OpenBSD 7.7 एक मजबूत फ़ायरवॉल आधार के रूप में: pf.conf और sysctl.conf जो आपकी सुरक्षा करते हैं।

OpenBSD लंबे समय से अपनी अडिग सुरक्षा सिद्धांतों के लिए जाना जाता है: समझदार डिफ़ॉल्ट सेटिंग्स, साफ़ कोड, और "डिफ़ॉल्ट रूप से सुरक्षित" को केवल एक नारे के बजाय एक अनिवार्य नियम के रूप में अपनाना। यदि आप एक ऐसा फ़ायरवॉल खोज रहे हैं जो दिन-प्रतिदिन के उपयोग में विश्वसनीय और समझने में आसान हो, तो OpenBSD आपको एक मजबूत आधार प्रदान करता है। साथ ही, मजबूत डिफ़ॉल्ट सेटिंग्स अच्छी हैं, लेकिन कुछ लक्षित समायोजन सुरक्षा स्तर और पूर्वानुमान को स्पष्ट रूप से बढ़ा देते हैं, बिना आपकी सेटअप को एक नाजुक विज्ञान परियोजना में बदलने के।
इस लेख के माध्यम से, हम एक व्यावहारिक आधार प्रदान करना चाहते हैं जो छोटे नेटवर्क, घरेलू लैब, और कई SMB (स्मॉल एंड मीडियम बिज़नेस) वातावरणों को आत्मविश्वास के साथ सुरक्षित करता है—साथ ही पठनीय और रखरखाव योग्य भी रहता है।

लंबी चेकलिस्ट और मनमाने ट्यूनिंग सुझावों के बजाय, आपको स्पष्ट तर्क के साथ ठोस निर्णय मिलेंगे। हम आपको दिखाएंगे कि क्यों कोई विशेष विकल्प सेट किया गया है, यह किन जोखिमों को संबोधित करता है, और किन दुष्प्रभावों को ध्यान में रखना चाहिए। उद्देश्य हर सैद्धांतिक हमले के परिदृश्य को कवर करना नहीं है, बल्कि आपको एक विश्वसनीय प्रारंभिक बिंदु देना है: संक्षिप्त नियम, कम अपवाद, पूर्वानुमेय व्यवहार।

यह गाइड एक स्पष्ट सिद्धांत का पालन करता है: स्पष्ट रूप से अनुमति दें; अन्यथा अवरुद्ध करें। बाहर से अंदर तक, केवल वही अनुमति है जो राउटर को स्वयं चाहिए; अंदर से बाहर, केवल वही अनुमति है जो आप वास्तव में चाहते हैं। DNS को दृश्य और नियंत्रित रखा गया है। DoH, DoT, DoQ, और QUIC के लिए कोई गुप्त बैकचैनल नहीं हैं, इसलिए आप "अदृश्य" रास्तों के साथ समाप्त नहीं होते। स्टेट्स जानबूझकर इंटरफेस से बंधे होते हैं ताकि कनेक्शन वहीं रहें जहां से वे उत्पन्न हुए थे। इससे सिस्टम पूर्वानुमेय बनता है और समस्या निवारण सहनीय होता है। और क्योंकि पारदर्शिता दस चालाक तरकीबों से बेहतर है, सभी महत्वपूर्ण मार्गों पर लेबल होते हैं: दैनिक संचालन में आप तुरंत देख सकते हैं कि क्या उपयोग हो रहा है, क्या अस्वीकृत है, और कहां कड़ा करना है।

चीजों को ठोस रखने के लिए, हम दो pf प्रोफाइल प्रदान करते हैं जिनमें से आप चुन सकते हैं: क्लासिक LAN-से-इंटरनेट परिदृश्यों के लिए एक कॉम्पैक्ट केवल राउटर संस्करण, और यदि आप सेवाओं को अलग करना चाहते हैं तो एक राउटर+DMZ संस्करण। हम क्लाइंट DNS को कड़ाई से 1.1.1.1 (वैकल्पिक रूप से 1.0.0.1 फ़ॉलबैक के रूप में) पर लागू करते हैं। यह पेडेंट्री नहीं है—यह एक जानबूझकर वास्तुकला विकल्प है: आप दृश्यता और नियंत्रण पुनः प्राप्त करते हैं। यदि कोई एप्लिकेशन कुछ और चाहता है, तो वह अलग दिखता है, और आप यह निर्णय ले सकते हैं कि अपवाद कब और कहां जोड़ना है।

sysctl.conf इस दृष्टिकोण को कर्नेल स्तर पर पूरा करता है। OpenBSD पहले से ही बहुत कुछ अच्छा लेकर आता है, लेकिन कुछ स्विच सुरक्षा और पूर्वानुमेयता में मापनीय वृद्धि प्रदान करते हैं: एक हार्डेंड malloc कॉन्फ़िगरेशन जो क्लासिक मेमोरी बग्स को पहले और जोर से फेल कराता है; SMT/हाइपर-थ्रेडिंग को अक्षम करना जब साइड-चैनल जोखिम कोई लाभ नहीं देते; W^X जो प्रक्रियाओं को समाप्त करना पसंद करता है बजाय उन्हें खतरनाक ग्रे क्षेत्रों में चलाने के; रीडायरेक्ट और गैर-आवश्यक टनलिंग प्रोटोकॉल को बंद करना; आधुनिक TCP विकल्प और मध्यम दर सीम