Des options sont utilisées pour contrôler le fonctionnement
de PF. Celles-ci sont spécifiées dans le fichier
pf.conf en utilisant la directive set.
REMARQUE : A partir d'OpenBSD 3.7,
le comportement des options de lancement a changé.
Auparavant, lorsqu'une option était utilisée, elle n'était jamais remise
à sa valeur par défaut, sauf si le jeu de règles était rechargé.
A présent, à chaque fois qu'un jeu de règles est chargé, les options de
lancement sont remises à leurs valeurs par défaut avant que le jeu de
règles ne soit analysé.
Ainsi, si une option est activée puis désactivée depuis le jeu de règles
et que le jeu de règles est rechargé, l'option sera remise à sa valeur
par défaut.
set block-policy option
Paramètre le comportement par défaut des
règles de filtrage qui ont pour
effet de bloquer les paquets (mot-clé "block").
drop - Le paquet est détruit sans aucune
notification.
return - un paquet TCP RST est renvoyé pour les
paquets TCP et un paquet ICMP Unreachable est renvoyé pour
tous les autres.
Il est à noter que les règles de filtrage
individuelles peuvent avoir leur propre réponse.
drop est l'option par défaut.
set debug option
Permet de paramétrer le niveau de débogage de pf.
none - aucun message de débogage n'est
affiché.
urgent - messages de débogage
générés pour les erreurs sérieuses.
misc - messages de débogage
générés pour des erreurs diverses (par exemple
pour voir le statut du sous-système scrub et pour les
échecs de création d'état).
loud - messages de débogage
générés dans des conditions courantes (par
exemple pour voir le statut de l'analyseur passif de signatures OS).
urgent est l'option par défaut.
set debug option
Permet de paramétrer le fichier à partir duquel seront chargées les
signatures de systèmes d'exploitation. Utilisé avec l'analyse passive de l'empreinte des OS.
La valeur par défaut est /etc/pf.os.
set limit option value
Permet de paramétrer différentes limites.
frags - nombre maximal d'entrées dans la zone mémoire
utilisée pour le réassemblage de paquets (règles scrub). La valeur par défaut est 5000.
src-nodes - nombre maximal des entrées dans la zone mémoire
utilisée pour assurer un suivi des adresses IP sources (généré par
les options sticky-address et source-track). La
valeur par défaut est 10000.
states - nombre maximal d'entrées dans la zone mémoire
utilisée pour les entrées de la table d'état (règles de filtrage qui contiennent le mot-clé
keep state). La valeur par défaut est 10000.
tables - nombre maximal de tables tables pouvant être créées. La valeur par
défaut est 1000.
table-entries - La limite globale du nombre d'adresses
pouvant être stockées dans toutes les tables. La valeur par défaut
est 200000.
Si le système à moins de 100 Mo de mémoire physique, la valeur par
défaut est fixée à 100000.
set loginterface interface
Paramètre l'interface pour laquelle PF devra récupérer des
statistiques telles que le nombre d'octets entrants/sortant les
paquets acceptés/bloqués. Les statistiques ne peuvent être
récupérées que pour une interface à la fois. Il est à noter
que les indicateurs match, bad-offset, etc... et
les indicateurs de la table d'état sont enregistrés que
loginterface soit positionnée ou pas.
Pour désactiver cette option, positionnez la à none.
none est l'option par défaut.
set optimization option
Optimise PF pour l'un de ces environnements réseau :
normal - convient à pratiquement tous les
réseaux.
high-latency - réseaux à haute latence tels
que les réseaux à connexion satellite.
aggressive - les connexions expirent plus rapidement de la
table d'état. Les pré-requis mémoire sont ainsi
fortement réduits sur un pare-feu particulièrement
chargé au risque de terminer des connexions inactives trop
rapidement.
conservative - paramétrage extrêmement
conservateur. Contrairement à aggressive, ce
paramétrage évite de terminer les connexions inactives
ce qui se traduit par une plus grande utilisation mémoire et
une utilisation du processeur un peu plus soutenue.
normal est l'option par défaut.
set ruleset-optimization option
Contrôle le fonctionnement de l'optimiseur de jeu de règles PF.
none - désactive complètement l'optimiseur.
basic - active les optimisations suivantes :
suppression des règles dupliquées
suppression des règles qui sont un sous-ensemble d'une autre
règle
rassemblement de multiples règles dans une table lorsque
c'est avantageux
réordonnancement des règles afin d'améliorer les
performances de l'évaluation de ces dernières
profile - utilise le jeu de règles utilisé comme profil de
feedback pour façonner l'ordonnancement des règles contenant le mot-
clé "quick" selon le trafic réseau réel.
Depuis OpenBSD 4.2, la valeur par défaut est basic.
Veuillez consulter
pf.conf(5) pour une description plus complète.
set skip on interface
Saute tous les traitements PF sur
l'interface.
Ceci peut être utile sur une interface de loopback pour laquelle le
filtrage, la normalisation, la mise en queue, etc... ne sont pas
nécessaires. Elle peut être utilisée plusieurs fois.
Elle n'est pas activée par défaut.
set state-policy option
Permet de paramétrer le comportement de PF vis-à-vis
de la préservation de l'état des connexions. Ce
comportement peut être contourné au niveau de chaque
règle. Pour plus de détails, consultez la section de
la FAQ intitulée
Préservation de l'État.
if-bound - les états sont liés à l'interface sur lesquels
ils ont été créés. Si le trafic correspond à une entrée de la table
d'états mais qu'il ne traverse pas l'interface sur laquelle l'état a
été enregistré, cette correspondance est rejetée. Le paquet doit
alors correspondre à une règle de filtrage ou il sera tout
simplement détruit/rejeté.
group-bound - même comportement que if-bound
mis à part que les paquets sont autorisés à
travers des interfaces du même groupe, par exemple toutes les
interfaces ppp, etc...
floating - les états peuvent correspondre à des paquets
sur n'importe quelle interface. Peu importe l'interface qu'il
traverse, un paquet sera accepté tant qu'il correspond à une
entrée dans la table d'états et qu'il transite dans le même sens
qu'il le fit initialement lors de la création de l'état, peu importe
l'interface qu'il traverse, il passera.
floating est l'option par défaut.
set timeout option value
Permet de paramétrer différents timeouts (en secondes).
interval - nombre de secondes entre les purges d'états
expirés et des fragments de paquets.
La valeur par défaut est 10.
frag - nombre de secondes avant qu'un fragment non assemblé
n'expire.
La valeur par défaut est 30.
src.track - nombre de secondes pendant lesquelles garder
l'entrée source tracking en
mémoire après que le dernier état ait expiré.
La valeur par défaut est 0 (zero).
Exemple :
set timeout interval 10
set timeout frag 30
set limit { frags 5000, states 2500 }
set optimization high-latency
set block-policy return
set loginterface dc0
set fingerprints "/etc/pf.os.test"
set skip on lo0
set state-policy if-bound
![[OpenBSD]](../../../images/smalltitle.gif){kind=small}
![[back]](../../../images/back.gif){kind=small}
www@openbsd.org