[Zurück: Shortcuts zum Erzeugen von Regelwerken]
[Inhalt]
[Weiter: Scrub (Paketnormalisierung)]
PF: Laufzeit Optionen
Optionen steuern die Arbeitsweise des PF. Die Optionen werden in der
pf.conf mit der set Anweisung gesetzt.
- set block-policy
- Voreinstellung für das Verhalten von
Filterregeln, die Pakete mit block
blockieren
- drop - das Paket wird ohne Antwort verworfen.
- return - ein TCP RST Paket wird für blockierte TCP Pakete,
ein ICMP UNREACHABLE wird für alle anderen zurückgesendet.
- Individuelle Filterregeln können das so voreingestellte
Antwortverhalten überschreiben.
- set limit
- frags - die maximale Anzahl von Einträgen die im gemeinsamen
Speicherbereich für die Paketwiederzusammensetzung genutzt wird
(scrub Regeln). Voreingestellt ist 5000.
- states - maximum number of entries in the memory pool used
for state table entries (filter rules that
specify keep state). Default is 10000.
- set loginterface int
- Sets the interface for which PF should gather statistics such as bytes
in/out and packets passed/blocked. Statistics can only be
gathered for one interface at a time. Note that the
match, bad-offset, etc., counters and the state table
counters are recorded regardless of whether loginterface is set
or not.
- set optimization
- Optimize PF for one of the following network environments:
- normal - suitable for almost all networks. This is the
default.
- high-latency - high latency networks such as satellite
connections.
- aggressive - aggressively expires connections from the state
table. This can greatly reduce the memory requirements on a busy
firewall at the risk of dropping idle connections early.
- conservative - extremely conservative settings. This avoids
dropping idle connections at the expense of greater memory utilization
and slightly increased processor utilization.
- set timeout
- interval - seconds between purges of expired states and
packet fragments.
- frag - seconds before an unassembled fragment is expired.
Example:
set timeout interval 10
set timeout frag 30
set limit { frags 5000, states 2500 }
set optimization high-latency
set block-policy return
set loginterface dc0
|
[Zurück: Shortcuts zum Erzeugen von Regelwerken]
[Inhalt]
[Weiter: Scrub (Paketnormalisierung)]
www@openbsd.org
Originally [OpenBSD: options.html,v 1.6 ]
$Translation: options.html,v 1.3 2004/02/15 23:53:04 jufi Exp $
$OpenBSD: options.html,v 1.3 2004/02/16 00:29:50 jufi Exp $