Как я могу перенастроить свой PF.conf, чтобы быть более безопасным

1

Я хочу сделать свой компьютер более безопасным, и часть этого я хочу сделать с перенастройкой моего межсетевого экрана PF.

Как я могу перенастроить свой PF.conf, чтобы быть более безопасным?

Я сделал репозиторий Github, где я разместил свою конфигурацию. Мой первый репозиторий GitHub

macos network security dns firewall Дженнифер Руурс
источник
Вы пробовали этот (более простой) пример брандмауэра?
Симус
попробуйте добавить logк большему количеству правил (все блоки) и посмотреть, будет ли сбито что-нибудь
три
@ thrig что мне добавить?
Дженнифер Руурс
@ Seamus, они отличаются от моих правил, и я не хочу удалять настройки брандмауэра Apple, и если я добавлю эти строки в pf.conf, я получу ошибку
Дженнифер Руурс
Привет. Не могли бы вы отредактировать показ теста, который показывает, что ваш интернет не работает? Такие сведения, как IP-адрес или подсеть вашего DNS-сервера, могут помочь нам в этом. Кроме того - вам может понадобиться использовать комментарии в вашем PF conf, чтобы ваше намерение было ясным - у кого-то будет куча времени, чтобы освоить каждое из ваших правил, чтобы понять, а затем угадать, почему у вас есть каждое правило, блокирующее движение.
bmike

Ответы:

1

Хорошо, конфигурация - полный беспорядок без некоторых комментариев, поэтому мы можем знать, что вы думаете, а не то, что вы написали. Не беспокойтесь, давайте разберемся с этим. Используемый синтаксис не очень хорошо отражает ваши намерения, и в некоторых случаях он ошибочен или избыточен.

Также кажется, что описанный вами набор правил, который является config, не совпадает с тем, что вы говорите, является выводом pfctl.

Для ясности, давайте сделаем это простым и более информативным. Пожалуйста, оставьте вывод

sudo pfctl -vvv -s all

Затем, пожалуйста, опубликуйте свой полный pf.conf - предпочтительно в месте, где мы можем комментировать и обсуждать, например, github или github gist. Я вижу некоторые несоответствия между двумя файлами, которые вы опубликовали (спасибо за это), поэтому я рекомендую явно написать в NON FIREWALL SYNTAX - ПРОСТО ПРОСТО АНГЛИЙСКИЙ, что именно вы хотите, чтобы pf делал.

Так как я узнаю ряд вопросов, мы, возможно, находимся на грани уменьшения отдачи, задавая более масштабные и подробные вопросы, я буду следить за вашим ответом и приложу дополнительные усилия, чтобы получить это право для вас, но это может быть проблемой в вопросах и ответах. формат здесь. Спасибо за ваше терпение в предоставлении дополнительной работы о том, что вам нужно работать.

Фрэнсис из ResponseBase
источник
Я собираюсь немного отредактировать ВСЕ шапки. Давайте заставим ОП опубликовать свои полные правила на github gist или аналогичных. Это может быть скорее призыв к консультациям, чем четкий вопрос, на который нужно ответить, но давайте посмотрим, приведет ли цепочка вопросов по PF к единственному «истинному» ответу - есть причина для создания каждого нового правила и проверки. Как только ОП четко знает, какая именно строка ломает вещи - им будет гораздо проще помочь. Я приветствую ваши усилия, чтобы помочь ответить здесь. +1 действительно
bmike
Я сделал свой первый репозиторий на github github.com/jenniferruurs/Macfirewall, не стесняйтесь комментировать
Дженнифер Руурс
Хорошо, Дженнифер - кроме регистрации launchctl, которая может потребовать перезагрузки для одного пользователя, чтобы отключить защиту целостности системы, я считаю, что вы все настроили, так как я только что раздвоил репозиторий Github, добавил соответствующие файлы, написал хороший Readme.md с инструкциями, и сделал запрос на вытягивание для вас, чтобы объединить мою ветку с вашим исходным репо.
Фрэнсис из ResponseBase