[Anterior: Atajos para Crear Conjuntos de
Reglas]
[Contenido]
[Siguiente: Scrubbing: Normalización
de Paquetes]
PF: Opciones en Tiempo de
Ejecución
Las opciones se usan para controlar la operación de PF, y se
especifican en el fichero pf.conf usando la directiva
set.
- set block-policy
- Configuración del comportamiento predeterminado para las
reglas de filtrado que especifiquen la
acción de bloqueo, block.
- drop - bloquea el paquete en silencio, sin devolver
ningún paquete a modo de respuesta.
- return - devuelve un paquete TCP RST por paquete TCP
bloqueado, y un paquete ICMP Unreachable para el resto de paquetes.
- Nótese que las reglas de filtrado individuales pueden anular
la respuesta predeterminada.
- set limit
- frags - número máximo de entradas en el
pool de memoria (almacén de memoria) usado para el
reensamblaje de paquetes (vése las reglas de
scrub). El número predeterminado
es de 5.000.
- states - número máximo de entradas en el
pool de memoria usado para las entradas en la tabla de estado
(reglas de filtrado que especifican keep
state). El número predeterminado es de 10.000.
- set loginterface int
- Indicar la interfaz desde la que PF debe recoger
estadísticas, como el número de bytes que han
entrado o salido y los paquetes que han pasado o que se han bloqueado.
Estas estadísticas sólo se pueden recoger para una sola
interfaz por vez. Nótese que los contadores match,
bad-offset, etc... y los contadores de la tabla de estado se
registrarán aunque no se haya configurado
logininterface.
- set optimization
- Optimizar PF para uno de los siguientes entornos de red:
- normal - sirve para para casi todas las redes. Es el
predeterminado.
- high-latency - redes de gran latencia, como las conexiones
por satélite.
- aggressive - fuerza en modo agresivo la terminación
de conexiones de la tabla de estado que hayan alcanzado el límite
de inactividad. Esto puede reducir mucho los requisitos de memoria en
un cortafuegos con mucha actividad, aunque a riesgo de cortar otras
conexiones inactivas demasiado pronto.
- conservative - un tipo de configuración muy
conservadora. Evita cortar las conexiones inactivas, aunque a coste de
una mayor utilización de la memoria y de un ligero incremento en
el uso del procesador.
- set timeout
- interval - segundos que pasan entre las purgas de estados
que han llegado al vencimiento y los fragmentos de paquetes.
- frag - segundos que pasan antes de que venza un fragmento
desensamblado.
Ejemplo:
set timeout interval 10
set timeout frag 30
set limit { frags 5000, states 2500 }
set optimization high-latency
set block-policy return
set loginterface dc0
|
[Anterior: Atajos para Crear Conjuntos de
Reglas]
[Contenidos]
[Siguiente: Scrubbing: Normalización
de Paquetes]
www@openbsd.org
Originally [OpenBSD: options.html,v 1.6 ]
$OpenBSD: options.html,v 1.7 2004/01/04 22:29:12 horacio Exp $
$Translation: options.html,v 1.8 2004/01/04 21:32:07 horacio Exp $