PacketFilter (PF)

本节演示如何配置运行 PF 的 FreeBSD 系统，使其作为至少一台其他计算机的网关

网关需要至少两个网络接口，每个接口连接到不同的网络

在此例中，em0 连接到互联网，em1 连接到局域网

首先，启用网关，使系统能将一个接口上接收到的网络流量转发至另一个接口。此 sysctl 设置将转发 IPv4 数据包：

$ sysctl net.inet.ip.forwarding=1

要转发 IPv6 流量，使用：

$ sysctl net.inet6.ip6.forwarding=1

要在系统引导时启用这些设置，使用 sysrc(8) 将它们添加到 /etc/rc.conf 中：

$ sysrc gateway_enable=yes
$ sysrc ipv6_gateway_enable=yes

使用 ifconfig 验证两个接口是否已启动并正常运行

接下来，创建 PF 规则以允许网关转发流量。以下规则允许来自内部网络主机的有状态流量通过网关，但 to 关键字并不保证数据包能从源端完整到达目的端：

pass in on em1 from em1:network to em0:network port $ports keep state

该规则仅允许流量通过内部接口进入网关。若需要使数据包继续传递，还需要一条匹配的规则：

pass out on em0 from em1:network to em0:network port $ports keep state

虽然这两条规则有效，但此类特定规则通常并非必需

对繁忙的网络管理员而言，可读性高的规则集更安全

本节其余部分演示了如何使规则尽可能简单以便于阅读

例如，这两条规则可由一条规则替代：

pass from em1:network to any port $ports keep state

interface:network 表示法可替换为宏，以使规则集更具可读性

例如，可定义一个 $localnet 宏，表示直接连接到内部接口的网络 $em1:network

或者，$localnet 的定义可更改为 IP 地址/子网掩码 表示法以表示网络
例如 192.168.100.1/24 表示一个私有地址子网

若需要，$localnet 甚至可定义为一个网络列表

不论具体需求如何，合理的 $localnet 定义可在典型的通过规则中使用，如下所示：

pass from $localnet to any port $ports keep state

以下示例规则集允许所有由内部网络机器发起的流量。它首先定义了两个宏表示网关的外部和内部 3COM 接口

ext_if = "em0"    # 外部接口（PPPoE 拨号连接应使用 tun0）
int_if = "em1"    # 内部接口
localnet = $int_if:network
# 外部接口的 IP 地址可能是动态分配的，因此使用 ($ext_if) 使其随接口变化
block all
# 对来自内网的出站流量执行 NAT
match out on $ext_if from $localnet to any nat-to ($ext_if)
# 允许回环接口和内网主机发起的连接
pass from { lo0, $localnet } to any keep state

此规则集使用 nat-to 选项将内部网络中不可路由的地址转换为分配给外部接口的 IP 地址，即 网络地址转换 NAT

• nat-to 选项中括号内的部分 ($ext_if) 涵盖了外部接口的 IP 地址动态分配的情况，确保即使外部 IP 地址发生变化，网络流量也能正常运行。

需要注意的是，此规则集可能允许比实际所需更多的流量通过。更合理的做法是创建此宏：

# 客户端允许出站访问的 TCP 服务列表
client_out = "{ ssh, domain, http, \
    https, 8000, 8080 }"

用于主通过规则：

# 允许内网客户端访问常见的互联网 TCP 服务
pass inet proto tcp from $localnet to any port $client_out \
     flags S/SA keep state

可能还需要一些其他的通过规则。此规则启用外部接口上的 SSH：

# 允许外部接口接收 SSH 连接
pass in inet proto tcp to $ext_if port ssh

此宏定义和规则允许内部客户端使用 DNS 和 NTP：

# 允许内部客户端使用的 UDP 服务（DNS、NTP）
udp_services = "{ domain, ntp }"
# quick 表示命中则立即通过，不再匹配后续规则
pass quick inet proto { tcp, udp } to any port $udp_services keep state

注意此规则中的 quick 关键字。由于规则集中包含多个规则，理解规则之间的关系非常重要

• 规则按其在规则集中出现的顺序自上而下评估
• 对于每个被 PF 评估的数据包或连接，最后匹配的规则 为生效的规则

• 然而，当数据包与包含 quick 关键字的规则匹配时，规则处理会停止

  数据包按该规则处理。当需要对一般规则做出例外时，此特性非常有用
  

FTP 协议已逐渐被 SFTP 和 SCP 等安全替代方案取代

现代网络中 FTP 的使用场景已大幅减少，以下 FTP 代理配置仅适用于仍需支持 FTP 的遗留环境

本节内容仍保留，因为 ftp-proxy 是演示 PF 锚点（anchor）机制的良好示例

由于 FTP 协议的特性，配置有效的 FTP 规则可能较为复杂。FTP 比防火墙早数十年出现，且在设计上存在不安全的问题。使用 FTP 的最常见问题包括：

• 密码以明文形式传输
• 协议要求至少使用两个 TCP 连接（控制连接和数据连接），并且它们使用不同的端口
• 会话建立后，数据通过随机选择的端口进行传输

即使不考虑客户端或服务器软件中可能存在的安全漏洞，这些问题本身已构成安全挑战

更安全的文件传输替代方案包括 sftp(1) 或 scp(1)，它们均具备认证功能并通过加密连接传输数据

在需要使用 FTP 的情况下，PF 可将 FTP 流量重定向至小型代理程序 ftp-proxy(8) ，该程序包含于 FreeBSD 基本系统中。代理的作用是 动态 插入和删除规则集中的规则，通过一组 锚点 以正确处理 FTP 流量。

要启用 FTP 代理，需要在 /etc/rc.conf 中添加以下行：

ftp_proxy_enable="YES"

同时，在 /etc/pf.conf 中定义代理监听地址的宏（ftp-proxy 默认监听 127.0.0.1）：

proxy = "127.0.0.1"

然后通过运行以下命令启动代理：

$ service ftp-proxy start

对于基本配置，需要在 /etc/pf.conf 中添加三个元素。首先是代理用于插入为 FTP 会话生成的规则的锚点：

# FTP 代理规则的锚点：代理会在此处动态插入会话规则
anchor "ftp-proxy/*"

其次，需要一条将 FTP 流量重定向至代理的通过规则：

# 把来自内网的 FTP 控制流量重定向到本地 ftp-proxy（端口 8021）
pass in on $int_if proto tcp from any to any port 21 rdr-to 127.0.0.1 port 8021

最后，允许重定向的流量通过：

# 允许 ftp-proxy 代理解析后的出站 FTP 流量通过
pass out proto tcp from $proxy to any port ftp

其中，$proxy 展开为代理守护进程绑定的地址

保存 /etc/pf.conf ，加载新规则，并从客户端验证 FTP 连接是否正常：

$ pfctl -f /etc/pf.conf

此示例涉及基本配置，其中本地网络中的客户端需要连接远程 FTP 服务器

此基本配置应适用于大多数 FTP 客户端和服务器的组合。如 ftp-proxy(8) 所示，代理的行为可通过向 ftp_proxy_flags= 行添加选项以多种方式调整

一些客户端或服务器可能存在特定差异，需要在配置中做相应调整，或需要以特定方式集成代理，例如将 FTP 流量分配至特定队列

若需要保护 FTP 服务器并配置 PF 与 ftp-proxy(8) 协同工作，可在独立端口上以反向模式运行 ftp-proxy，使用 -R 选项并配合专属的重定向通过规则

许多用于调试或故障排除 TCP/IP 网络的工具依赖于互联网控制消息协议（ICMP），该协议的设计初衷即用于调试

ICMP 协议在主机和网关之间发送和接收 控制消息 Control Message ，主要是向发送方提供有关到达目标主机途中出现的异常或困难的反馈

• 路由器使用 ICMP 协商数据包大小和其他传输参数，此过程通常称为 路径 MTU 发现 Path MTU Discovery

从防火墙的角度来看，一些 ICMP 控制消息易受到已知攻击向量的威胁。此外，允许所有诊断流量不加限制地通过虽能简化调试，但也使他人更易获取网络信息。因此，以下规则可能并非最优：

pass inet proto icmp from any to any

一种解决方案是允许来自本地网络的所有 ICMP 流量通过，同时阻止来自网络外部的探测请求：

# 允许内网发起的所有 ICMP 流量
pass inet proto icmp from $localnet to any keep state
# 允许外部到外部接口的 ICMP 流量（外部 ping 本机）
pass inet proto icmp from any to $ext_if keep state

PF 还提供了其他选项，展示了其灵活性。例如，可指定用于 ping(8) 和 traceroute(8) 的消息类型，而非允许所有 ICMP 消息。首先，定义一个宏表示此消息类型：

# 允许的 ICMP 消息类型：回显请求（ping）
icmp_types = "echoreq"

然后，使用该宏的规则：

# 仅允许指定类型的 ICMP 包通过
pass inet proto icmp all icmp-type $icmp_types keep state

若需要其他类型的 ICMP 包，可将 icmp_types 扩展为包含这些包类型的列表

可参阅 icmp(4) 和 icmp6(4) 手册页以了解 PF 支持的 ICMP 消息类型

也可参考 IANA 的 ICMP 参数文档 了解每种消息类型的解释

Unix 的 traceroute 默认使用 UDP，因此还需要一条规则以允许 Unix traceroute 的使用：

# 允许 Unix traceroute(8) 默认使用的 UDP 端口范围
pass out on $ext_if inet proto udp from any to any port 33433 >< 33626 keep state

Unix 的 traceroute 默认使用 UDP，也可指定使用其他协议

若使用 -I 参数，则使用 ICMP 回显请求消息

有些类型的数据在某些时候对过滤和重定向非常重要，但它们的定义太长，无法包含在规则集文件中

PF 支持使用表，表是可在不重新加载整个规则集的情况下操作的定义列表，且支持快速查找。表名总是被 < > 括起来，如下所示：

# 定义客户端表，允许 192.168.2.0/24 网络，但排除 192.168.2.5
table <clients> { 192.168.2.0/24, !192.168.2.5 }

在此例中，192.168.2.0/24 网络是表的一部分，但地址 192.168.2.5 通过 ! 操作符被排除在外

也可从文件加载表，其中每个项目位于单独的行上，如此例 /etc/clients：

# /etc/clients 示例：每个条目独占一行
192.168.2.0/24
!192.168.2.5

要引用该文件，可像这样定义表：

# 从文件持久加载表，规则集重新加载时不会清空表内容
table <clients> persist file "/etc/clients"

定义了表后，就可以在规则中引用它：

# 允许表中客户端访问常见出站 TCP 服务
pass inet proto tcp from <clients> to any port $client_out flags S/SA keep state

可以使用 pfctl 动态操作表的内容。以下示例将另一个网络添加到表中：

# 动态向 clients 表添加 192.168.1.0/16 网段
$ pfctl -t clients -T add 192.168.1.0/16

需要注意的是，通过这种方式所做的任何更改都会立即生效，适合测试，但在断电或重启后不会保留

要使更改永久生效，需要修改规则集中的表定义或编辑表所引用的文件。可使用 cron(8) 作业定期将表的内容保存到磁盘，命令示例如 pfctl -t clients -T show >/etc/clients。或者，/etc/clients 可通过以下命令更新为内存中的表内容：

$ pfctl -t clients -T replace -f /etc/clients

本节说明了如何使用 block-policy、scrub 和 antispoof 使规则集行为更加合理

block-policy 是可在规则集的 options 部分设置的选项，该部分位于重定向和过滤规则之前。此选项决定了当规则阻止主机时，PF 是否会发送反馈。该选项有两个可能的值：

