Opties worden gebruikt om de werking van PF te regelen. Opties worden
gespecificeerd in pf.conf met de set opdracht.
OPMERKING: In OpenBSD 3.7 en later
is het gedrag van runtime opties veranderd.
Voorheen werd een optie, eens die ingesteld was, nooit gereset naar haar
standaardwaarde, zelfs als de regelset herladen werd.
Vanaf OpenBSD 3.7, wanneer een regelset geladen wordt, worden de runtime
opties naar de standaardwaarden gereset alvorens de regelset geparsed wordt.
Dus, als een optie ingesteld is en daarna verwijderd wordt uit de regelset
en de regelset wordt herladen, dan zal de optie gereset worden naar haar
standaardwaarde.
set block-policy optie
Stelt het standaard gedrag in voor filterregels
die de block actie specificeren.
drop - pakket wordt stilzwijgend gedropt.
return - een TCP RST pakket wordt teruggezonden voor geblokkeerde
TCP pakketten en een ICMP Unreachable pakket wordt teruggezonden voor alle
andere.
Merk op dat individuele filterregels het standaard antwoord kunnen
opheffen.
De standaardwaarde is drop.
set debug optie
Stelt het debug-niveau van pf in.
none - er worden geen debug boodschappen vertoond.
urgent - debug boodschappen gegenereerd voor ernstige fouten.
misc - debug boodschappen gegenereerd voor verscheidene fouten
(bv. om de status te zien van de pakket normalizer/scrubber en voor
fouten bij het aanmaken van toestanden).
loud - debug boodschappen gegenereerd voor veel voorkomende
omstandigheden (bv. om de status van de passieve OS fingerprinter te zien).
De standaardwaarde is urgent.
set fingerprints file
Stelt het bestand in waaruit besturingssysteem-fingerprints geladen worden.
Voor gebruik met
passive OS fingerprinting.
De standaardwaarde is /etc/pf.os.
set limit optie waarde
Stel verscheidene beperkingen in wat betreft de werking van pf.
frags - maximaal aantal entries in de geheugen-pool gebruikt
voor pakket-herassemblage (scrub regels).
Standaardwaarde is 5000.
src-nodes - maximaal aantal entries in de geheugen-pool gebruikt
om bron IP adressen te traceren (gegenereerd door de
sticky-address en source-track opties).
Standaardwaarde is 10000.
states - maximaal aantal entries in de geheugen-pool gebruikt
voor entries in de toestandstabel (filterregels die
keep state specificeren). Standaardwaarde is 10000.
tables - maximum aantal
tabellen die aangemaakt kunnen worden.
De standaardwaarde is 1000.
table-entries - de algemene limiet op hoeveel adressen kunnen
bewaard worden in alle tabellen.
De standaardwaarde is 200000.
Als het systeem minder dan 100MB fysisch geheugen heeft, wordt de
standaardwaarde ingesteld op 100000.
set loginterface interface
Stelt de interface in waarvoor PF statistieken moet verzamelen zoals
bytes in/uit en pakketten doorgelaten/geblokkeerd. Statistieken kunnen slechts
voor ййn interface per keer verzameld worden. Merk op dat de
match, bad-offset, etc., tellers en de toestandstabel-tellers
geregistreerd worden ongeacht of loginterface ingesteld is of niet.
Om deze optie uit te schakelen, zet ze op none.
De standaardwaarde is none.
set optimization optie
Optimaliseer PF voor ййn van de volgende netwerkomgevingen:
normal - geschikt voor bijna alle netwerken.
high-latency - high latency netwerken zoals satellietverbindingen.
aggressive - laat op aggressieve wijze verbindingen uit de
toestandstabel verstrijken. Dit kan de geheugenvereisten enorm reduceren op
een drukke firewall met het risico dat ongebruikte verbindingen vroegtijdig
gedropt worden.
conservative - extreem conservatieve instellingen. Dit vermijdt
het laten vallen van ongebruikte verbindingen ten koste van groter
geheugengebruik en lichtjes toegenomen processorgebruik.
De standaardwaarde is normal.
set ruleset-optimization option
Beheer de werking van de PF regelset optimalisatie.
none - schakel de optimalisatie volledig uit.
basic - schakelt de volgende regelset optimalisaties in:
verwijder dubbele regels
verwijder regels die een subset zijn van een andere regel
combineer meerdere regels in een tabel als dat voordelig is
her-rangschik de regels om evaluatie-performantie te verbeteren
profile - gebruikt de momenteel ingeladen regelset als feedback
profiel om de volgorde van quick regels op maat af te stemmen op het
werkelijke netwerkverkeer.
Vanaf OpenBSD 4.2 is de standaardinstelling basic.
Zie
pf.conf(5) voor een meer volledige beschrijving.
set skip on interface
Sla alle PF verwerking over op interface.
Dit kan nuttig zijn op loopback interfaces waar filteren,
normalisatie, queueing, enz, niet vereist zijn.
Deze optie kan meerder keren gebruikt worden.
Standaard is deze optie niet ingesteld.
set state-policy optie
Stelt het gedrag van PF in wat betreft toestand bijhouden.
Dit gedrag kan ook opgeheven worden op een per-regel basis.
Zie Toestand Bijhouden.
if-bound - toestanden worden verbonden aan de interface waarop
ze aangemaakt worden.
Als verkeer overeenstemt met een entry in de toestandstabel maar niet
langs de interface gaat die geregistreerd staat in die toestandsentry, dan
wordt de overeenstemming verworpen.
Het pakket moet dan overeenstemmen met een filterregel of zal geheel
gedropt/verwijderd worden.
group-bound - zelfde gedrag als if-bound behalve dat
pakketten toegelaten worden om langs interfaces in dezelfde groep te gaan,
bv. alle ppp interfaces, enz.
floating - toestanden kunnen met pakketten overeenstemmen op
gelijk welke interface. Zolang het pakket overeenstemt met een toestandsentry
en in dezelfde richting gaat als op de interface waar de toestand aangemaakt
werd, maakt het niet uit langs welke interface het gaat, het zal doorgelaten
worden.
De standaardwaarde is floating.
set timeout optie waarde
Stel verscheidene timeouts in (in seconden).
interval - seconden tussen zuiveringen van verlopen toestanden
en pakketfragmenten.
De standaardwaarde is 10.
frag - seconden voordat een ongeassembleerd fragment vervalt.
De standaardwaarde is 30.
src.track - aantal seconden om een
source tracking entry in het geheugen
te houden nadat de laatste toestand vervalt.
De standaardwaarde is 0 (nul).
Voorbeeld:
set timeout interval 10
set timeout frag 30
set limit { frags 5000, states 2500 }
set optimization high-latency
set block-policy return
set loginterface dc0
set fingerprints "/etc/pf.os.test"
set skip on lo0
set state-policy if-bound
![[OpenBSD]](../../../images/smalltitle.gif){kind=small}
![[terug]](../../../images/back.gif){kind=small}
www@openbsd.org