Часті питання (FAQ) про PF

Цей розділ заснований на питаннях, які мені задавали по електронній пошті або на конференціях, а так само тих, які зявилися в списках розсилки і форумах Деякі з найбільш загальних питань розглядаються тут в форматі FAQ8

Якщо відповідати одним словом – ні Протягом багатьох років в списках розсилки зявлялися заяви, що розпочато портирование PF на Linux, але на момент написання цієї книги, все ще немає твердження що задача вирішена Основна причина цього, ймовірно, полягає в тому, що PF розроблений, передусім, як невідємна частина мережевого стека OpenBSD Навіть після більш ніж десятирічного паралельного розвитку код OpenBSD містить досить багато спільного з іншими BSD системами, що дозволяє здійснити перенесення, але портирование PF на НЕ-BSD системи потребують переписування значних шматків коду PF, і частин інтеграції на цільовій системі Кілька простих порад ориентирующих користувачів Linux в BSD представлені в на сторінці 6 Вказівки для користувачів Linux.

Ця книга, здебільшого, орієнтована на користувачів, які будуть редагувати набір правил у своєму улюбленому текстовому редакторі Зразки наборів

правил, наведених у книзі, досить прості, і можливо, ви не отримаєте

преймущества від різних варіантів інструментів візуалізації графічного інтерфейсу Загальна проблема в тому, що конфігураційні файли PF легко читані, тч графічний інтерфейс, на самому справі, не є вкрай необхідним

У кожному разі, існує кілька графічних інструментів, які дозволяють редагувати і / або генерувати конфігурацію PF, в тому числі і спеціалізований

дистрибутив FreeBSD званий pfSense (http://pfsenseorg), що включає в себе

досить комплексний GUI редактор

Я рекомендую вивчити цю книгу, особливо частини відносять до вашої ситуації, а потім вирішити питання про необхідність використання GUI

Краща стратегія перенесення налаштувань мережі, в тому числі і налаштувань брандмауера, з одного ПО на інше – зібрати специфікації і політики конфігурації вашої мережі або

брандмауера, а потім реалізувати політики використовуючи новий інструмент

Інші продукти неминуче будуть мати інший набір функціональних можливостей і відмінну конфігурацію, яка відображатиме різні підходи до конкретних проблем, які може бути непросто зіставити з особливостями PF і повязаних з ним інструментів

Документування політики з підтриманням актуального стану документації по міру внесення змін сильно полегшує вам життя Дана документація повинна містити повну специфікацію того, досягненню чого сприяють ваші налаштування (Ви можете почати з коментування файлу конфігурації для пояснення цілей кожного створюваного правила) Це дозволяє переконатися, є конфігурація раціональної реалізацією проектованих цілей

8 Трьох буквена абревіатура FAQ розшифровується як часто задаються або як часто відповідають питання – обидва значення мають силу

Зазвичай системний адміністратор шукає шляхи автоматичного перетворення налаштувань, і це цілком зрозуміло Я закликаю вас протистояти таким бажанням і виконувати перенос налаштувань тільки після переоцінки вашого технічного оснащення і потреб бізнес-процесу, і, бажано, після створення або поновлення формальної специфікації і політики

Деякі з інструментів володіють адіністратівним інтерфейсом мають можливість формування файлів конфігурації для декількох різних типів брандмауерів і, цілком очевидно, можуть використовуватися в якості інструментів перетворення налаштувань Однак, при цьому виникає ефект створення нового рівня абстракції між вами і вашим набором правил, що ставить вас в залежність від розуміння автора інструменту про те, як працює набір правил PF Я рекомендую ознайомитися з відповідними частинами цієї книги, перш ніж починати витрачати час на серйозний розгляд проблеми автоматизованого перетворення налаштувань

Світ змінюється, а разом з ним змінюється і PF Зокрема, розробники OpenBSD дуже активно і дуже критично ставляться до свого коду, і відповідно як і всі частини

OpenBSD, код PF знаходиться під постійним контролем Уроки витягнуті протягом

майже десяти років розвитку і використання PF привели до внутрішніх змін коду, який в кінцевому рахунку ясно дав зрозуміти розробникам, що незначна зміна синтаксису мало б сенс Для користувачів, результатом стало те, що PF став простіше у використанні і працює краще ніж у більш ранніх версіях Якщо ви відновите свою систему до OpenBSD 47 або вище, ви відчуєте реальне задоволення від роботи

Існує кілька хороших джерел інформації про PF і системах на яких він працює Один з них ви знайдете в цій книзі Посилання на друковані видання ви можете

виявити в Додатку А

Якщо у вас є BSD системи з встановленим PF, зверніться до man сторінкам керівництва для отримання інформації про особливості поточної версії PF Якщо не вказано інше, інформація цієї книги відноситься до системи OpenBSD 48

Якщо ви все таки не зовсім впевнені – запропонуємо невелику частку возвеличення За минулі роки багато людей багато говорили і писали про PF – іноді дивне, іноді

прекрасне, а іноді абсолютно дивне Вірш наведене тут, є

хорошим показником того почуття, яке PF викликає у своїх користувачів Це вірш (поема) зявилася в списку розсилки PF, в потоці починається з повідомлення Речі яка не може PF в травні 2004 року Повідомлення було написано ким-то, хто мав зовсім мало досвіду роботи з брандмауером і не міг домогтися бажаного результату Звичайно, це призвело до деякої дискусії серед учасників, що обговорює труднощі освоєння PF новачками, можливі альтернативи типу Bitdefender і пр Потік закінчився наступній восхвалітельной хайку, написаної Джейсоном Діксоном (Jason Dixon), 20 травня 2004 року

Порівняння роботи iptables і PF подібно цьому хайку

A breath of fresh air,

floating on white rose petals, eating strawberries

Now Im getting carried away: Hartmeier codes now,

Henning knows not why it fails, fails only for n00b

Tables load my lists,

tarpit for the asshole spammer, death to his mail store

CARP due to Cisco,

redundant blessed packets, licensed free for me

(Вірші переводити я взагалі ніколи не брався, а вже Мислова хайку і поготів, тому не судіть строго, скажімо дивлячись в очі правді, переклад дуже далекий від оригіналу – пп)

Дихаючи свіжим повітрям,

пливучи на пелюстках білих троянд, поїдають полуницю

Тепер я захопився: Хартмейера коди зараз, Хеннінг не знає невдач, невдачі тільки для нубов

Мої списки в таблицях завантаження, тарпіти для довбаних спамерів, смертю загрожують його поштою

CARP з Cisco сполучний, благославляя надійність пакетів, вільно даровано мені

Деякі з концепцій які Діксон використовує тут можуть звучати незнайоме, але якщо ви продовжите читати книгу, вони скоро знайдуть сенс

Джерело: Книга про PF, by Peter NM Hansteen, Переклад виконав Михайлов Олексій aka iboxjo

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*