[Anterior: Atajos para Crear Conjuntos de Reglas] [Contenido] [Siguiente: Scrubbing: Normalización de Paquetes]

PF: Opciones en Tiempo de Ejecución

Las opciones se usan para controlar la operación de PF, y se especifican en el fichero pf.conf usando la directiva set.

set block-policy

Configuración del comportamiento predeterminado para las reglas de filtrado que especifiquen la acción de bloqueo, block.

• drop - bloquea el paquete en silencio, sin devolver ningún paquete a modo de respuesta.
• return - devuelve un paquete TCP RST por paquete TCP bloqueado, y un paquete ICMP Unreachable para el resto de paquetes.

Nótese que las reglas de filtrado individuales pueden anular la respuesta predeterminada.

set limit

frags - número máximo de entradas en el pool de memoria (almacén de memoria) usado para el reensamblaje de paquetes (vése las reglas de scrub). El número predeterminado es de 5.000.

states - número máximo de entradas en el pool de memoria usado para las entradas en la tabla de estado (reglas de filtrado que especifican keep state). El número predeterminado es de 10.000.

set loginterface int

Indicar la interfaz desde la que PF debe recoger estadísticas, como el número de bytes que han entrado o salido y los paquetes que han pasado o que se han bloqueado. Estas estadísticas sólo se pueden recoger para una sola interfaz por vez. Nótese que los contadores match, bad-offset, etc... y los contadores de la tabla de estado se registrarán aunque no se haya configurado logininterface.

set optimization

Optimizar PF para uno de los siguientes entornos de red:

• normal - sirve para para casi todas las redes. Es el predeterminado.
• high-latency - redes de gran latencia, como las conexiones por satélite.
• aggressive - fuerza en modo agresivo la terminación de conexiones de la tabla de estado que hayan alcanzado el límite de inactividad. Esto puede reducir mucho los requisitos de memoria en un cortafuegos con mucha actividad, aunque a riesgo de cortar otras conexiones inactivas demasiado pronto.
• conservative - un tipo de configuración muy conservadora. Evita cortar las conexiones inactivas, aunque a coste de una mayor utilización de la memoria y de un ligero incremento en el uso del procesador.

set timeout

interval - segundos que pasan entre las purgas de estados que han llegado al vencimiento y los fragmentos de paquetes.

frag - segundos que pasan antes de que venza un fragmento desensamblado.

Ejemplo:

set timeout interval 10 set timeout frag 30 set limit { frags 5000, states 2500 } set optimization high-latency set block-policy return set loginterface dc0

[Anterior: Atajos para Crear Conjuntos de Reglas] [Contenidos] [Siguiente: Scrubbing: Normalización de Paquetes]