내 주변 장치로 실행하면 OpenBSD 6.7네트워크를 모니터링하기 위해 여러 서비스가 설치됩니다.
문제는 netstart부팅 프로세스 초기에 발생하여 인터페이스가 일정 기간 동안 보호되지 않고 모니터링되지 않게 됩니다.
이상적으로는 인터페이스가 마지막에 나오길 바랍니다. 적어도 다른 웹 기반 서비스가 출시되기 전까지는 말이죠.
이를 달성하는 가장 좋은 방법은 무엇입니까?
답변1
@zé-loff님, 피드백을 보내주셔서 감사합니다! 제가 수행한 작업은 다음과 같습니다. 테스트 결과는 성공적이었습니다. 이 기술은 모든 서비스가 시작될 때까지 트래픽을 성공적으로 차단하지만 모든 서비스는 netstart여전히 정상적으로 실행됩니다. 이는 pf 규칙 세트를 로드하기 전에 ARP 및 DHCP와 같은 요청이 교환된다는 것을 의미합니다.
/etc/pf.active.conf
현재 pf 규칙 세트를 이 파일에 복사합니다. 여기에는 시스템이 작동하는 데 필요한 모든 허용/차단 규칙이 포함되어야 합니다. 다음은 기본 규칙 세트의 예입니다.
# $OpenBSD: pf.conf,v 1.55 2017/12/03 20:40:04 sthen Exp $
#
# See pf.conf(5) and /etc/examples/pf.conf
set skip on lo
block return # block stateless traffic
pass # establish keep-state
# By default, do not permit remote connections to X11
block return in on ! lo0 proto tcp to port 6000:6010
# Port build user does not need network
block return out log proto {tcp udp} user _pbuild
/etc/pf.conf
한 줄 업데이트로 모든 트래픽이 차단됩니다. 이 규칙 세트는 환경에 맞게 사용자 정의할 수 있습니다. 예를 들어 pfsync를 제외한 모든 트래픽을 차단하거나 내부 인터페이스에서 트래픽을 계속 허용합니다.
block drop quick
/etc/rc.local
/etc/rc.local부팅 프로세스 중 마지막으로 시작되므로 다음 콘텐츠로 생성하거나 업데이트합니다 .
# Load actual pf rules.
if [[ $pf != NO ]]; then
if [[ -f /etc/pf.active.conf ]]; then
pfctl -f /etc/pf.active.conf
fi
fi