[Wstecz: Skracanie zestawów reguł]
[Spis treści]
[Dalej: Scrub (normalizacja pakietów)]
PF: Opcje w czasie działania
Opcje są wykorzystywane do kontroli pracy PF. Są one specyfikowane w
pf.conf przy pomocy dyrektywy set.
- set block-policy
- Ustala domyślną akcję dla reguł filtrujących
block w przypadku odrzucenia pakietu.
- drop - pakiet jest porzucany (dropped).
- return - wysyła TCP RST przy blokowaniu pakietów TCP,
ICMP Unreachable (nieosiągalny) dla wszystkich pozostałych pakietów.
- Warto zauważyć, że indywidualne reguły filtrujące mogą wymuszać inne niż
domyślne zachowanie.
- set limit
- frags - maksymalna liczba wpisów w puli pamięci (memory pool)
wykorzystywanych do defragmentacji pakietów (reguły
scrub). Domyślnie jest to 5000.
- states - maksymalna liczba wpisów w puli pamięci (memory pool)
wykorzystywanych przez wpisy tabeli stanów (reguły
filtrujące, które zawierają opcje
keep state). Domyślnie jest to 10000.
- set loginterface int
- Ustaw interfejs sieciowy, dla którego PF powinno zbierać statystyki takie
jak ilość wysłanych/odebranych bajtów, liczba przepuszczonych/zablokowaych
pakitów, itp. Statystyki mogą być zbierane tylko dla jednego interfejsu
na raz. Proszę zwrócić uwagę na fakt, że liczniki match,
bad-offset, itp, oraz liczniki tabeli stanów są cały czas aktywne bez
względu na to, czy opcja loginterface jest ustawiona, czy nie.
- set optimization
- Optymalizaja PF dla jednego z następujących środowisk sieciowych:
- normal - właściwe dla prawie wszystkich sieci. Jest ono stosowane
domyślnie.
- high-latency - środowisko z dużymi opóźnieniami
(takie jak połączenia satelitarne).
- aggressive - agresywnego przeterminowywana połączeń w tabeli
stanów. Powoduje to ogólną redukcje zużycia pamięci na obciążonych
firewallach kosztem ryzyka zbyt wczesnego porzucania nawiązanych połączeń.
- conservative - bardzo zachowawcze ustawienie, zapobiegające
zrywaniu nawiązanych połączeń kosztem większego zużycia pamięci i przy
nieznacznym wzroście wykorzystania procesora.
- set timeout
- interval - odstęp czasu (w sekundach) pomiędzy usunięciem
wygasłych stanów i fragmentów.
- frag - ilość sekund, po których niezłożone fragmenty tracą ważność.
Przykład:
set timeout interval 10
set timeout frag 30
set limit { frags 5000, states 2500 }
set optimization high-latency
set block-policy return
set loginterface dc0
|
[Wstecz: Skracanie zestawów reguł]
[Spis treści]
[Dalej: Scrub (normalizacja pakietów)]
www@openbsd.org
Originally [OpenBSD: options.html,v 1.6 ]
$Translation: options.html,v 1.5 2004/01/12 17:37:45 pl-team Exp $
$OpenBSD: options.html,v 1.4 2004/01/16 21:01:34 jufi Exp $