Las opciones se usan para controlar la operación de PF, y se
especifican en el fichero pf.conf usando la directiva
set.
set block-policy
Configuración del comportamiento predeterminado para las
reglas de filtrado que especifiquen la
acción de bloqueo, block.
drop - bloquea el paquete en silencio, sin devolver
ningún paquete a modo de respuesta.
return - devuelve un paquete TCP RST por paquete TCP
bloqueado, y un paquete ICMP Unreachable para el resto de paquetes.
Nótese que las reglas de filtrado individuales pueden anular
la respuesta predeterminada.
set debug
Establece el nivel de depuración de pf.
none - ningún mensaje de depuración es mostrado.
urgent - mensajes de depuración generador por errores serios.
Predeterminado.
misc - mensajes de depuración generados por varios errores
(ejemplo: para ver el estado del normalizador de paquetes y las fallas al
crear estados).
loud - mensajes de depuración generados por condiciones comunes
(ejemplo: para ver el estado de la identificación pasiva del SO).
set fingerprints archivo
Establece el archivo desde el que se cargarán los fingerprints de
los sistemas operativos. Para su uso con la identificación pasiva del SO.
El archivo predeterminado es /etc/pf.os.
set limit
frags - número máximo de entradas en el
pool de memoria (almacén de memoria) usado para el
reensamblaje de paquetes (vése las reglas de
scrub). El número predeterminado
es de 5000.
src-nodes - número máximo de entradas en la reserva de memoria
usada para seguirle la pista a las direcciones IP de origen (generadas por
las opciones sticky-address y source-track).
El número predeterminado es 10000.
states - número máximo de entradas en el
pool de memoria usado para las entradas en la tabla de estado
(reglas de filtrado que especifican keep
state). El número predeterminado es de 10.000.
set loginterface int
Indicar la interfaz desde la que PF debe recoger
estadísticas, como el número de bytes que han
entrado o salido y los paquetes que han pasado o que se han bloqueado.
Estas estadísticas sólo se pueden recoger para una sola
interfaz por vez. Nótese que los contadores match,
bad-offset, etc... y los contadores de la tabla de estado se
registrarán aunque no se haya configurado
logininterface.
set optimization
Optimizar PF para uno de los siguientes entornos de red:
normal - sirve para para casi todas las redes. Es el
predeterminado.
high-latency - redes de gran latencia, como las conexiones
por satélite.
aggressive - fuerza en modo agresivo la terminación
de conexiones de la tabla de estado que hayan alcanzado el límite
de inactividad. Esto puede reducir mucho los requisitos de memoria en
un cortafuegos con mucha actividad, aunque a riesgo de cortar otras
conexiones inactivas demasiado pronto.
conservative - un tipo de configuración muy
conservadora. Evita cortar las conexiones inactivas, aunque a coste de
una mayor utilización de la memoria y de un ligero incremento en
el uso del procesador.
set state-policy
Establece el comportamiento de PF en lo que respecta al mantenimiento de
estados.
Este comportamiento puede ser anulado en cada regla.
Vea Manteniendo estados.
if-bound - los estados son vinculados con la interfaz en la que
fueron creados.
Si el tráfico coincide con una entrada en la tabla de estados pero no está
cruzando la interfaz registrada en esa entrada, la coincidencia es
rechazada.
El paquete debe entonces coincidir con una regla de filtrado o será
desechado/rechazado del todo.
group-bound - el mismo comportamiento que if-bound
excepto que los paquetes pueden cruzar interfaces del mismo grupo, es decir,
todas las interfaces ppp, etc.
floating - los estados pueden coincidir con los paquetes en
cualquier interfaz.
Mientras el paquete coincida con una entrada no importa qué interfaz esté
cruzando, el paquete pasará.
Ésta es la configuración predeterminada.
set timeout
interval - segundos que pasan entre las purgas de estados
que han llegado al vencimiento y los fragmentos de paquetes.
frag - segundos que pasan antes de que venza un fragmento
desensamblado.
Ejemplo:
set timeout interval 10
set timeout frag 30
set limit { frags 5000, states 2500 }
set optimization high-latency
set block-policy return
set loginterface dc0
set fingerprints /etc/pf.os.test
set state-policy if-bound
![[Índice]](../../../images/back.gif){kind=small}
![[OpenBSD]](../../../images/smalltitle.gif){kind=small}