Речі які ви можете змінити і ті, які ймовірно слід залишити в спокої

Мережеві конфігурації за своєю природою дуже настроюється При перегляді сторінки man pfconf або іншої документації, легко бути приголомшеним кількістю опцій і налаштувань, які ви, ймовірно, можете налаштувати, для того щоб отримати прекрасно оптимізованих налаштувань

Памятайте, що для PF в цілому, налаштування за замовчуванням є нормальними для більшості випадків Деякі параметри і змінні піддаються налаштуванню, інші

повинні налаштовуватися з великою обережністю, тому, що вони повинні бути

скориговані тільки в дуже незвичайних обставинах Тут ми будемо розглядати деякі глобальні налаштування, які ви повинні знати, хоча вам в більшості випадків не доведеться їх міняти Ці параметри записуються у вигляді набору параметрів і переходять після будь-якого макроозначення в файл pfconf, але до перекладу або фільтрації правил

Зауваження:

Якщо ви читаєте сторінку man pfconf, ви відкриєте, що доступні кілька різних параметрів Однак, більшість з них не відносяться до тестування мережі в контексті оптимізації продуктивності

Заборонні політикиЗаборонні політики визначають, яку зворотний звязок, якщо така є, PF дасть хостам, які намагаються створити зєднання, які потім виявляються заблоковані Опція має два можливих значення:

·&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp drop отбросивает заблокований пакет без зворотного звязку

·&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp return повертає код статусу такої як Відмова у зєднанні (Connection refused) або щось схоже

Правильна стратегія для блокуючих політик була предметом серйозного обговорення на протязі багатьох років Значення за замовчуванням для блокуючих політик це відкинути, що означає, що пакет мовчки буде відкинутий без будь-якої зворотного звязку Проте, мовчки відкидаючи пакети робить це схожим на те, що відправник повторно відправляє непідтверджені пакети, а не розриває зєднання Таким чином, зусилля зєднатися зберігається поки не закінчиться лічильник відповідного тайм-ауту Якщо вам не приходить в голову вагома причина для установки блокуючих

політик, встановіть значення return:

set block-policy return

Це означає, що мережевий стек відправника отримає недвозначний сигнал про те, що зєднання отклоенію

Ця настройка визначає глобальне значення за замовчуванням для ваших забороняють політик При необхідності, ви може змінювати тип блокування для певних

правил

Наприклад, ви могли б змінити набір правил для захисту від брут-форсу з глави 6, щоб забороняють політики були налаштовані на повернення, але використовували

блокування відкидання quick з зробити брут-форс після закінчення часу,

якщо вони пробиваються всередину, після того як були додані в таблицю Крім того, можна вказати на відкидання трафіку від немаршрутізіруемих адрес входять на ваш інтерфейс смотрящий в інтернет

Пропуск інтерфейсівОпція skip дозволяє вам виключити певні інтерфейси з усіх обробок PF Кінцевий результат виходить як правило пропустити все для інтерфейсу, але насправді відключає всі обробки PF на інтерфейсі

Одним з поширених прикладів є відключення фільтрації на групі loopback інтерфейсу, де фільтрація в більшості конфігурацій додає трохи з

точки зору безпеки або зручності, а саме: set skip on loopback фактично,

фільтрація на loopback інтерфейсі майже ніколи не буває корисна, і може призвести до некоректних результатів з рядом спільних програм і служб За замовчуванням опція skip не встановлена, що означає, що всі сконфігуровані інтерфейси можуть брати участь в обробці PF На додаток до невеликого спрощенню набору правил, установка skip на кордонах, де ви не хочете виконувати фільтрацію результатів для невеликого приросту продуктивності

Опціяstate-policy  вказує, як PF зіставляє пакети в таблиці станів

Існує два можливих значення:

·&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp при установці за замовчуванням політика стану є плаваючою, трафік може відповідати стану на всіх інтерфейсах, а не тільки на тому де стан було створено

·&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp У разі повязаної політиці, трафік буде відповідати тільки на тому

інтерфейсі, де стан було створено, трафік на інших інтерфейсах не буде відповідати існуючому стану

Як блокуюча політика, ця опція визначає глобальний стан зіставлення політики Ви можете змінити політику стану в області за основними правилами, якщо це необхідно Наприклад, в набір правил за замовчуванням плаваючою політики стану, ви могли б мати наступне правило:

pass out on egress inet proto tcp to any port $allowed modulate state (if-bound)

з цим правилом, будь зворотний трафік спробує передати назад у разі, якщо потрібно пропустити на той же інтерфейс, де стан було створено в порядку відповідному запису в таблиці станів

Стан за замовчуваннямОпціяstate-defaults була введена в OpenBSD 45 включити встановлення конкретних опцій стану як опцій за замовчуванням у всіх правилах наборі правил, якщо тільки спеціально перевизначені інші опції в окремих правл

Ось загальний приклад:

set state-defaults pflow

Це встановлює всі проходять правила в конфігурації для генерації NetFlow даних, які будуть експортуватися через pflow пристрій

У деяких випадках має сенс застосовувати опції відстеження стану (state-tracking), такі як обмеження на підключення, як глобальний стан по

замовчуванням для всього набору правил Ось приклад:

set state-defaults max 1500, max-src-conn 100, source-track rule

Це встановлює за замовчуванням максимальну кількість записів у таблиці станів кожного правила до 1500, з максимумом до 100 одночасних зєднань з будь-якого одного хоста, з окремими лімітами для кожного правила в завантаженому наборі правил Будь опція яка діє в дужках для збереження стану в окремому правилі може бути також включена в набір станів по умлочанію Налаштування станів за замовчуванням, таким чином, є корисним, якщо є опції станів, які ще не є системою за замовчуванням, які необхідно застосувати для всіх правил у вашій конфігурації

Джерело: Книга про PF, by Peter NM Hansteen, Переклад виконав Михайлов Олексій aka iboxjo

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*