[Vorige: Afkortingen om Regelsets aan te maken]
[Inhoud]
[Volgende: Scrub (Pakket Normalisatie)]
PF: Runtime Opties
Opties worden gebruikt om de werking van PF te regelen. Opties worden
gespecificeerd in pf.conf met de set opdracht.
OPMERKING: In OpenBSD 3.7 en later
is het gedrag van runtime opties veranderd.
Voorheen werd een optie, eens die ingesteld was, nooit gereset naar haar
standaardwaarde, zelfs als de regelset herladen werd.
Vanaf OpenBSD 3.7, wanneer een regelset geladen wordt, worden de runtime
opties naar de standaardwaarden gereset alvorens de regelset geparsed wordt.
Dus, als een optie ingesteld is en daarna verwijderd wordt uit de regelset
en de regelset wordt herladen, dan zal de optie gereset worden naar haar
standaardwaarde.
- set block-policy optie
- Stelt het standaard gedrag in voor filterregels
die de block actie specificeren.
- drop - pakket wordt stilzwijgend gedropt.
- return - een TCP RST pakket wordt teruggezonden voor geblokkeerde
TCP pakketten en een ICMP Unreachable pakket wordt teruggezonden voor alle
andere.
- Merk op dat individuele filterregels het standaard antwoord kunnen
opheffen.
De standaardwaarde is drop.
- set debug optie
- Stelt het debug-niveau van pf in.
- none - er worden geen debug boodschappen vertoond.
- urgent - debug boodschappen gegenereerd voor ernstige fouten.
- misc - debug boodschappen gegenereerd voor verscheidene fouten
(bv. om de status te zien van de pakket normalizer/scrubber en voor
fouten bij het aanmaken van toestanden).
- loud - debug boodschappen gegenereerd voor veel voorkomende
omstandigheden (bv. om de status van de passieve OS fingerprinter te zien).
- De standaardwaarde is urgent.
- set fingerprints file
- Stelt het bestand in waaruit besturingssysteem-fingerprints geladen worden.
Voor gebruik met
passive OS fingerprinting.
De standaardwaarde is /etc/pf.os.
- set limit optie waarde
- Stel verscheidene beperkingen in wat betreft de werking van pf.
- frags - maximaal aantal entries in de geheugen-pool gebruikt
voor pakket-herassemblage (scrub regels).
Standaardwaarde is 5000.
- src-nodes - maximaal aantal entries in de geheugen-pool gebruikt
om bron IP adressen te traceren (gegenereerd door de
sticky-address en source-track opties).
Standaardwaarde is 10000.
- states - maximaal aantal entries in de geheugen-pool gebruikt
voor entries in de toestandstabel (filterregels die
keep state specificeren). Standaardwaarde is 10000.
- set loginterface interface
- Stelt de interface in waarvoor PF statistieken moet verzamelen zoals
bytes in/uit en pakketten doorgelaten/geblokkeerd. Statistieken kunnen slechts
voor één interface per keer verzameld worden. Merk op dat de
match, bad-offset, etc., tellers en de toestandstabel-tellers
geregistreerd worden ongeacht of loginterface ingesteld is of niet.
Om deze optie uit te schakelen, zet ze op none.
De standaardwaarde is none.
- set optimization optie
- Optimaliseer PF voor één van de volgende netwerkomgevingen:
- normal - geschikt voor bijna alle netwerken.
- high-latency - high latency netwerken zoals satellietverbindingen.
- aggressive - laat op aggressieve wijze verbindingen uit de
toestandstabel verstrijken. Dit kan de geheugenvereisten enorm reduceren op
een drukke firewall met het risico dat ongebruikte verbindingen vroegtijdig
gedropt worden.
- conservative - extreem conservatieve instellingen. Dit vermijdt
het laten vallen van ongebruikte verbindingen ten koste van groter
geheugengebruik en lichtjes toegenomen processorgebruik.
- De standaardwaarde is normal.
- set skip on interface
- Sla alle PF verwerking over op interface.
Dit kan nuttig zijn op loopback interfaces waar filteren,
normalisatie, queueing, enz, niet vereist zijn.
Deze optie kan meerder keren gebruikt worden.
Standaard is deze optie niet ingesteld.
- set state-policy optie
- Stelt het gedrag van PF in wat betreft toestand bijhouden.
Dit gedrag kan ook opgeheven worden op een per-regel basis.
Zie Toestand Bijhouden.
- if-bound - toestanden worden verbonden aan de interface waarop
ze aangemaakt worden.
Als verkeer overeenstemt met een entry in de toestandstabel maar niet
langs de interface gaat die geregistreerd staat in die toestandsentry, dan
wordt de overeenstemming verworpen.
Het pakket moet dan overeenstemmen met een filterregel of zal geheel
gedropt/verwijderd worden.
- group-bound - zelfde gedrag als if-bound behalve dat
pakketten toegelaten worden om langs interfaces in dezelfde groep te gaan,
bv. alle ppp interfaces, enz.
- floating - toestanden kunnen met pakketten overeenstemmen op
gelijk welke interface. Zolang het pakket overeenstemt met een toestandsentry
en in dezelfde richting gaat als op de interface waar de toestand aangemaakt
werd, maakt het niet uit langs welke interface het gaat, het zal doorgelaten
worden.
- De standaardwaarde is floating.
- set timeout optie waarde
- Stel verscheidene timeouts in (in seconden).
- interval - seconden tussen zuiveringen van verlopen toestanden
en pakketfragmenten.
De standaardwaarde is 10.
- frag - seconden voordat een ongeassembleerd fragment vervalt.
De standaardwaarde is 30.
- src.track - aantal seconden om een
source tracking entry in het geheugen
te houden nadat de laatste toestand vervalt.
De standaardwaarde is 0 (nul).
Voorbeeld:
set timeout interval 10
set timeout frag 30
set limit { frags 5000, states 2500 }
set optimization high-latency
set block-policy return
set loginterface dc0
set fingerprints /etc/pf.os.test
set skip on lo0
set state-policy if-bound
|
[Vorige: Afkortingen om Regelsets aan te maken]
[Inhoud]
[Volgende: Scrub (Pakket Normalisatie)]
www@openbsd.org
$OpenBSD: options.html,v 1.6 2005/08/25 13:31:28 saad Exp $