OBSD4* : wiki

Version de traduction basée sur la 6.4 officielle (v1.55 : 29/10/2018)


PF - Options "Temps réel"

Les options sont utilisées pour contrôler les opérations de PF. Les options sont spécifiées dans le fichier pf.conf par l'usage de la directive set.


set block-policy option
Paramètre le comportement par défaut pour les règles de filtrage spécifiant l'action block.

  • drop - le paquet est silencieusement bloqué.
  • return - un paquet TCP RST est retourné pour les paquets TCP bloqués et le paquet ICMP Unreachable est retourné pour tous les autres.

Notez que les règles de filtrage individuelles peuvent surchargées la réponse par défaut. La valeur par défaut est drop.


set debug option
Paramètre le niveau de débogage de PF. Les choix incluent emerg, alert, crit, err, warning, notice, info et debug.


set fingerprints file
Spécifie le fichier pour charger les empreintes de système d'exploitations. À utiliser avec la prise d'empreinte passive d'OS. La valeur par défaut est /etc/pf.os.


set limit option value
Paramètre différentes limites sur les opérations de PF.

  • frags - le nombre maximum d'entrées dans le pool mémoire utilisé pour le ré-assemblage de paquets (les règles scrub). La valeur par défaut est de 5 000.
  • src-nodes - le nombre maximum d'entrées dans le pool mémoire utilisé pour traquer les adresses IP sources (générées par les options sticky-address et source-track). La valeur par défaut est de 10 000.
  • states - le nombre maximum d'entrées dans le pool mémoire utilisé pour la table d'état des entrées (les règles de filtrage qui spécifient keep state). La valeur par défaut est de 10 000.
  • tables - le nombre maximum de tables qui peuvent être créées. La valeur par défaut est de 1 000.
  • table-entries - la limite de surcharge du nombre d'adresses qui peuvent être enregistrées dans toutes les tables. La valeur par défaut est de 200 000. Si le système a moins de 100 Mo de mémoire physique, la valeur par défaut est paramétrée à 100 000.

set loginterface interface
Paramètre l'interface par laquelle PF doit collecter des statistiques telles que le nombre d'octets entrants/sortants et le nombre de paquets passés/bloqués. Les statistiques peuvent seulement être obtenues pour une interface à la fois. Notez que les compteurs match, bad-offset, etc… et les compteurs de la table d'état sont enregistrés, indépendamment du paramétrage ou non de l'interface logininterface. Pour désactiver cette option, paramétrez-la sur none. La valeur par défaut est none.


set optimization option
Optimise PF pour un des environnements réseaux suivants :

  • normal - adapté à presque tous les réseaux.
  • high-latency - les réseaux de latence élevée, tels que les connexions satellites.
  • aggressive - expire de manière agressive les connexions depuis la table d'états. Cela peut grandement réduire la mémoire requise sur un pare-feu occupé au risque de bloquer des connexions en attente trop tôt.
  • conservative - paramètres extrêmement conservateurs. Cela permet d'éviter la chute des connexions en attente au détriment d'une plus grande utilisation de la mémoire et d'une légère augmentation de l'utilisation du processeur.

set ruleset-optimization option
Contrôle les opérations de l'optimiseur du jeu de règles de PF.

  • none - désactive complétement l'optimiseur.
  • basic - active les optimisations de jeu de règles suivantes :
    1. supprime les règles dupliquées
    2. supprime les règles qui sont un sous-ensemble d'une autre règle
    3. combine des règles multiples dans une table quand cela est avantageux
    4. réordonne les règles pour améliorer l'évaluation de la performance
  • profile - utilise le jeu de règles couramment chargé en tant que profil de retour afin d'adapter l'ordre rapide des règles au trafic réseau actuel.

Démarré depuis OpenBSD 4.2, la valeur par défaut est 'basic'. Lisez pf.conf(5) pour avoir une description plus complète.


set skip on interface
Ignore tout traitement de PF sur l' interface. Cela peut être utile sur les interfaces de bouclage où les règles de filtrage, normalisation, gestion de queue, etc… ne sont pas requises. Cette option peut être utilisée plusieurs fois. Par défaut, cette option n'est pas paramétrée.


set state-policy option
Paramètre le comportement de PF pour le suivi d'état. Ce comportement peut être surchargé par une per-rule basis. Voir le suivi d'état.

  • if-bound - états liés à l'interface sur laquelle ils sont créés. Si le trafic correspond à une entrée de la table d'état mais ne traverse pas l'interface enregistrée dans l'entrée d'état, les paquets sont rejetés. Le paquet doit alors correspondre à une règle de filtrage ou il sera détruit ou rejeté complétement.
  • floating - les états peuvent correspondre à n'importe quelle interface. Peu importe l'interface traversée, aussi longtemps qu'un paquet correspond à une entrée d'état et qu'il passe dans la même direction que l'interface pour laquelle l'état a été créée. Il passera.
    La valeur par défaut est floating.

set timeout option value
Paramètre différents délais (en secondes).

  • interval - le nombre de secondes entre la purge des états expirés et les paquets fragmentés. La valeur par défaut est de 10.
  • frag - le nombre de secondes avant qu'un fragment non assemblé expire. La valeur par défaut est de 30.
  • src.track - le nombre de secondes pour garder une entrée de suivi de source dans la mémoire après que le dernier état expire. La valeur par défaut est de 0.

Exemple :

  set timeout interval 10
  set timeout frag 30
  set limit { frags 5000, states 2500 }
  set optimization high-latency
  set block-policy return
  set loginterface dc0
  set fingerprints "/etc/pf.os.test"
  set skip on lo0
  set state-policy if-bound

Cette page est la traduction officieuse de la page “Runtime options de la FAQ officielle d'OpenBSD.
En cas de doute, merci de vous y référer !

Si vous voulez participer à l'effort de traduction, merci de lire ce topic.