[前に戻る: ルールセット作成の近道] [目次] [次に進む: スクラブ (scrub: パケットの正規化)]

PF: 実行時オプション

オプションは PF の動作を制御するために使用されます。オプションは set ディレクティブを使用して pf.conf で指定します。

set block-policy

block 動作を指定するフィルタ ルールのためのデフォルトの挙動を設定します。

• drop - パケットは黙って廃棄されます。
• return - ブロックされた TCP パケットに対して TCP RST パケットが返され、 他のすべてのパケットに対しては ICMP UNREACHABLE パケットが返されます。

個々のフィルタルールはデフォルトの応答でオーバーライド可能であることに注意してください。

set limit

frags - パケットの再構成 (scrub ルール) を行うために使用されるメモリプール中のエントリの最大の数を指定します。 デフォルトは 5000 です。

states - 状態テーブルエントリ (keep state が指定された フィルタルール) に使用されるメモリプール中のエントリの 最大の数を指定します。デフォルトは 10000 です。

set loginterface int

PF の着信/送出バイト数や通過/ブロックパケット数などの 統計情報を収集すべきインターフェイスを設定します。統計情報は、一度に ひとつのインターフェイスからのみ収集可能です。 match や bad-offset などのカウンタや状態テーブルのカウンタは、 loginterface がセットされているかどうかに関わらず記録されている ということに注意してください。

set optimization

PF を次のネットワーク環境のひとつに応じて最適化します。

• normal - ほとんどすべてのネットワークに適合します。 これはデフォルトの動作です。
• high-latency - サテライト接続のような遅延の大きな ネットワーク用です。
• aggressive - 強引に状態テーブルから接続を除去します。 これは、早期にアイドル状態の接続を切断してしまう危険性を承知の上で、 ビジー状態のファイアウォールのメモリ要求量を大胆に減少させることができます。
• conservative - 極端に保守的な設定です。これは、 より多くのメモリ消費量と若干の CPU 使用量の増加を犠牲にしても、 アイドル状態の接続を切断しないようにします。

set timeout

interval - 失効した状態の排除からパケットのフラグメント (断片) 化 までの間の秒数

frag - 再構成されていないフラグメントが失効するまでの秒数

例:

set timeout interval 10 set timeout frag 30 set limit { frags 5000, states 2500 } set optimization high-latency set block-policy return set loginterface dc0

[前に戻る: ルールセット作成の近道] [目次] [次に進む: スクラブ (scrub: パケットの正規化)]