Отладка PF

                                                                                      Опция debug  определяет, что если таковые имеются, информация об ошибке  PF будет генерироваться на уровне журнала kern.debug. Значения по умолчанию err, означает, что только  серьезные  ошибки  будут  журналироваться.  Начиная  с  OpenBSD  4.7  уровень журналирования здесь  соответствует  обычным  уровням  системного  журнала,  которые варьируются с emerg (входят также сообщения о панике), alert (исправляемые, но очень серьезные  ошибки  журналируются),  crit  (критические  ошибки   журналируются),  err (ошибки журналируются), warning (предупреждения журанлируются), notice (необычные условия  журналируются),  info   (информационные  сообщения  журналируются),  debug (полная отладочная информация, скорее всего, полезно только для разроботчиков).

В версиях предыдущих OpenBSD 4.7, PF использовал только свой собственных уровень журналирования, с настройками по умолчанию urgent (эквивалентным err сообщениям в новой системе). Другие возможные настройки были none (вообще без сообещений), misc (отчетность чуть большая, чем urgent) и loud  (сообщения о состоянии для большинства операций). Синтаксический анализатор pfctl все еще понимает старый стиль правил для совместимости.

После запуска на одном из моих шлюзов в debug уровне через небольшое время, это то, что является типичным куском журнала /var/log/messages файл сообщений выглядел так:

$ tail -f /var/log/messages

Oct 4 11:41:11 skapet /bsd: pf_map_addr: selected address 194.54.107.19

Oct 4 11:41:15 skapet /bsd: pf: loose state match: TCP 194.54.107.19:25 194.54.107.19:25 158.36.191.135:62458 [lo=3178647045 high=3178664421 win=33304

modulator=0 wscale=1] [lo=3111401744 high=3111468309 win=17376 modulator=0

wscale=0] 9:9 R seq=3178647045 (3178647044) ack=3111401744 len=0 ackskew=0 pkts=9:12

Oct 4 11:41:15 skapet /bsd: pf: loose state match: TCP 194.54.107.19:25 194.54.107.19:25 158.36.191.135:62458 [lo=3178647045 high=3178664421 win=33304

modulator=0 wscale=1] [lo=3111401744 high=3111468309 win=17376 modulator=0 wscale=0] 10:10 R seq=3178647045 (3178647044) ack=3111401744 len=0 ackskew=0

pkts=10:12

Oct 4 11:42:24 skapet /bsd: pf_map_addr: selected address 194.54.107.19

Как вы может видеть, debug уровень дает детальный просмотр там, где PF неоднократно отчитывается  по  обрабатываемым  IP  адресам  на  интерфейсе.  В  промежутках  между выбранными сообщениями адрес, PF предупреждает два раза об одном и том же пакете, порядковый  номер  находится  на  самом  краю  ожидаемого  диапазона.  Такой  уровень детализации  кажется  почти   захватывающим,  на  первый  взгляд,  но  в  некоторых обстоятельствах, изучение этого вида вывода является лучшим способом для диагностики проблемы, а затем проверки, действительно ли ваше решение помогло.

Замечание:

Эта опция может быть установлена из командной строки с использованием pfctl –x, следующим уровнем отладки нужным именно вам. Команда pfctl –x debug дает вам максимум отладочной информации; pfctl –x none  выключает отладочные сообщения полностью.

Помните, что некоторые отладочные настройки могут производить огромное количество журнальных данных, и в экстремальных случаях, могут повлиять на производительность вплоть до уровня самоотказа в обслуживании.

Источник: Книга о PF, by Peter N.M. Hansteen, Перевод выполнил Михайлов Алексей aka iboxjo

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий