Для включения повторной сборки фрагментов во всех интерфейсах просто поместите в файл настройки строку scrub fragment reassemble Если есть желание ограничить воссоединение только одним интерфейсом, можно заменить ее следующей: scrub in on deO all fragment reassemble Это включит воссоединение фрагментов в интерфейсе deO.

Следующие два раздела файла pf .conf определяют формирование очередей пакетов и трансляцию адресов, но, поскольку этот трюк посвящен фильтрации пакетов, мы их пропустим и окажемся перед последним разделом. Он содержит действительные правила фильтрации пакетов. В общем случае синтаксис правила фильтрации выглядит так: action direction [log] [quick] on int [af] [proto protocol] \ from src_addr [port src_port] to dst_addr [port dst_port] \ [tcpjlags] [state] В PF правило может иметь только два действия: block (блокировка) и pass (пропуск). Как говорилось ранее, политика блокировки влияет на поведение самой блокировки.

Однако оно может быть изменено указанием действия в определенном правиле, например block drop или block return. Кроме того, может использоваться команда block return-icmp, которая по умолчанию возвращает сообщение о недостижимости ICMP. ICMP-тип также может указывать, в каком случае будет возвращен такой тип ICMP-сообщения. В большинстве случаев мы начинаем с политики отказа (deny policy).

При этом можно позже добавить правило, разрешающее определенный трафик через меж- сетевой экран. Для настройки политики отказа по умолчанию для всех интерфейсов поместите в /etc/pf.conf строку block all. Теперь можно добавить правила, разрешающие трафик через межсетевой экран. Сначала надо снять фильтрацию с интерфейса обратной связи. Для этого будем использовать правило pass quick on loO all Обратите внимание на использование ключевого слова quick.

Обычно PF продолжает обрабатывать список правил, даже если уже найдено правило, позволяющее передать пакет для того, чтобы проверить, не существует ли далее в файле конфигурации более строгого правила, которое сбросит пакет. Использование ключевого слова quick изменяет это поведение и приводит к остановке обработки пакета при соответствии правилу, а также предпринимает указанное действие. При осторожном использовании это может в значительной степени повысить производительность набора правил.

источник: Локхарт Э. Антихакинг в сети. Трюки.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *