[Précédent : Raccourcis pour La
Création des Jeux de Règles]
[Index]
[Suivant : Scrub (Normalisation de Paquets)]
PF : Options de Fonctionnement
Des options sont utilisées pour contrôler le fonctionnement
de PF. Celles-ci sont spécifiées dans le fichier
pf.conf en utilisant la directive set.
REMARQUE : A partir d'OpenBSD 3.7,
le comportement des options de lancement a changé.
Auparavant, lorsqu'une option était utilisée, elle n'était jamais remise
à sa valeur par défaut, sauf si le jeu de règles était rechargé.
A présent, à chaque fois qu'un jeu de règles est chargé, les options de
lancement sont remises à leurs valeurs par défaut avant que le jeu de
règles ne soit analysé.
Ainsi, si une option est activée puis désactivée depuis le jeu de règles
et que le jeu de règles est rechargé, l'option sera remise à sa valeur
par défaut.
- set block-policy option
- Paramètre le comportement pour par défaut des
règles de filtrage qui ont pour
effet de bloquer les paquets (mot-clé "block").
- drop - Le paquet est détruit sans aucune
notification.
- return - un paquet TCP RST est renvoyé pour les
paquets TCP et un paquet ICMP Unreachable est renvoyé pour
tous les autres.
- Il est à noter que les règles de filtrage
individuelles peuvent avoir leur propre réponse.
drop est l'option par défaut.
- set debug option
- Permet de paramétrer le niveau de débogage de pf.
- none - aucun message de débogage n'est
affiché.
- urgent - messages de débogage
générés pour les erreurs sérieuses.
- misc - messages de débogage
générés pour des erreurs diverses (par exemple
pour voir le status du sous-système scrub et pour les
échecs de création d'état).
- loud - messages de débogage
générés dans des conditions courantes (par
exemple pour voir le status de l'analyseur passif de signatures OS).
- urgent est l'option par défaut.
- set debug option
- Permet de paramétrer le fichier à partir duquel seront chargées les
signatures de systèmes d'exploitation. Utilisé avec l'analyse passive de l'empreinte des OS.
La valeur par défaut est /etc/pf.os.
- set limit option value
- Permet de paramétrer différentes limites.
- frags - nombre maximal d'entrées dans la zone mémoire
utilisée pour le réassemblage de paquets (règles scrub). La valeur par défaut est 5000.
- src-nodes - nombre maximal des entrées dans la zone mémoire
utilisée pour assurer un suivi des adresses IP sources (généré par
les options sticky-address et source-track). La
valeur par défaut est 10000.
- states - nombre maximal d'entrées dans la zone mémoire
utilisée pour les entrées de la table d'état (règles de filtrage qui contiennent le mot-clé
keep state). La valeur par défaut est 10000.
- set loginterface interface
- Paramètre l'interface pour laquelle PF devra récupérer des
statistiques telles que le nombre d'octets entrants/sortant les
paquets acceptés/bloqués. Les statistiques ne peuvent être
récupérées que pour une interface à la fois. Il est à noter
que les indicateurs match, bad-offset, etc., et
les indicateurs de la table d'état sont enregistrés que
loginterface soit positionnée ou pas.
Pour désactiver cette option, positionnez la à none.
none est l'option par défaut.
- set optimization option
- Optimise PF pour l'un de ces environnements réseau :
- normal - convient à pratiquement tous les
réseaux.
- high-latency - réseaux à haute latence tels
que les réseaux à connexion satellite.
- aggressive - les connexions expirent plus rapidement de la
table d'état. Les pré-requis mémoire sont ainsi
fortement réduits sur un pare-feu particulièrement
chargé au risque de terminer des connexions inactives trop
rapidement.
- conservative - paramétrage extrêmement
conservateur. Contrairement à aggressive, ce
paramétrage évite de terminer les connexions inactives
ce qui se traduit par une plus grande utilisation mémoire et
une utilisation du processeur un peu plus soutenue.
- normal est l'option par défaut.
- set skip on interface
- Saute tous les traitements PF sur
l'interface.
Ceci peut être utile sur une interface de loopback pour laquelle le
filtrage, la normalisation, la mise en queue etc. ne sont pas
nécessaires. Elle peut être utilisée plusieurs fois.
Elle n'est pas activée par défaut.
- set state-policy option
- Permet de paramétrer le comportement de PF vis-à-vis
de la préservation de l'état des connexions. Ce
comportement peut être contourné au niveau de chaque
règle. Pour plus de détails, consultez la section de
la FAQ intitulée
Préservation de l'État.
- if-bound - les états sont liés à l'interface sur lesquels
ils ont été créés. Si le trafic correspond à une entrée de la table
d'états mais qu'il ne traverse pas l'interface sur laquelle l'état a
été enregistré, cette correspondance est rejetée. Le paquet doit
alors correspondre à une règle de filtrage ou il sera tout
simplement détruit/rejeté.
- group-bound - même comportement que if-bound
mis à part que les paquets sont autorisés à
travers des interfaces du même groupe, par exemple toutes les
interfaces ppp etc.
- floating - les états peuvent correspondre à des paquets
sur n'importe quelle interface. Peu importe l'interface qu'il
traverse, un paquet sera accepté tant qu'il correspond à une
entrée dans la table d'états et qu'il transite dans le même sens
qu'il le fit initialement lors de la création de l'état, peu importe
l'interface qu'il traverse, il passera.
- floating est l'option par défaut.
- set timeout option value
- Permet de paramétrer différents timeouts (en secondes).
- interval - nombre de secondes entre les purges d'états
expirés et des fragments de paquets.
La valeur par défaut est 10.
- frag - nombre de secondes avant qu'un fragment non assemblé
n'expire.
La valeur par défaut est 30.
- src.track - nombre de secondes pendant lesquelles garder
l'entrée source tracking en
mémoire après que le dernier état ait expiré.
La valeur par défaut est 0 (zero).
Exemple :
set timeout interval 10
set timeout frag 30
set limit { frags 5000, states 2500 }
set optimization high-latency
set block-policy return
set loginterface dc0
set fingerprints /etc/pf.os.test
set skip on lo0
set state-policy if-bound
|
[Précédent : Raccourcis pour La création des
Jeux de Règles]
[Index] [Suivant : Scrub
(Normalisation de Paquets)]
www@openbsd.org
$OpenBSD: options.html,v 1.13 2006/03/10 16:35:07 saad Exp $