Как я могу перенастроить свой PF.conf, чтобы быть более безопасным

1

Я хочу сделать свой компьютер более безопасным, и часть этого я хочу сделать с перенастройкой моего межсетевого экрана PF.

Как я могу перенастроить свой PF.conf, чтобы быть более безопасным?

Я сделал репозиторий Github, где я разместил свою конфигурацию. Мой первый репозиторий GitHub

Дженнифер Руурс
источник
попробуйте добавить logк большему количеству правил (все блоки) и посмотреть, будет ли сбито что-нибудь
три
@ thrig что мне добавить?
Дженнифер Руурс
@ Seamus, они отличаются от моих правил, и я не хочу удалять настройки брандмауэра Apple, и если я добавлю эти строки в pf.conf, я получу ошибку
Дженнифер Руурс
Привет. Не могли бы вы отредактировать показ теста, который показывает, что ваш интернет не работает? Такие сведения, как IP-адрес или подсеть вашего DNS-сервера, могут помочь нам в этом. Кроме того - вам может понадобиться использовать комментарии в вашем PF conf, чтобы ваше намерение было ясным - у кого-то будет куча времени, чтобы освоить каждое из ваших правил, чтобы понять, а затем угадать, почему у вас есть каждое правило, блокирующее движение.
bmike

Ответы:

1

Хорошо, конфигурация - полный беспорядок без некоторых комментариев, поэтому мы можем знать, что вы думаете, а не то, что вы написали. Не беспокойтесь, давайте разберемся с этим. Используемый синтаксис не очень хорошо отражает ваши намерения, и в некоторых случаях он ошибочен или избыточен.

Также кажется, что описанный вами набор правил, который является config, не совпадает с тем, что вы говорите, является выводом pfctl.

Для ясности, давайте сделаем это простым и более информативным. Пожалуйста, оставьте вывод

sudo pfctl -vvv -s all

Затем, пожалуйста, опубликуйте свой полный pf.conf - предпочтительно в месте, где мы можем комментировать и обсуждать, например, github или github gist. Я вижу некоторые несоответствия между двумя файлами, которые вы опубликовали (спасибо за это), поэтому я рекомендую явно написать в NON FIREWALL SYNTAX - ПРОСТО ПРОСТО АНГЛИЙСКИЙ, что именно вы хотите, чтобы pf делал.

Так как я узнаю ряд вопросов, мы, возможно, находимся на грани уменьшения отдачи, задавая более масштабные и подробные вопросы, я буду следить за вашим ответом и приложу дополнительные усилия, чтобы получить это право для вас, но это может быть проблемой в вопросах и ответах. формат здесь. Спасибо за ваше терпение в предоставлении дополнительной работы о том, что вам нужно работать.

Фрэнсис из ResponseBase
источник
Я собираюсь немного отредактировать ВСЕ шапки. Давайте заставим ОП опубликовать свои полные правила на github gist или аналогичных. Это может быть скорее призыв к консультациям, чем четкий вопрос, на который нужно ответить, но давайте посмотрим, приведет ли цепочка вопросов по PF к единственному «истинному» ответу - есть причина для создания каждого нового правила и проверки. Как только ОП четко знает, какая именно строка ломает вещи - им будет гораздо проще помочь. Я приветствую ваши усилия, чтобы помочь ответить здесь. +1 действительно
bmike
Я сделал свой первый репозиторий на github github.com/jenniferruurs/Macfirewall, не стесняйтесь комментировать
Дженнифер Руурс
Хорошо, Дженнифер - кроме регистрации launchctl, которая может потребовать перезагрузки для одного пользователя, чтобы отключить защиту целостности системы, я считаю, что вы все настроили, так как я только что раздвоил репозиторий Github, добавил соответствующие файлы, написал хороший Readme.md с инструкциями, и сделал запрос на вытягивание для вас, чтобы объединить мою ветку с вашим исходным репо.
Фрэнсис из ResponseBase