如何在FreeBSD 11.1上安装列入黑名单

• 介绍
• 步骤1：PF（防火墙）
• 步骤2：列入黑名单
• 步骤3：SSH
• 最后一步

介绍

任何连接到Internet的服务都可能成为暴力攻击或不当访问的目标。有类似fail2ban或的工具sshguard，但由于它们仅用于分析日志文件，因此它们在功能上受到限制。黑名单采用不同的方法。修改后的守护程序（例如SSH）能够直接连接到列入黑名单的服务器，以添加新的防火墙规则。

步骤1：PF（防火墙）

锚是规则的集合，我们在PF配置中需要一个。要创建最小规则集，请进行如下编辑/etc/pf.conf：

set skip on lo0
scrub in on vtnet0 all fragment reassemble

anchor "blacklistd/*" in on vtnet0

block in all
pass out all keep state
antispoof for vtnet0 inet

pass in quick on vtnet0 inet proto icmp all icmp-type echoreq
pass in quick on vtnet0 proto tcp from any to vtnet0 port 22

现在启用PF自动启动功能，编辑/etc/rc.conf：

pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

但是，您可能还需要做一件事：测试您的规则，以确保一切正确。为此，请使用以下命令：

pfctl -vnf /etc/pf.conf

如果此命令报告错误，请返回并首先修复这些错误！

现在最好重新启动服务器，以确保一切正常，这是一个好主意： shutdown -r now

步骤2：列入黑名单

IP被阻止24小时。这是默认值，可以在中更改/etc/blacklistd：

# Blacklist rule
# adr/mask:port type    proto   owner           name    nfail   disable
[local]
ssh             stream  *       *               *       3       24h

编辑/etc/rc.conf以启用列入黑名单：

blacklistd_enable="YES"
blacklistd_flags="-r"

使用以下命令启动Blacklisted：

service blacklistd start

步骤3：SSH

我们需要做的最后一件事是sshd通知blacklistd。添加UseBlacklist yes到您的/etc/ssh/sshd_config文件。现在使用重新启动SSH service sshd restart。

最后一步

最后，尝试使用无效密码登录服务器。

要获取所有被阻止的IP，请使用以下命令之一：

blacklistctl dump -bw
        address/ma:port id      nfail   last access
 150.x.x.x/32:22        OK      3/3     2017/x/x 04:43:03
 115.x.x.x/32:22        OK      3/3     2017/x/x 04:45:40
  91.x.x.x/32:22        OK      3/3     2017/x/x 07:51:16
  54.x.x.x/32:22        OK      3/3     2017/x/x 12:05:57

pfctl -a blacklistd/22 -t port22 -T show
   54.x.x.x
   91.x.x.x
  115.x.x.x
  150.x.x.x

要删除被阻止的IP，您必须使用命令pfctl。例如：

pfctl -a blacklistd/22 -t port22 -T delete <IP>

请注意，blacklistctl该IP仍显示为已阻止！这是正常现象，希望在将来的版本中将其删除。