PF : Principes de Base

Table des Matières

Activation
Configuration
Contrôle

Activation

Pour activer PF, ajoutez la ligne suivante :

pf=YES

au fichier /etc/rc.conf.local

Redémarrez votre système pour que les modifications soient prises en compte.

Vous pouvez aussi activer et désactiver PF en utilisant le programme pfctl(8) :

# pfctl -e # pfctl -d

La première commande active PF (l'option "-e" correspond à "enable"). La seconde commande désactive PF (l'option "- d" correspond à "disable"). Ces commandes ne causent pas le chargement d'une base de règles. Cette dernière doit être chargée séparément avant ou après l'activation de PF.

Configuration

PF lit les règles de configuration à partir du fichier /etc/pf.conf, au démarrage de la machine. Ces règles sont chargées au démarrage par les scripts rc. /etc/pf.conf est le fichier par défaut chargé par ces scripts. C'est un fichier au format texte chargé et interprété par pfctl(8) puis inséré dans pf(4). Pour certaines applications, d'autres bases de règles peuvent être chargées à partir de fichiers différents durant la phase de démarrage. Comme n'importe quelle application Unix bien conçue, PF offre une grande flexibilité.

Le fichier pf.conf se compose de sept parties :

Macros : Variables définies par l'utilisateur pouvant contenir des adresses IP, des noms d'interfaces, etc...
Tables : Structures conçues pour contenir des listes d'adresses IP.
Options : Diverses options pour contrôler le fonctionnement de PF.
Scrub : Retraitement des paquets pour les normaliser et les défragmenter.
Gestion de La Bande Passante : Gère la bande passante et la priorité des paquets.
Traduction ("Translation") : Contrôle la Traduction d'Adresses IP et la redirection de paquets.
Règles de Filtrage : Permet le filtrage sélectif ou le blocage des paquets lorsqu'ils traversent n'importe quelle interface.

A l'exception des macros et des tables, chaque section doit apparaître dans l'ordre précité dans le fichier de configuration. Cependant toutes les sections ne sont pas obligatoires.

Les lignes vides sont ignorées et les lignes commençant par # sont considérées comme des commentaires.

Contrôle

Après le démarrage, PF peut être contrôlé grâce au programme pfctl(8). Voici des exemples de commandes :


     # pfctl -f /etc/pf.conf     Charge le fichier pf.conf
     # pfctl -nf /etc/pf.conf    Analyse le fichier mais ne le charge pas
     # pfctl -Nf /etc/pf.conf    Charge uniquement les règles NAT à partir du fichier
     # pfctl -Rf /etc/pf.conf    Charge uniquement les règles de filtrage à partir du fichier

     # pfctl -sn                 Affiche les règles NAT actuelles 
     # pfctl -sr                 Affiche les règles de filtrage actuelles
     # pfctl -ss                 Affiche la table d'état actuelle
     # pfctl -si                 Affiche les statistiques et les compteurs de filtrage
     # pfctl -sa                 Affiche TOUT ce qu'on est capable d'afficher

Pour une liste complète de commandes, veuillez lire la page du manuel pfctl(8).

[Index] [Suivant : Listes et Macros]

www@openbsd.org
$OpenBSD: config.html,v 1.27 2008/01/13 13:43:34 tobias Exp $