![[OpenBSD]](../../images/smalltitle.gif)
[Předchozí: Tabulky]
[Obsah]
[Dále: Scrub]
PF: Možnosti (options)
Možnosti (options) se používají k ovlivňování činnosti PF. Specifikují se
v /etc/pf.conf pomocí direktivy set.
- set block-policy
- Nastaví defaultní chování pravidel filtru,
které stanovují akci block.
- drop - paket je tiše zahozen
- return - pro zablokované TCP pakety je vrácen TCP RST paket
a pro zablokované UDP pakety je vrácen ICMP UNREACHABLE. Všechny ostatní
pakety jsou tiše zahozeny.
- Poznámka: Jednotlivá pravidla filtru mohou specifikovat jinou než
defaultní odpověď.
- set limit
- frags - maximální počet položek v paměťovém poolu
používaném pro spojování fragmentovaných paketů
(pravidla scrub). Default je 5000.
- states - maximální počet položek v paměťovém poolu
používaném pro stavové tabulky (pravidla
filtru, které používají keep state).
Default je 10000.
- set loginterface int
- Určuje rozhraní, pro které má PF shromažďovat statistiky jako byty
dovnitř/ven a puštěné/zablokované pakety. Statistiky mohou být
v danou chvíli shromažďovány pouze pro jedno rozhraní. Všimněte
si, že počitadla match, bad-offset apod. a počitadla
tabulky stavů jsou zaznamenávána bez ohledu na to, zda je
loginterface nastaveno nebo ne.
- set optimization
- Optimalizuje PF pro jedno z následujících síťových prostředí:
- normal - vhodné pro téměř všechny sítě. Toto je výchozí
nastavení.
- high-latency - sítě s velkým zpožděním jako jsou satelitní
spojení.
- aggressive - agresivní vypršení platnosti spojení v tabulce
stavů. Toto značně snižuje paměťovou náročnost na vytížených firewallech
za cenu rizika předčasného zahození nečinných spojení.
- conservative - extrémně konzervativní nastavení. Eliminuje
zahození nečinných spojení za cenu vyšší paměťové náročnosti a trošku
vyššího zatížení procesoru.
- set timeout
- interval - počet sekund mezi zahození expirovaných stavů a
fragmentů paketu.
- frag - počet sekund po kterých nesestavený fragment expiruje.
Příklad:
set timeout interval 10
set timeout frag 30
set limit { frags 5000, states 2500 }
set optimization high-latency
set block-policy return
set loginterface dc0
|
[Předchozí: Tables]
[Obsah]
[Dále: Scrub]
![[back]](../../images/back.gif)
www@openbsd.org
Originally [OpenBSD: options.html,v 1.4 ]
$Translation: options.html,v 1.3 2003/11/10 13:34:59 horacio Exp $
$OpenBSD: options.html,v 1.3 2003/11/10 14:42:48 horacio Exp $