 80
rdr on $ext_if proto tcp from any to $ext_if port 3306 -> $FILESERVER port 3306
#Перенаправляю на внутренний Веб сервер неизвестные мне IP адреса из внутренней сети
rdr on $int_if proto tcp from {any !<users>} to any port http -> 192.168.1.201 port 80
#Как то раз 1 сотрудник попросил меня заблокировать ему доступ к паре сайтов, что было #и сделано
rdr on $int_if proto tcp from <block_user> to <block_ip> port http -> 192.168.1.201 port 80
#Блокировка по умолчанию
block in from any to any
block out from any to any
#Включаю антиспуфинг на внутренних интерфейсах
antispoof for { lo0, $int_if }
#Разрешаю ping и т.д.
pass log inet proto icmp all icmp-type $allowed_icmp_types
#Пропускаем все исходящие пакеты на внутреннем интерфейсе
pass out on $int_if from any to $lan_net
pass out on $int_if from any to $lan_1
pass out on $int_if from any to $lan_2
pass out on $int_if from any to $lan_3
#Пропускаю (quick) пакеты предназначенные самому интернет шлюзу
pass in quick on $int_if from $lan_net to $int_if
pass in quick on $int_if from $lan_1 to $int_if
pass in quick on $int_if from $lan_2 to $int_if
pass in quick on $int_if from $lan_3 to $int_if
#Маршрутизирую исходящий трафик идущий из внутренней сети
pass in on $int_if route-to ($ext_if $ext_gw) proto tcp from <users> to any flags S/SA modulate state
pass in on $int_if route-to ($ext_if $ext_gw) proto { udp, icmp } from <users> to any keep state
pass in on $int_if route-to ($ext_usa $ext_gwusa) from <device_USA> to any
pass in on $int_if route-to ($ext_1 $ext_1gw) from any to $lan_1
pass in on $int_if route-to ($ext_2 $ext_2gw) from any to $lan_2
pass in on $int_if route-to ($ext_3 $ext_3gw) from <office3> to $lan_3
#Основные "выпускающие" правила на внешнем интерфейсе
pass out on $ext_usa proto tcp from any to any flags S/SA modulate state
pass out on $ext_usa proto { udp, icmp} from any to any keep state
pass out on $ext_if proto tcp from any to any flags S/SA modulate state
pass out on $ext_if proto { udp, icmp } from any to any keep state
pass out on $ext_1 proto tcp from any to any flags S/SA modulate state
pass out on $ext_1 proto { udp, icmp } from any to any keep state
pass out on $ext_2 proto tcp from any to any flags S/SA modulate state
pass out on $ext_2 proto { udp, icmp } from any to any keep state
pass out on $ext_3 proto tcp from any to any flags S/SA modulate state
pass out on $ext_3 proto { udp, icmp } from any to any keep state
#Маршрутизация пакетов
pass out on $ext_if route-to ($ext_if $ext_gw) from $ext_if to any
#pass out on $ext_1 route-to ($ext_1 $ext_1gw) from $ext_1 to any
pass out on $ext_2 route-to ($ext_2 $ext_2gw) from $ext_2 to any
#Открываю порты SSH, RDP, HTTP
pass in on $ext_if proto tcp from any to ($ext_if:0) port http
pass in on $ext_if proto tcp from any to ($ext_if:0) port ssh
pass in on $ext_if proto tcp from any to $SERVER port rdp
pass out on $ext_if proto tcp from any to $SERVER port rdp
pass in on $ext_if proto tcp from any to $ext_if port 3306
pass in on $ext_if proto tcp from any to $FILESERVER port ssh
pass out on $ext_if proto tcp from any to $FILESERVER port 9022
pass in on $ext_if proto tcp from any to $FILESERVER port 80
pass out on $int_if proto tcp from any to $FILESERVER port 8080
pass in on $ext_if proto tcp from any to $FILESERVER port 3306
pass out on $int_if proto tcp from any to $FILESERVER port 3306
#Разрешаю подключённым офисам ходить по нашей сети
pass in on $ext_1 proto tcp from any to any
pass in on $ext_1 proto { udp, icmp } from any to any
pass in on $ext_2 proto tcp from any to any
pass in on $ext_2 proto { udp, icmp } from any to any
pass in on $ext_3 proto tcp from any to any
pass in on $ext_3 proto { udp, icmp } from any to any
После этого выполняем команду
pfctl -f /etc/pf.conf
И всё! Интернет шлюз с PF на FreeBSD готов к работе!