Для вывода содержания таблицы можно запустить команду pfctl -t spammers -T show Помимо IP-адресов, могут использоваться имена узлов. В этом случае в таблицу будут помещены все действительные адреса, возвращаемые распознавателем (resolver). Следующий раздел файла настройки содержит параметры, влияющие на поведение PF. Изменением параметров можно управлять тайм-аутами (временем ожидания) сеансов, тайм-аутами дефрагментации, преобразованиями таблицы состояний, коллекцией статистики и т. д. Параметры указываются с использованием ключевого слова set. Количество параметров слишком велико для обсуждения во всех подробностях, поэтому мы рассмотрим самые необходимые и полезные.

Одним из наиболее важных параметров является block-policy (политика блокировки). Этот параметр указывает поведение по умолчанию ключевого слова block. При значении drop будет сбрасывать совпадающие пакеты без предупреждения. Кроме того, может использоваться значение return, при котором соответствующие правилу пакеты будут генерировать TCP-сброс либо не достигающий ICMP пакет в зависимости от того, является ли запускающий пакет TCP или UDP. Это подобно указателю REJECT в Netfilter ОС Linux. Например, для того чтобы PF по умолчанию сбрасывал пакеты без предупреждения, добавьте в /etc/pf.conf подобную строку: set block-policy drop Помимо установки политики блокировки для интерфейса может накапливаться дополнительная статистика (количество пакетов и байтов).

Чтобы включить эту функцию для определенного интерфейса, добавьте в файл настройки строку, подобную следующей: set loginterface deO. Одновременно может собираться статистика только для одного интерфейса. Если накопление статистики не требуется, имя интерфейса можно заменить ключевым словом попе. Для более эффективного использования «оживленной» сети можно изменить значения тайм-аутов сеансов. Установка более низкого значения поможет повысить производительность межсетевого экрана в сетях с большим трафиком, но за счет сброса действительно простаивающих соединений. Для установки тайм-аута (в секундах) поместите в /etc/pf.conf подобную строку: set timeout interval 20 При такой установке любое TCP-соединение, которое простаивает более 20 с, будет автоматически сброшено.

PF также может оптимизировать производительность аппаратного обеспечения на низком уровне, корректируя использование памяти в зависимости от количества одновременно хранимых состояний либо от количества фрагментов, которые могут размещаться в памяти для повторной сборки. Например, установив количество состояний равным 2000, а количество элементов, используемых восстановителем фрагментов, — 15 000, в файл pf.conf необходимо поместить: set limit states 20000 set limit frags 15000. Можно также указать эти настройки в одной строке: set limit { states 20000, frags 15000 }.

источник: Локхарт Э. Антихакинг в сети. Трюки.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *