NPF (güvenlik duvarı)
| Programlama dili | C |
|---|---|
| İşletim sistemi | NetBSD |
| Tür | packet filter, Güvenlik Duvarı |
| Lisans | BSD lisansı |
| Resmî sitesi | www |
| Kod deposu |
NPF, BSD Lisansı bir durum denetlemeli paket filtresi olup, güvenlik duvarı için merkezi bir yazılım parçasıdır. iptables, ipfw, ipfilter ve PF (Güvenlik Duvarı) ile karşılaştırılabilir. NPF, NetBSD üzerinde geliştirilmiştir.
Tarihçe
[değiştir | kaynağı değiştir]NPF ağırlıklı olarak Mindaugas Rasiukevicius tarafından yazılmıştır. NPF ilk kez 2012'de NetBSD 6.0 sürümünde yer aldı.[1]
Özellikler
[değiştir | kaynağı değiştir]NPF, SMP sistemlerindeki yüksek performans ve kolay genişletilebilirlik için tasarlanmıştır. Özel filtre kuralları ve diğer özellikler için, IP Adresleri için Ağ Adresi Dönüşümü (NAT), durum bilgisi olan paket denetimi, IP setleri için ağaç yapısı ve hash tabloları,, bayt kodu (BPF veya n-kodu) gibi çeşitli formları destekler. NPF, özel modülleri desteklemek için uzatma çerçevesine sahiptir. Paket kaydı, trafik normalleştirme, rastgele engelleme gibi özellikler NPF eklentileri ile sağlanmaktadır.
npf.conf örneği
[değiştir | kaynağı değiştir]# Assigning IPv4-only addresses of the specified interfaces.
$ext_if = inet4(wm0)
$int_if = inet4(wm1)
# Efficient tables to store IP sets.
table <1> type hash file "/etc/npf_blacklist"
table <2> type tree dynamic
# Variables with the service names.
$services_tcp = { http, https, smtp, domain, 9022 }
$services_udp = { domain, ntp }
$localnet = { 10.1.1.0/24 }
# Different forms of NAT are supported.
map $ext_if dynamic 10.1.1.0/24 -> $ext_if
map $ext_if dynamic 10.1.1.2 port 22 <- $ext_if port 9022
# NPF has various extensions which are supported via custom procedures.
procedure "log" {
log: npflog0
}
#
# Grouping is mandatory in NPF.
# There must be a default group.
#
group "external" on $ext_if {
# Stateful passing of all outgoing traffic.
pass stateful out final all
block in final from <1>
pass stateful in final family inet proto tcp to $ext_if port ssh apply "log"
pass stateful in final proto tcp to $ext_if port $services_tcp
pass stateful in final proto udp to $ext_if port $services_udp
# Passive FTP and traceroute
pass stateful in final proto tcp to $ext_if port 49151-65535
pass stateful in final proto udp to $ext_if port 33434-33600
}
group "internal" on $int_if {
# Ingress filtering as per RFC 2827.
block in all
pass in final from $localnet
pass in final from <2>
pass out final all
}
group default {
pass final on lo0 all
block all
}
Dış bağlantılar
[değiştir | kaynağı değiştir]- NPF documentation 7 Haziran 2017 tarihinde Wayback Machine sitesinde arşivlendi.
- Introducing NPF in NetBSD 6.0 26 Haziran 2017 tarihinde Wayback Machine sitesinde arşivlendi.
- npf.conf manual page 18 Şubat 2018 tarihinde Wayback Machine sitesinde arşivlendi.
Kaynakça
[değiştir | kaynağı değiştir]- ^ "Arşivlenmiş kopya". 26 Haziran 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 19 Haziran 2017.