[Anterior: Atajos para crear conjuntos de reglas] [Contenido] [Siguiente: Anclajes]

PF: Opciones en tiempo de ejecución

Las opciones se usan para controlar el funcionamiento de PF y se especifican en el fichero pf.conf por medio de la directiva set.

set block-policy opción

Configuración del comportamiento predeterminado para las reglas de filtrado que especifiquen la acción de bloqueo block.

• drop - se descarta el paquete de forma silenciosa.
• return - devuelve un paquete TCP RST por paquete TCP bloqueado, y un paquete ICMP Unreachable (inalcanzable) para el resto de paquetes.

Nótese que las reglas de filtrado individuales pueden sobreescribir la respuesta predeterminada. drop es la opción predeterminada.

set debug opción

Establece el nivel de depuración de pf.

• none - no se muestra ningún mensaje de depuración.
• urgent - mensajes de depuración generador por errores serios. Predeterminado.
• misc - mensajes de depuración generados por varios errores (ejemplo: para ver el estado del normalizador de paquetes y las fallas al crear estados).
• loud - mensajes de depuración generados por condiciones comunes (ejemplo: para ver el estado de la identificación pasiva de huellas de SO).

urgent es la opción predeterminada.

set fingerprints fichero

Establece el archivo desde el que se cargarán los fingerprints de los sistemas operativos. Para su uso con la identificación pasiva de la huella de SO. El valor predeterminado es /etc/pf.os.

set limit opción valor

Establece diferentes límites en el funcionamiento de pf.

• frags - número máximo de entradas en la reserva de memoria usada para el reensamblaje de paquetes (reglas de scrub). El valor predeterminado es 5000.
• src-nodes - número máximo de entradas en la reserva de memoria usada para seguirle la pista a las direcciones IP de origen (generadas por las opciones sticky-address y source-track). El valor predeterminado es 10000.
• states - número máximo de entradas en la reserva de memoria usado para las entradas en la tabla de estado (reglas de filtrado que especifican keep state). El valor predeterminado es 10000.
• tables - número máximo de tablas que pueden crearse. El valor predeterminado es 1000.
• table-entries - el límite global de cuántas direcciones pueden ser almacenadas en todas las tablas. El valor predeterminado es 200000. Si el sistema dispone de menos de 100MB de memoria física, el valor predeterminado se fija en 100000.

set loginterface interfaz

Establece la interfaz desde la que PF debe recoger estadísticas, como el número de bytes que han entrado o salido y los paquetes que han pasado o que se han bloqueado. Estas estadísticas sólo se pueden recoger para una sola interfaz por vez. Nótese que los contadores match, bad-offset, etc., y los contadores de la tabla de estado se registrarán se haya o no configurado logininterface. Para deshabilitar esta opción, establézcala en none. El valor predeterminado es none.

set optimization opción

Optimiza PF para uno de los siguientes entornos de red:

• normal - sirve para para casi todas las redes.
• high-latency - redes de gran latencia, como las conexiones por satélite.
• aggressive - hace que expiren rápidamente las conexiones de la tabla de estado. Esto puede reducir drásticamente los requisitos de memoria en un cortafuegos con mucha actividad, aunque a riesgo de descartar conexiones inactivas demasiado pronto.
• conservative - un tipo de configuración extremadamente conservador. Evita descartar las conexiones inactivas, aunque a coste de una mayor utilización de la memoria y de un ligero incremento en el uso del procesador.

El valor predeterminado es normal.

set ruleset-optimization opción

Controla el funcionamiento del optimizador del conjunto de reglas PF.

• none - desactiva completamente el optimizador.
• basic - activa las siguientes optimizaciones del conjunto de reglas:
  1. suprime reglas duplicadas
  2. suprime reglas que son un subconjunto de otra regla
  3. combina múltiples reglas en una tabla cuando es ventajoso
  4. reordena las reglas para mejorar el rendimiento de la evaluación
• profile - utiliza el conjunto de reglas cargadas actualmente como un perfil de feedback para adaptar el ordenamiento de las reglas que contengan la palabra-clave "quick" para el tráfico de red real.

A partir de OpenBSD 4.2, el valor predeterminado es basic. Para una descripción más completa, véase pf.conf(5).

set skip on interfaz

Salta todo procesamiento de PF en la interfaz. Esto puede resultar útil en interfaces de loopback, donde no se requiere filtrado, normalización, encolado, etc. Se puede usar esta opción mútiples veces. De forma predeterminada esta opción permanece sin configurar.

set state-policy opción

Establece el comportamiento de PF en lo que respecta al mantenimiento de estados. Este comportamiento puede ser sobreescrito en cada regla. Véase Mantenimiento del estado.

• if-bound - los estados son vinculados con la interfaz en la que fueron creados. Si el tráfico coincide con una entrada en la tabla de estados pero no está cruzando la interfaz registrada en esa entrada, la coincidencia es rechazada. El paquete debe entonces coincidir con una regla de filtrado o será descartado/rechazado del todo.
• floating - los estados pueden coincidir con los paquetes en cualquier interfaz. Mientras el paquete coincida con una entrada de estado y esté cruzando en la misma dirección que tenía cuando se creó el estado, no importa qué interfaz esté cruzando, el paquete pasará.

La configuración predeterminada es floating.

set timeout opción valor

Configura varios tiempos de expiración (en segundos).

• interval - segundos que pasan entre las purgas de estados expirados y los fragmentos de paquetes. El valor predeterminado es 10.
• frag - segundos que pasan antes de que expire un fragmento desensamblado. El valor predeterminado es 30
• src.track - segundos que se mantiene una entrada de seguimiento de origen en memoria después de que el último estado expire. El valor predeterminado es 0 (cero).

Ejemplo:

set timeout interval 10 set timeout frag 30 set limit { frags 5000, states 2500 } set optimization high-latency set block-policy return set loginterface dc0 set fingerprints "/etc/pf.os.test" set skip on lo0 set state-policy if-bound

[Anterior: Atajos para crear conjuntos de reglas] [Contenidos] [Siguiente: Anclajes]