Вещи которые вы можете изменить и те, которые вероятно следует оставить в покое

Сетевые конфигурации по своей природе весьма настраиваемы. При просмотре страницы man pf.conf или другой документации, легко быть ошеломленным количеством опций и настроек, которые вы, вероятно, можете настроить, для того чтобы получить прекрасно оптимизированных настроек.

Помните, что для PF в целом, настройки по умолчанию являются  нормальными для большинства случаев. Некоторые параметры и переменные поддаются настройке, другие

должны  настраиваться  с  большой  осторожностью,  потому,  что  они   должны  быть

скорректированы   только   в   очень   необычных   обстоятельствах.   Здесь   мы   будем рассматривать некоторые глобальные настройки, которые вы  должны знать, хотя вам в большинстве случаев не придется их менять. Эти параметры записываются в виде набора параметров и переходят после любого макроопределения в файл pf.conf, но до перевода или фильтрации правил.

Замечание:

Если вы читаете страницу man pf.conf, вы откроете, что доступны несколько разных параметров. Однако, большинство из них не относятся к тестированию сети в контексте оптимизации производительности.

Запрещающие политики                                                           Запрещающие  политики определяют, какую обратную связь, если  таковая  имеется, PF даст  хостам,  которые  пытаются  создать  соединение,   которые  затем  оказываются заблокированы. Опция имеет два возможных значения:

·                  drop отбросывает заблокированный пакет без обратной связи

·                  return возвращает код статуса такой как Отказ в соединении (Connection refused) или что-то похожее

Правильная стратегия для блокирующих политик была предметом серьезного обсуждения на  протяжении  многих  лет.  Значение  по  умолчанию  для  блокирующих  политик  это отбросить, что означает, что пакет молча будет отброшен без какой-либо обратной связи. Тем не менее, молча отбрасывая  пакеты делает это похожим на то, что отправитель повторно  отправляет  неподтвержденные  пакеты,  а  не  разрывает  соединение.  Таким образом,  усилие соединиться сохраняется пока не  истечет  счетчик соответствующего тайм-аута. Если вам не приходит в голову веская причина для установки блокирующих

политик, установите значение return:

set block-policy return

Это значит, что сетевой стэк отправителя получит недвусмысленный сигнал о том, что соединение отклоенено.

Эта настройка определяет глобальное значение по умолчанию для ваших запрещающих политик.  При  необходимости,  вы  может  изменять  тип  блокировки  для  определенных

правил.

Например, вы могли бы изменить набор правил для защиты от брут-форса из главы 6, чтобы  запрещающие  политики  были  настроены  на  возвращение,   но  использовали

блокировку отбрасывания quick из <bruteforce> сделать брут-форс по истечении времени,

если они пробиваются внутрь, после того как были добавлены в таблицу.  Кроме того, можно указать на отбрасывания трафика от немаршрутизируемых  адресов входящих на ваш интерфейс смотрящий в интернет.

Пропуск интерфейсов                                                               Опция  skip позволяет вам исключить определенные интерфейсы из всех обработок PF. Конечный результат получается как правило пропустить все для интерфейса, но на самом деле отключает все обработки PF на интерфейсе.

Одним  из  распространенных  примеров  является  отключение  фильтрации  на  группе loopback интерфейса, где фильтрация в большинстве конфигураций добавляет немного с

точки зрения безопасности или удобства, а именно: set skip on loopback  фактически,

фильтрация на loopback интерфейсе почти никогда не бывает полезна, и может привести к некорректным результатам с рядом общих программ и служб. По умолчанию опция skip не установлена, что означает, что все сконфигурированные интерфейсы могут принимать участие  в  обработке  PF.  В   дополнение  к  небольшому  упрощению  набора  правил, установка skip на  границах, где вы не хотите выполнять фильтрацию результатов для небольшого прироста производительности.

Политики состояний                                                                 

Опция  state-policy  указывает,  как  PF  сопоставляет  пакеты  в  таблице   состояний.

Существует два возможных значения:

·                  при установке по умолчанию политика состояния является  плавающей,  трафик может соответствовать состоянию на всех  интерфейсах, а не только на том где состояние было создано.

·                  В  случае  связанной  политике,  трафик  будет  соответствовать  только   на  том

интерфейсе, где состояние было создано, трафик на других интерфейсах не будет соответствовать существующему состоянию.

Как блокирующая политика, эта опция определяет глобальное состояние сопоставления политики. Вы можете изменить политику состояния в области за основными правилами, если это необходимо. Например, в набор правил по  умолчанию плавающей политики состояния, вы могли бы иметь следующее правило:

pass out on egress inet proto tcp to any port $allowed modulate state (if-bound)

с этим правилом, любой обратный трафик попытается передать обратно в  случае, если нужно  пропустить  на  тот  же  интерфейс,  где  состояние   было   создано  в  порядке соответствующем записи в таблице состояний.

Состояние по умолчанию                                                         Опция  state-defaults была введена в OpenBSD 4.5 включить  установление  конкретных опций состояния как опций по умолчанию во всех правилах наборе правил, если только специально переопределены другие опции в отдельных правлах.

Вот общий пример:

set state-defaults pflow

Это устанавливает все проходящие правила в конфигурации для генерации  NetFlow данных, которые будут экспортироваться через pflow устройство.

В некоторых случаях имеет смысл  применять опции отслеживания  состояния  (state- tracking),  такие  как  ограничения  на  подключения,  как   глобальное  состояние  по

умолчанию для всего набора правил. Вот пример:

set state-defaults max 1500, max-src-conn 100, source-track rule

Это устанавливает по умолчанию максимальное количество записей в таблице состояний каждого правила до 1500, с максимумом до 100 одновременных  соединений с любого одного хоста, с отдельными лимитами для каждого правила в загруженном наборе правил. Любая опция которая действует в скобках для сохранения состояния в отдельном правиле может быть также  включена в набор состояний по умлочанию. Настройка состояний по умолчанию, таким образом, является полезным, если есть опции состояний, которые еще не являются системой по умолчанию, которые необходимо применить для всех правил в вашей конфигурации.

Источник: Книга о PF, by Peter N.M. Hansteen, Перевод выполнил Михайлов Алексей aka iboxjo

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий