[Precedente: Ottimizzazione delle regole di configurazione] [Indice] [Successivo: Scrub (Packet Normalization)]

PF: Opzioni Runtime

Le opzioni vengono usate per controllare le operazioni di PF. Le opzioni sono definite in pf.conf utilizzando la direttiva set.

NOTE: Il comportamento delle opzioni runtime è cambiato a partire dalla versione 3.7 di OpenBSD. Precedentemente una volta che l'opzione era definita, non veniva mai resettata al valore di default, anche ricaricando le regole di configurazione. A partire da OpenBSD 3.7, ogni volta che le regole di configurazione sono caricate e prima di essere analizzate, le opzioni runtime sono riportate ai valori di default. Così se un'opzione è definita e successivamente rimossa dalle regole di configurazione, quando queste ultime vengono ricaricate le opzioni saranno riportate al loro valore di default.

set block-policy option

Configura il comportamento di default per le regole di filtraggio che specificano l'azione block.

• drop - il pacchetto viene gettato senza alcuna risposta.
• return - viene inviato un pacchetto TCP RST per i pacchetti TCP bloccati mentre nel resto dei casi viene inviato un pacchetto ICMP Unreachable.

C'è da notare che regole individuali del filtro possono escludere la risposta di default. La default è drop.

set debug option

Configura il livello di debugging.

• none - non viene mostrato alcun messaggio di debugging.
• urgent - vengono mostrati i messaggi solo in caso di errori seri.
• misc - vengono generati messaggi in caso di diversi errori (per esempio, per vedere lo stato di normalizzazione/scrub del pacchetto e nel caso di problemi nella creazione di stati).
• loud - Il debug viene generato in caso di circostanze comuni (per esempio nel caso di OS fingerprinter).

Il default è urgent.

set fingerprints file

Configura il file dal quale si caricano i fingerprint dei sistemi operativi, da usare con il Passiv OS Fingerprinting dei sistemi operativi. Il default è /etc/pf.os.

set limit option value

Configura diversi limiti sulle operazioni di PF.

• frags - Indica il numero massimo di dati conservati in memoria utilizzati per il riassemblaggio dei pacchetti (regole di scrub). Il default è 5000.
• src-nodes - Indica il numero massimo di dati conservati in memoria per il tracciamento di indirizzi IP sorgente (generati dalle opzioni sticky-address e source-track). Il default è 10000.
• states - Indica il numero massimo di dati conservati in memoria e utilizzati per i dati della tabella di stato (regole del filtro che specificano il keep state). Di default è 10000.
• tables - massimo numero di tabelle che possono essere create. Di default 1000.
• table-entries - il limite massimo di quanti indirizzi possono essere conservati in tutte le tabelle. Di default 200000. Se il sistema ha meno di 100MB di memoria, il default è 100000.

set loginterface interface

Indica l'interfaccia sulla quale PF dovrebbe raccogliere statistiche come byte in arrivo e uscita e pacchetti passati o bloccati. Le statistiche possono essere raccolte solo per una interfaccia alla volta. Da notare che i contatori match, bad-offset, ecc., e i contatori della tabella di stato vengono registrati comunque, qualunque sia la configurazione di loginterface. Per disattivare questa opzione configurarla a none. Di default è none.

set optimization option

Ottimizzare PF per uno dei seguenti tipi di network:

• normal - adatta a quasi tutte le network.
• high-latency - network ad alto ritardo come nel caso di connessioni satellitali.
• aggressive - rimozione veloce dalla tabella di stato, questo riduce drasticamente la richiesta di memoria su un firewall a pieno carico con il rischio di perdere qualche connessione lenta.
• conservative - configurazione estremamente conservativa. Evita che gli stati di connessioni lente siano cancellati dalla tabella di stato a discapito della notevole richiesta di memoria necessaria e un leggero incremento nell'utilizzo del processore.

Di default è normal.

set ruleset-optimization option

Controlla le operazioni di ottimizzazione di PF.

• none - disabilita l'intera ottimizzazione.
• basic - abilita le seguenti regole di ottimizzazione:
  1. rimuove le regole duplicate
  2. rimuove regole che sono un sottoinsieme di altre regole
  3. se conveniente unisce regole multiple in una tabella
  4. riordina le regole per migliorare le prestazioni di prova
• profile - utilizza le regole correnti come riferimento per adeguare l'ordinamento veloce delle regole al traffico reale di rete.

A partire da OpenBSD 4.2, il default è basic. Vedere pf.conf(5) per una completa descrizione.

set skip on interface

Salta tutti i processi di PF per interface. Questo può essere utile per l'interfaccia di loopback dove filtraggio, normalizzazione, queueing, ecc, non sono richiesti. Questa opzione può essere usata più di una volta e di default non è prevista.

set state-policy option

Configura PF quando si utilizza il keeping state. Questo comportamento può essere escluso in ogni regola. Vedi Keeping State.

• if-bound - Gli stati sono limitati all'interfaccia che li ha creati. Se vi è una corrispondenza con la tabella di stato ma il traffico è riferito a un altra interfaccia, la corrispondenza non è accettata. Il pacchetto, inoltre, deve avere corrispondenza con la regola del filtro o verrà gettato e respinto.
• group-bound - stesso comportamento di if-bound ma sono consentiti i passaggi attraverso le interfaccie che appartengono allo stesso gruppo, come ad esempio tutte le interfaccie ppp, ecc.
• floating - I pacchetti possono avere corrispondenze con gli stati su ogni interfaccia. Il pacchetto che ha una corrispondenza con la tabella e attraversa l'interfaccia nella stessa direzione che aveva nella creazione dello stato verrà lasciato passare attraverso qualunque interfaccia.

Di default è floating.

set timeout option value

Configurazione di diversi timeout (in secondi).

• interval - secondi tra il termine di uno stato della tabella e i frammenti del pacchetto. Di default è 10.
• frag - tempo, espresso in secondi, dedicato a un frammento disassemblato prima di venire gettato. Di default è 30.
• src.track - tempo, espresso in secondi, per conservare un dato del source tracking in memoria dopo che l'ultimo stato viene cancellato. Di default vale 0 (zero).

Esempio:

set timeout interval 10 set timeout frag 30 set limit { frags 5000, states 2500 } set optimization high-latency set block-policy return set loginterface dc0 set fingerprints "/etc/pf.os.test" set skip on lo0 set state-policy if-bound

[Precedente: Ottimizzazione delle regole di configurazione] [Indice] [Successivo: Scrub (Packet Normalization)]