[OpenBSD]

[Wstecz: Skracanie zestawów reguł] [Spis treści] [Dalej: Scrub (normalizacja pakietów)]

PF: Opcje w czasie działania


Opcje są wykorzystywane do kontroli pracy PF. Są one specyfikowane w pf.conf przy pomocy dyrektywy set.

Uwaga: W OpenBSD 3.7 i poźniejszych, zachowanie opcji startowych uległo zmianie. Poprzednio, gdy opcja została ustawiona nie była resetowana do wartości domyślnej, nawet jeśli zestaw reguł był przeładowywany. Począwszy od OpenBSD 3.7, ilekroć ładowany jest zestaw reguł, opcje startowe są resetowane do wartości domyślnych przed parsowaniem reguł. Zatem, jeżeli opcja jest ustawiona i później usunięta z reguł, a następnie reguły przeładowano, opcja ta zostanie zresetowana do wartości domyślnej.

set block-policy opcja
Ustala domyślną akcję dla reguł filtrujących block w przypadku odrzucenia pakietu.
Warto zauważyć, że indywidualne reguły filtrujące mogą wymuszać inne niż domyślne zachowanie. Wartością domyślną jest drop

set debug opcja
Ustaw poziom komunikatów o błędach.
Domyślnie jest urgent.

set fingerprints file
Ustawia plik z którego mają zostać pobrane sygnatury systemów operacyjnych wykorzystywane przy pasywnym rozpoznawaniu systemów operacyjnych. Domyślnie jest to /etc/pf.os.

set limit option value
Ustawia różne limity na operacje PF'a.

set loginterface interfejs
Ustaw interfejs sieciowy, dla którego PF powinno zbierać statystyki takie jak ilość wysłanych/odebranych bajtów, liczba przepuszczonych/zablokowanych pakietów, itp. Statystyki mogą być zbierane tylko dla jednego interfejsu na raz. Proszę zwrócić uwagę na fakt, że liczniki match, bad-offset, itp, oraz liczniki tabeli stanów są cały czas aktywne bez względu na to, czy opcja loginterface jest ustawiona, czy nie. Aby wyłączyć tą opcję, ustaw ją na none. Wartością domyślną jest none.

set optimization option
Optymalizacja PF dla jednego z następujących środowisk sieciowych:
Wartością domyślną jest normal.

set ruleset-optimization option
Kontroluje działanie mechanizmu optymalizacji zestawu reguł PF.
Od wersji OpenBSD 4.2 domyślnie używane jest basic. Bardziej szczegółowy opis znajdziesz na stronie manuala pf.conf(5).

set skip on interfejs
Opuszcza wszystkie procedury PF dla zadanego interfejsu. Może być przydatne dla interfejsu loopback dla ktorego filtrowanie, normalizacja, kolejkowanie, itd., nie jest wymagane. Opcja ta może być używana wielokrotnie. Domyślnie nie jest ona ustawiona.

set state-policy opcja
Określa domyślne zachowanie PF odnośnie śledzenia stanów. Oczywiście, można je nadal określić dla poszczególnych reguł indywidualnie. Zobacz także Śledzenie stanów.
Opcja domyślna to floating.

set timeout option value
Ustawia różne timeout'y (w sekundach).

Przykład:

set timeout interval 10
set timeout frag 30
set limit { frags 5000, states 2500 }
set optimization high-latency
set block-policy return
set loginterface dc0
set fingerprints "/etc/pf.os.test"
set skip on lo0
set state-policy if-bound

[Wstecz: Skracanie zestawów reguł] [Spis treści] [Dalej: Scrub (normalizacja pakietów)]


[wstecz] www@openbsd.org
$OpenBSD$