マイペリフェラルとして実行すると、OpenBSD 6.7
ネットワークを監視するために複数のサービスがインストールされます。
問題はnetstart
起動プロセスの初期に発生し、インターフェイスが一定期間保護されず監視されなくなります。
理想的には、インターフェースが最後に出てくることを願っています。少なくとも他のWebベースのサービスがリリースされるまでです。
これを達成するための最良の方法は何ですか?
答え1
@zé-loffさん、フィードバックをありがとうございます!私がしたことは次のとおりです。テスト結果は成功した。この技術は、すべてのサービスが開始されるまでトラフィックを正常にブロックしますが、すべてのサービスはnetstart
まだ正常に実行されます。これは、pfルールセットをロードする前にARPやDHCPなどの要求が交換されることを意味します。
/etc/pf.active.conf
現在のpfルールセットをこのファイルにコピーします。これには、システムが動作するために必要なすべての許可/ブロックルールを含める必要があります。以下は、基本ルールセットの例です。
# $OpenBSD: pf.conf,v 1.55 2017/12/03 20:40:04 sthen Exp $
#
# See pf.conf(5) and /etc/examples/pf.conf
set skip on lo
block return # block stateless traffic
pass # establish keep-state
# By default, do not permit remote connections to X11
block return in on ! lo0 proto tcp to port 6000:6010
# Port build user does not need network
block return out log proto {tcp udp} user _pbuild
/etc/pf.conf
1行の更新ですべてのトラフィックがブロックされます。このルールセットは環境に合わせてカスタマイズできます。たとえば、pfsync を除くすべてのトラフィックをブロックしたり、内部インターフェイスでトラフィックを引き続き許可したりします。
block drop quick
/etc/rc.local
/etc/rc.local
起動プロセスの最後に開始されるので、次のコンテンツで作成または更新します。
# Load actual pf rules.
if [[ $pf != NO ]]; then
if [[ -f /etc/pf.active.conf ]]; then
pfctl -f /etc/pf.active.conf
fi
fi