[Předchozí: Zkratky pro vytváření pravidel] [Obsah] [Další: Kotvy]

PF: Provozní nastavení

Následující nastavení kontrolují provoz PF. Volby se specifikují v pf.conf pomocí set direktivy.

set block-policy option

Nastavuje defaultní chování pro filtrovací pravidla, která mají nastavenu block akci.

• drop - paket je tiše zahozen.
• return - TCP RST paket je vrácen pro blokované TCP pakety a ICMP Unreachable paket je vrácen pro všechny ostatní.

Nezapomeňte, že individuální filtrovací pravidla mohou tuto defaultní odpověď přepsat. Defaultní nastavení je drop.

set debug option

Nastavuje úroveň detailů pro debug.

• none - nejsou zobrazeny žádné debug zprávy.
• urgent - debug zprávy pro vážné chyby.
• misc - debug zprávy pro různé chyby (např., pro zobrazení stavů paket normalizeru/scrubberu a pro selhání vytvoření stavu).
• loud - debug zprávy jsou vytvářeny pro běžné podmínky (např., k zobrazení statusu pasivní detekce "otisků prstů" OS).

Defaultní nastavení je urgent.

set fingerprints file

Nastavuje soubor z kterého načíst "otisky prstů" operačních systémů. Pro použití s pasivní detekcí "otisků prstů" OS. Defaultní nastavení je /etc/pf.os.

set limit option value

Nastavuje různé limity pro PF operace.

• frags - maximální množství záznamů v paměťovém poolu použitém pro znovusestavování paketů (scrub pravidla). Defaultní nastavení je 5000.
• src-nodes - maximální množství záznamů v paměťovém poolu použitém pro sledování zdrojových adres (generováno pomocí sticky-address a source-track voleb). Defaultní nastavení je 10000.
• states - maximální množství záznamů v paměťovém poolu použitém pro tabulky stavů (filtrovací pravidla, která specifikují keep state). Defaultní nastavení je 10000.
• tables - maximální množství tabulek, které může být vytvořeno. Defaultní nastavení je 1000.
• table-entries - celkový limit určující kolik může být maximálně uloženo adres ve všech tabulkách. Defaultní nastavení je 200000. Pokud má systém méně než 100MB fyzické paměti, tak je defaultní nastavení určeno na 100000.

set loginterface interface

Nastavuje rozhraní pro které bude PF sbírat statistiky jako přijaté/odeslané byty a propuštěné/blokované pakety. Statistiky se mohou sbírat pouze pro jedno rozhraní najednou. Nezapomeňte, že match, bad-offset, atd. počítadla a počítadla stavových tabulek jsou nahrávána bez ohledu na to, jestli je loginterface nastaveno nebo ne. Pro vypnutí této volby ji nastavte na none. Defaultní nastavení je none.

set optimization option

Optimalizuje PF pro jedno z následujících síťových prostředí:

• normal - vyhovující pro skoro všechny sítě.
• high-latency -sítě s vysokou latencí jako například satelitní spojení.
• aggressive - agresivnější zaručení, že spojení ze stavové tabulky vyprší dříve. Toto může významně snížit paměťovou náročnost na vytíženém firewallu s rizikem, že nečinná spojení budou ukončena mnohem dříve než obvykle.
• conservative - extrémně konzervativní nastavení. Toto zamezuje zahazování nečiných spojení za cenu větši utilizace paměti a lehce zvýšené utilizace procesoru.

Defaultní nastavení je normal.

set ruleset-optimization option

Kontroluje funkci optimizátoru PF pravidel.

• none - vypne optimizátor úplně.
• basic - zapíná následující optimalizace pravidel:
  1. odstraní duplicitní pravidla
  2. odstraní pravidla, která jsou podmnožinou jiného pravidla
  3. kombinuje více pravidel do tabulky pokud je to výhodné
  4. upraví pořadí pravidel pro vylepšení výkonu vyhodnocování
• profile - používá aktuálně nahraná filtrovací pravidla jako zpětnou vazbu pro upravení pořadí quick pravidel pro aktuální síťový provoz.

Od OpenBSD 4.2 je defaultní nastavení basic. Podívejte se na pf.conf(5) pro mnohem detailnější popis.

set skip on interface

Přeskočí všechno PF zpracovávání na interface. Toto může být užitečné na lokální rozhraní kde filtrování, normalizace, prioritizace provozu a dalši nejsou potřeba. Tato volba může být použita několikrát. Defaultně tato volba nastavena není.

set state-policy option

Nastavuje chování PF když dojde na udržování stavů. Toto chování může být přepsáno v jednotlivých pravidlech. Podívejte se na Keeping State.

• if-bound - stavy jsou svázány s rozhraním na kterém jsou vytvořeny. Pokud provoz odpovídá záznamu ve stavové tabulce, ale nepřichází přes rozhraní uložené v tomto stavovém záznamu, tak shoda bude odmítnuta. Paket se poté musí shodovat s filtrovacím pravidlem nebo jinak bude kompletně zahozen/odmítnut.
• floating - stavy se mohou shodovat s pakety na jakémkoliv rozhraní. Dokud paket odpovídá stavovému záznamu a prochází ve stejném směru jako byl na rozhraní, když byl stav vytvořen, tak nezáleží přes které rozhraní prochází a bude propuštěn.

Defaultní nastavení je floating.

set timeout option value

Nastavuje různé doby vypršení (v sekundách).

• interval - počet sekund mezi vyčištěním vypršených stavů a paket fragmentů. Defaultní nastavení je 10.
• frag - počet sekund předtím, než je nesestavený fragment vypršen. Defaultní nastavení je 30.
• src.track - počet sekund jak dlouho držet source tracking záznam v paměti poté co poslední stav vyprší. Defaultní nastavení je 0 (nula).

Příklad:

set timeout interval 10 set timeout frag 30 set limit { frags 5000, states 2500 } set optimization high-latency set block-policy return set loginterface dc0 set fingerprints "/etc/pf.os.test" set skip on lo0 set state-policy if-bound

[Předchozí: Zkratky pro vytváření pravidel] [Obsah] [Další: Kotvy]