OpenBSD PF: Параметры работы фильтра

OpenBSD PF - Параметры работы фильтра [FAQ PF - На главную]

Эти параметры используются для управления работой PF. Они укразываются в файле pf.conf при помощи директивы set.

set block-policy option

Устанавливает поведение по умолчанию для правил filter, которые определены директивой block.

drop - пакет молча отбрасывается.
return - будет возвращен пакет TCP RST для заблокированных TCP пакетов и пакет ICMP Unreachable для всех остальных.

Имейте в виду, что определенные правила фильтра могут перекрывать назначенное поведение. Поведение по умолчанию drop.

set debug option: Устанавливает debugging уровень для pf. Поддерживаемые в настоящий момент emerg, alert, crit, err, warning, notice, info и debug.

set fingerprints file: Устанавливает файл, из которого загружаются fingerprints операционных систем. Для использования с passive OS fingerprinting. По умолчанию используется файл /etc/pf.os.

set limit option value

Устанавливает различные лимиты для операций pf. Текущее значение этой переменной можно увидеть при помощи pfctl -s memory.

frags - максимальное количество записей в пуле памяти, которые используются для пересборки пакетов (scrub rules). По умолчанию 5000.
src-nodes - максимальное количество записей в пуле памяти, которые используются для отслеживания source IP адресов (создаются параметрами sticky-address и source-track). По умолчанию 10000.
states - максимальное количество записей в пуле памяти, которые используются для состояния записей таблицы (filter правила которые определяют keep state). По умолчанию 10000.
tables - максимальное количество таблиц, которое может быть создано. По умолчанию 1000.
table-entries - максимальное количество адресов, которое может быть сохранено во всех таблицах. По умолчанию 200000. Если размер физической памяти системы меньше 100MB, значение по умолчанию устанавливается в 100000.

set loginterface interface: Устанавливает интерфейс, для которого PF будет собирать статистику, такую как количество принятых/переданных байт и количество пропущенных/заблокированных пакетов. Одновременно статистика может собираться только для одного интерфейса. Помните, что счетчики match, bad-offset и др., а также счетчики таблицы состояний будут записаны, несмотря на то, установлен loginterface или нет. Для отключения сбора статистики установите параметр в значение none. По умолчанию none.

set optimization option

Оптимизирует PF для использования в одном из следующих сетевых окружений:

normal - применимо для большинства сетей.
high-latency - сети с высокими задержками, такие как например спутниковые соединения.
aggressive - агрессивное удаление соединений из таблицы состояний. Этот режим может серьезно уменьшить потребление памяти в нагруженных файрволах и увеличивает риск раннего отбрасывания простаивающих (idle) соединений.
conservative - чрезвычайно консервативная настройка. Она позволяет избежать сброса простаивающих (idle) соединений при большем расходе памяти и немного увеличенной нагрузке на процессор.

По умолчанию normal.

set ruleset-optimization option

Управляет операциями оптимизатора правил PF.

none - полностью запрещает оптимизатор.
basic - разрешает следующую оптимиацию правил:
1. удаление дубликатов правил
2. удаление правил, которые являются подмножеством других правил
3. объединение нескольких правил в таблицу, когда это является полезным
4. пересортировка (изменение последовательности) правил с целью увеличения произвидительности обработки
profile - использует загруженный профиль как feedback профиль, чтобы приспособить порядок быстрых правил (правил с параметром quick) к текущему сетевому трафику.

Значением по умолчанию является basic. В pf.conf(5) можно найти более детальное описание.

set skip on interface: Пропускает всю PF обработку на том или ином interface. Эта директива может быть полезной для loopback интерфейса, на котором фильтрация, нормализация, управление очередями и другие действия не требуются. Этот параметр может быть использован несколько раз. По умолчанию этот параметр не установлен (не используется).

set state-policy option

Устанавливает поведение PF когда он переходит в состояние keeping state. Это поведение может быть переопределено непосредственно в самом правиле. Смотрите keeping state.

if-bound - состояния привязываются к интерфейсу, на котором они были созданы. Если трафик совпадает с записью из таблицы состояний, но не совпадает с записанным в ней интерфейсом, то совпадение отвергается. Пакет должен попадать под правило фильтра или он будет удален/отвергнут (dropped/rejected) полностью.
floating - состояние может соответствовать пакету на любом интерфейсе. До тех пор пока пакет соответствует записи состояния и он проходит по тому же направлению, по которому он проходил через интерфейс в момент создания состояния, интерфейс через который он проходит неважен, и он будет передан далее (pass).

По умолчанию floating.

set timeout option value

Устанавливает значения различных таймаутов (в секундах).

interval - задержка в секундах перед удалением просроченных состояний и фрагменов пакета. По умолчанию 10.
frag - время в секундах, до пометки несобранного (unassembled) пакета как просроченного. По умолчанию 30.
src.track - значение в секундах периода хранения записи source tracking в памяти после истечения срока последного состояния. По умолчанию 0.

Примеры:

set timeout interval 10
set timeout frag 30
set limit { frags 5000, states 2500 }
set optimization high-latency
set block-policy return
set loginterface dc0
set fingerprints "/etc/pf.os.test"
set skip on lo0
set state-policy if-bound