• drop 会丢弃被阻止的数据包，不发送反馈
• return 会返回如 Connection refused 之类的状态码

若未设置，则默认策略为 drop。要更改 block-policy，指定所需的值：

# 被阻止时返回状态码（如 Connection refused），而非静默丢弃
set block-policy return

在 PF 中， scrub 是一个启用网络数据包规范化的关键字。该过程会丢弃具有无效标志组合的 TCP 数据包

启用 scrub 提供了一定的防护，可抵御某些基于不当处理数据包分片的攻击

推荐将 scrub 作为 match 规则的选项使用，而非独立语句

最简单的形式适用于大多数配置：

# 对所有入站流量执行规范化：清除 DF 标志并随机化 IP ID
match in all scrub (no-df random-id)

对于分片重组，推荐在规则集的 options 部分使用 set reassemble yes ：

# 启用分片重组，同时对置有 DF 标志的分片也进行重组（并清除标志）
set reassemble yes no-df

no-df 选项表示同时重组设置了“禁止分片”标志的分片，重组后的数据包将清除该标志

NFS 等一些服务需要特定的分片处理选项

更多信息，参阅 https://home.nuug.no/~peter/pf/en/scrub.html

以下示例通过 match 规则设置分片重组、清除 DF 标志，并将最大分段大小设置为 1440 字节：

# 启用分片重组、清除 DF 标志，并限制 TCP 最大分段大小为 1440
set reassemble yes no-df
match in all scrub (no-df max-mss 1440)

antispoof 机制防止伪造或伪装的 IP 地址攻击，主要通过阻止在特定接口和方向上逻辑上不可能出现的数据包来实现。这些规则会过滤来自外部世界的伪造流量，以及源自本地网络的任何伪造数据包：

# 反地址欺骗：阻止在外部接口上逻辑上不可能出现的源/目的地址
antispoof for $ext_if
# 反地址欺骗：阻止在内部接口上逻辑上不可能出现的源/目的地址
antispoof for $int_if

即使正确配置了网关处理网络地址转换，有时也需要弥补他人的错误配置，一种常见的错误配置是允许来自不可路由地址的流量访问互联网

由于来自不可路由地址的流量可能参与多种拒绝服务 DDoS 攻击技术，因此建议明确阻止来自不可路由地址的流量进入网络的外部接口

在此例中，首先定义了一个包含不可路由地址的宏，然后在阻止规则中使用它。往返于这些地址的流量会在网关的外部接口上静默丢弃

# 不可路由的保留地址（“火星地址”）
martians = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, \
              10.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, \
              0.0.0.0/8, 224.0.0.0/3 }"

# 在外部接口上阻止来自这些地址的入站流量
block drop in quick on $ext_if from $martians to any
# 在外部接口上阻止发往这些地址的出站流量
block drop out quick on $ext_if from any to $martians

PF 提供了 set syncookies 选项，用于防御 SYN 洪水攻击。当 SYN cookie 激活时，PF 对每个入站 TCP SYN 回复 syncookie SYNACK，而不分配任何资源。收到客户端的 ACK 后，PF 评估规则集并在允许时创建状态:

# 从不发送 syncookie（默认行为）
set syncookies never
# 始终发送 syncookie（任何 SYN 都不分配状态）
set syncookies always
# 自适应模式：状态表占用 25% 时启用，回落到 12% 时关闭
set syncookies adaptive (start 25%, end 12%)

自适应模式在半开 TCP 连接占用状态表达到指定百分比时启用 syncookie 模式，在回落到较低百分比时关闭

max-pkt-rate 选项可基于规则限制数据包速率。超过指定速率时，规则停止匹配：

# 限制 ICMP 入站速率为每 10 秒最多 100 个包，超出时该规则停止匹配
pass in proto icmp max-pkt-rate 100/10

此规则允许每 10 秒最多 100 个 ICMP 包通过，超速时该规则停止匹配