Записи с меткой ‘правил’

Отслеживание    статистики    для    каждого    правила    с помощью меток (Labels)

Последовательную информацию вы получаете из соответствующих данных журнала

основанных  на  отслеживании  движения  пакета  во  времени.  В  других   контекстах, последовательность  или  история  соединений  менее  важна,  чем  агрегация,  так  как количество пакетов или байтов, соответствующих правилу, в дальнейшем очищаются. В конце главы 2, вы видели, как использовать  pfctl  -s info для просмотра глобальных счётчиков, наряду с прочими  данными.  Для подробной разбивки данных, отслеживание глобального трафика основывается на правиле с несколько иной формой команды pfctl, такой как pfctl -vs rules, для отображения статистики правила, как показано далее:

Продолжение …

Журналы PF: Основы

Информация  попадающая  в  журналы  PF  и  уровень  детализации  ведения  журнала определяется  вашим  набором  правил.  Основы  журналирования просты:  для  каждого правила, которое должно добавлять данные в журнал, добавляется ключевое слово log. Когда вы загружаете  набор  правил с добавлением log к одному или более правилам, любые  пакеты  начинающие соединение в соотвествии с правилом (bloked, passed,  или matched)   копируются на устройство pflog. Кроме того, PF  будет  хранить  некоторые дополнительные данные, такие как штамп времени  (временную метку), интерфейс, на котором  пакет  был  пропущен  или   заблокирован,  и  связанный  номер  правила  из

Продолжение …

Управление трафиком с помощью ALTQ

ALTQ  –  это  сокращение  понятия  альтернативного  обслуживания,  весьма   гибкого механизма управления сетевым трафиком, который существовал в самостоятельном виде

до  того,  как  был  включён  в  PF  на  OpenBSD1.  В  OpenBSD  ALTQ  был  интегрирован

Продолжение …

Веб сервер и почтовый сервер внутри – маршрутизируемые адреса

Насколько сложна  ваша сеть?  Насколько сложной  она  должна  быть?  Мы  начнем  с

базового сценария и клиентов из главы 3, того что мы создали за базовым брандмауэром PF, имеющих доступ к ряду сервисов, размещенных в других  местах, а не сервисов,

Продолжение …

Часто задаваемые вопросы (FAQ) о PF

Этот раздел основан на вопросах, которые мне задавали по электронной почте или на конференциях,  а  так  же  тех,  которые  появились  в  списках  рассылки  и  форумах. Некоторые из наиболее общих вопросов рассматриваются здесь в формате FAQ8.

Могу ли я запустить PF на своей Linux машине?

Продолжение …

Вещи которые вы можете изменить и те, которые вероятно следует оставить в покое

Сетевые конфигурации по своей природе весьма настраиваемы. При просмотре страницы man pf.conf или другой документации, легко быть ошеломленным количеством опций и настроек, которые вы, вероятно, можете настроить, для того чтобы получить прекрасно оптимизированных настроек.

Продолжение …

Распределение нагрузки: перенаправление на пул адресов

После того, как вы создали сервисы, которые будут доступны для всего мира, вероятно

один  из  возможных  сценариев,  то,  что  ваши  сервисы  будут  расти  и  станут  более сложными и ресурсоемкими, или просто привлекут больше трафика чем тогда, когда вы

Продолжение …

Получение права балансировки нагрузки посредством relayd

После  того,  как  вы  запустили  распределение  нагрузки  посредством   round-robin

перенаправления, вы могли заметить, что перенаправление присходит не автоматически, а адаптируется к внешним условиям. Для примера, если не приняты специальные меры,

Продолжение …

Защита от спуфинга с antispoof

                                               Существует  несколько  очень  полезных  и  общих  действий  для  пакетной  обработки, которые  могут  быть  записаны  как  правила  PF,  но  не  без  них  становится  длинным, сложным и подвержен ошибкам шаблонного набора правил. Таким образом, антиспуф был реализован  для  общего  частного  случая  фильтрации  и  блокировки.  Этот  механизм защищает от  деятельности  подделки или поддельных  IP  адресов, в  основном, путем блокирования   пакетов,   которые   появляются   на   интерфейсах   путешествующих   в

Продолжение …

Настройка шлюза

Мы используем конфигурацию простой машины которую построили в предыдущей главе в качестве  основы  для построения конфигурации фильтра  пакетов  шлюза. Предположим, что  на  машину установлена  дополнительная  сетевая  карта  (или  вы  создали  сетевое подключение из локальной сети к одной или более сетей через Ethernet, PPP или другим способом). В нашем  контексте детали настроек интерфейсов незначительны. Мы просто должны знать, что интерфейс поднят и работает.

Продолжение …