Часто задаваемые вопросы (FAQ) о PF

Этот раздел основан на вопросах, которые мне задавали по электронной почте или на конференциях,  а  так  же  тех,  которые  появились  в  списках  рассылки  и  форумах. Некоторые из наиболее общих вопросов рассматриваются здесь в формате FAQ8.

Могу ли я запустить PF на своей Linux машине?

Если отвечать одним словом –  нет. На протяжении многих лет в списках  рассылки появлялись заявления, что начато портирование PF на Linux, но на момент написания этой книги, всё ещё нет утверждения что задача решена. Основная причина этого, вероятно, состоит в том, что PF разработан, прежде всего, как неотъемлемая часть сетевого стека OpenBSD. Даже после более  чем  десятилетнего параллельного развития код OpenBSD содержит достаточно много общего с другими BSD системами, что позволяет осуществить перенос, но портирование PF на не-BSD системы потребует переписывания значительных кусков кода PF, и частей интеграции на целевой системе. Несколько простых  советов ориентирующих пользователей Linux в BSD представлены в на странице 6 "Указания для пользователей Linux".

Можете   ли   вы   порекомендовать  графический   интерфейс   для   управления набором правил PF?

Эта   книга,   большей   частью,   ориентирована   на   пользователей,   которые   будут редактировать набор правил в своём любимом текстовом  редакторе. Образцы наборов

правил,  приведённых  в  книге,  достаточно  просты,  и  возможно,  вы  не   получите

преймущества   от   различных   вариантов   инструментов   визуализации   графического интерфейса. Общая проблема в том, что конфигурационные файлы PF легко читаемы, т.ч. графический интерфейс, на самом деле, не является крайне необходимым.

В любом случае, существует несколько графических инструментов, которые  позволяют редактировать и/или генерировать конфигурацию PF, в том числе и специализированный

дистрибутив  FreeBSD  называемый  pfSense  (http://pfsense.org),  включающий   в  себя

достаточно комплексный GUI редактор.

Я рекомендую изучить эту книгу, особенно части относящие к вашей ситуации, а затем решить вопрос о необходимости использования GUI.

Имеется ли инструментарий, позволяющий преобразовать мои настройки другого брандмауэра в конфигурацию PF?

Лучшая стратегия переноса настроек сети, в том числе и настроек брандмауэра, с одного ПО  на  другое  –  собрать  спецификации  и  политики  конфигурации  вашей  сети  или

брандмауэра, а затем реализовать политики используя новый инструмент.

Прочие продукты неизбежно будут иметь иной набор функциональных возможностей и отличную  конфигурацию, отражающую различные  подходы к  конкретным  проблемам, которые  может  быть  непросто  сопоставить  с  особенностями  PF  и  связанных  с  ним инструментов.

Документирование политики с поддержанием актуального состояния  документации по мере внесения изменений сильно облегчает вам жизнь.  Данная документация должна содержать полную спецификацию того, достижению чего способствуют ваши настройки. (Вы  можете  начать  с  комментирования  файла  конфигурации  для  объяснения  целей каждого   создаваемого  правила).  Это  позволяет  убедиться,  является  конфигурация рациональной реализацией проектируемых целей.

8  Трёх буквенная абревиатура FAQ расшифровывается как часто задаваемые вопросы или как часто отвечаемые вопросы – оба значения имеют силу.

Обычно системный администратор ищет пути автоматического преобразования настроек, и  это  вполне понятно. Я призываю  вас  противостоять таким  желаниям и  выполнять перенос   настроек   только   после   переоценки   вашего   технического   оснащения   и потребностей   бизнес-процесса,   и,   желательно,   после   создания   или   обновления формальной спецификации и политики.

Некоторые   из   инструментов   обладающих   адинистративным   интерфейсом   имеют возможность  формирования  файлов  конфигурации  для  нескольких  различных  типов брандмауэров  и,  вполне  очевидно,  могут   использоваться  в  качестве  инструментов преобразования настроек. Однако,  при этом возникает эффект создания нового уровня абстракции  между  вами  и  вашим  набором  правил,  что  ставит  вас  в  зависимость  от понимания  автора  инструмента о  том,  как  работает набор  правил  PF.  Я рекомендую ознакомиться с  соответствующими частями этой книги, прежде чем  начинать  тратить время  на   серьёзное  рассмотрение  проблемы  автоматизированного   преобразования настроек.

Почему вдруг изменился синтаксис правил PF?

Мир меняется, а вместе с ним меняется и PF. В частности, разработчики OpenBSD очень активно и весьма критично относятся к своему коду, и  соответственно как и все части

OpenBSD, код PF находится под постоянным контролем. Уроки извлечённые в  течение

почти десяти лет развития и использования PF привели к внутренним изменениям кода, который в конечном счёте ясно дал понять разработчикам, что незначительное изменение синтаксиса имело бы смысл. Для пользователей, результатом стало то, что PF стал проще в использовании и работает лучше чем в более ранних версиях. Если вы обновите свою систему до OpenBSD 4.7 или выше, вы почувствуете реальное удовольствие от работы.

Где я могу узнать больше?

Существует несколько хороших источников информации о PF и системах на которых он работает. Один из них вы найдёте в этой книге. Ссылки на печатные издания вы можете

обнаружить в Приложении А.

Если  у  вас  есть  BSD  системы  с  установленным  PF,  обратитесь  к  man  страницам руководства для получения информации о особенностях текущей  версии PF. Если не указано иное, информация этой книги относится к системе OpenBSD 4.8.

Маленькое восхваление: Хайку о PF

Если вы всё таки не совсем уверены – предложим небольшую долю  восхваления. За прошедшие годы многие люди много говорили и писали о PF – иногда странное, иногда

прекрасное, а иногда совершенно странное. Стихотворение приведённое здесь, является

хорошим показателем того чувства, которое PF вызывает у своих  пользователей. Это стихотворение  (поэма)  появилась  в  списке  рассылки  PF,  в  потоке  начинавшемся  с сообщения "Вещи которое не может PF?" в мае 2004 года. Сообщение было написано кем- то, кто имел совсем мало опыта работы  с  брандмауэром и не мог добиться желаемого результата. Конечно, это привело к некоторой дискуссии среди участников, обсуждающей трудность освоения PF новичками, возможные альтернативы типа Bitdefender и пр. Поток закончился следующей восхвалительной хайку, написанной Джейсоном Диксоном (Jason Dixon), 20 мая 2004 года.

Сравнение работы iptables и PF подобно этому хайку

A breath of fresh air,

floating on white rose petals, eating strawberries.

Now I’m getting carried away: Hartmeier codes now,

Henning knows not why it fails, fails only for n00b.

Tables load my lists,

tarpit for the asshole spammer, death to his mail store.

CARP due to Cisco,

redundant blessed packets, licensed free for me.

(Стихи переводить я вообще никогда не брался, а уж мысловые хайку и подавно, поэтому не судите строго, скажем глядя в глаза правде, перевод весьма далёк от оригинала – п.п.)

Дыша свежим воздухом,

плывя на лепестках белых роз, поедаю клубнику.

Теперь я увлёкся: Хартмейера коды сейчас, Хеннинг не знает неудач, неудачи только для нубов.

Мои списки в таблицах загрузки, тарпиты для долбаных спамеров, смертью грозят его почте.

CARP с Cisco связующий, благославляя надёжность пакетов, свободно даровано мне.

Некоторые из концепций которые Диксон использует здесь могут звучать незнакомо, но если вы продолжите читать книгу, они скоро обретут смысл.

Источник: Книга о PF, by Peter N.M. Hansteen, Перевод выполнил Михайлов Алексей aka iboxjo

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий