[Précédent : Raccourcis pour La Création des
Jeux de Règles]
[Index]
[Suivant : Scrub (Normalisation de Paquets)]
PF : Options de Fonctionnement
Des options sont utilisées pour contrôler le fonctionnement de PF. Celles-ci
sont spécifiées dans le fichier pf.conf en utilisant la directive set.
- set block-policy
- Paramètre le comportement pour par défaut des règles de filtrage
qui ont pour effet de bloquer les paquets (mot-clé "block").
- drop - Le paquet est détruit sans aucune notification.
- return - un paquet TCP RST est renvoyé pour les paquets TCP et un
paquet ICMP Unreachable est renvoyé pour tous les autres.
- Il est à noter que les règles de filtrage individuelles peuvent avoir leur
propre réponse.
- set limit
- frags - nombre maximal d'entrées dans la zone mémoire utilisée pour
le réassemblage de paquets (règles scrub). La valeur
par défaut est 5000.
- states - nombre maximal d'entrées dans la zone mémoire utilisée
pour les entrées de la table d'état (règles de filtrage
qui contiennent le mot-clé). La valeur par défaut est 10000.
- set loginterface int
- Paramètre l'interface pour laquelle PF devra récupérer des statistiques telles
que le nombre d'octets entrants/sortant les paquets acceptés/bloqués. Les
statistiques ne peuvent être récupérées que pour une interface à la
fois. Il est à noter que les indicateurs
match, bad-offset, etc., et les indicateurs de la table d'état
sont enregistrés que loginterface soit positionnée ou pas.
- set optimization
- Optimise PF pour l'un de ces environnements réseau :
- normal - convient à pratiquement tous les réseaux. Valeur par
défaut.
- high-latency - réseaux à haute latence tels que les réseaux à
connexion satellite.
- aggressive - les connexions expirent plus rapidement de la table
d'état. Les pré-requis mémoire sont ainsi fortement réduits sur un pare-feu
particulièrement chargé au risque de terminer des connexions inactives
trop rapidement.
- conservative - paramétrage extrêmement conservateur. Contrairement
à aggressive, ce paramétrage évite de terminer les connexions
inactives ce qui se traduit par une plus grande utilisation mémoire et une
utilisation du processeur un peu plus soutenue.
- set timeout
- interval - nombre de secondes entre les purges d'états expirés et
de fragments de paquets.
- frag - nombre de secondes avant qu'un fragment non assemblé
n'expire.
Exemple :
set timeout interval 10
set timeout frag 30
set limit { frags 5000, states 2500 }
set optimization high-latency
set block-policy return
set loginterface dc0
|
[Précédent : Raccourcis pour La Création des
Jeux de Règles]
[Index]
[Suivant : Scrub (Normalisation de Paquets)]
www@openbsd.org
Originally [OpenBSD: options.html,v 1.6 ]
$Translation: options.html,v 1.3 2004/01/02 22:10:05 saad Exp $
$OpenBSD: options.html,v 1.3 2004/01/03 19:45:23 jufi Exp $