[Anterior: Atalhos na Criação de Conjuntos de Regras] [Conteúdo] [Próximo: Âncoras]

PF: Opções em Tempo de Execução

Opções são usadas para controlar a operação do PF. Elas são especificadas no pf.conf usando a diretiva set.

set block-policy opção

Define o comportamento padrão para regras de filtragem que especifiquem block como ação.

• drop - o pacote é descartado silenciosamente.
• return - um pacote TCP RST é retornado para pacotes TCP bloqueados e um pacote ICMP de Inalcançável é enviado para todos os outros pacotes.

Note que regras de filtragem individuais podem sobrescrever a resposta padrão. O padrão é drop.

set debug opção

Define o nível de depuração do PF.

• none - mensagens de depuração não são mostradas.
• urgent - mensagens de depuração para erros sérios.
• misc - mensagens de depuração geradas por vários erros (por exemplo, para ver o status do normalizador de pacotes/scrubber e para falhas na criação de estados de conexões).
• loud - mensagens de depuração geradas por condições normais (por exemplo, para ver o status da detecção passiva de SO).

O padrão é urgent.

set fingerprints arquivo

Define o arquivo do qual carregar as impressões digitais de sistemas operacionais. Para uso com detecção passiva de SO. O padrão é /etc/pf.os.

set limit opção

Configura vários limites da operação do pf.

• frags - número máximo de entradas na área de memória usada para reconstrução de pacotes (regras scrub). O padrão é 5000.
• src-nodes - número máximo de entradas na área de memória destinada ao registro de endereços IP de origem (gerados pelas opções sticky-address e source-track). O padrão é 10000.
• states - número máximo de entradas na área de memória usada para as entradas na tabela de estados (regras de filtragem que especificam keep state). O padrão é 10000.
• tables - número máximo de tabelas que podem ser criadas. O padrão é 1000.
• table-entries - o limite geral de quantos endereços podem ser armazenados em todas as tabelas. O padrão é 200000. Se o sistema tem menos que 100MB de memória física, o valor padrão é definido para 100000.

set loginterface interface

Define a interface onde o PF deve colher estatísticas, como bytes entrando/saindo e pacotes permitidos/bloqueados. Estatísticas podem ser obtidas de apenas uma interface por vez. Perceba que os contadores match, bad-offset, etc., e os contadores das tabelas de estado são registrados independente da opção loginterface estar definida ou não. Para desabilitar essa opção, configure-a para none. O padrão é none.

set optimization opção

Otimiza o PF para um dos ambientes de rede a seguir:

• normal - adequado para a maioria das redes.
• high-latency - redes de alta latência, como conexões via satélite.
• aggressive - expira agressivamente conexões da tabela de estados. Isso pode diminuir drasticamente os requisitos de memória em um firewall muito carregado, o preço é o risco de se descartar conexões inativas muito cedo.
• conservative - configurações extremamente conservadoras. Evita o descarte de conexões inativas ao custo de maior utilização de memória e um pequeno aumento na utilização do processador.

O padrão é normal.

set ruleset-optimization opção

Controla o funcionamento do otimizador de conjunto de regras do PF.

• none - desabilita totalmente o otimizador.
• basic - ativa as seguintes otimizações de conjunto de regras:
  1. remove regras duplicadas
  2. remove regras que são um subconjunto de uma outra regra
  3. combina múltiplas regras dentro de uma tabela quando isso for vantajoso
  4. reordena as regras para melhorar o desempenho de avaliação
• profile - usa o conjunto de regras carregado atualmente como um perfil de retorno para fazer o ordenamento das regras contendo a palavra-chave "quick" para o tráfego de rede real.

A partir do OpenBSD 4.2, o padrão é basic. Veja pf.conf(5) para obter uma descrição mais completa.

set skip on interface

Pula todo o processamento do PF na interface. Isso pode ser útil em interfaces loopback, onde filtragem, normalização, enfileiramento, etc., não são requeridos. Essa opção pode ser usada múltiplas vezes. Por padrão essa opção não é definida.

set state-policy opção

Define o comportamento do PF ao manter o estado das conexões. Esse comportamento pode ser alterado ao nível de cada regra. Veja Mantendo o Estado.

• if-bound - estados são associados à interface onde foram criados. Caso o tráfego corresponda a uma entrada na tabela de estados, mas não atravessa a interface onde a entrada foi criada, o tráfego correspondente é rejeitado. O pacote deve então corresponder a uma regra de filtragem ou será descartado/rejeitado totalmente.
• floating - estados podem corresponder à pacotes em qualquer interface. Contanto que o pacote corresponda a uma entrada de estado e esteja passando na mesma direção que estava na interface quando o estado foi criado, não importa qual interface ele está cruzando, ele será permitido.

O padrão é floating.

set timeout opção

Configura vários tempos de expiração (em segundos).

• interval - número de segundos entre a remoção de registros de estados expirados e pacotes fragmentados. O padrão é 10.
• frag - número de segundos antes que um pacote fragmentado sendo reconstruído expire. O padrão é 30.
• src.track - número segundos para manter uma entrada de rastreamento de origem na memória depois que o último estado expirar. O padrão é 0 (zero).

Exemplo:

set timeout interval 10 set timeout frag 30 set limit { frags 5000, states 2500 } set optimization high-latency set block-policy return set loginterface dc0 set fingerprints "/etc/pf.os.test" set skip on lo0 set state-policy if-bound

[Anterior: Atalhos na Criação de Conjuntos de Regras] [Conteúdo] [Próximo: Âncoras]