Данная цепочка является идеальной с точки зрения разработчиков фильтра, но они оставляют вам возможность исправить ее на ваше усмотрение.

set fingerprints – указать системе, где находится файл с определениями отпечатков (fingerprints) для различных операционных систем. Ну где вы еще видели пакетный фильтр, который умеет пропускать наружу или внутрь пакеты, приходящие от Linux, а от Windows 2003 отбрасывать? Мелочь, а очень приятно. Например:

set fingerprints "/etc/pf.os.devel"

set debug – уровень дебага для фильтра.

Опции:

n  none – никаких сообщений;

n  urgent – сообщения только для серьезных ошибок;

n  misc – для различных ошибок;

n  loud – для всего подряд.

Нормализация трафика

Не секрет, что нестандартными пакетами (например, размер или набор флагов) можно заставить некоторые сервисы перестать работать и еще много каких гадостей натворить в сети.

scrub – директива, отвечающая за нормализацию трафика.

Дополнительные параметры:

n  no-df – убирает флаг «Don’t fragment» из заголовка пакета. Позволяет избавить вашу сеть от проблем со специально засланными пакетами огромного размера.

n  min-ttl <number> – меняет минимальное значение TTL для IP-пакета.

n  max-mss <number> – меняет максимальное значение MSS для TCP-пакета.

n  random-id – меняет IP identification-поле в заголовке пакета для защиты TCP-соединения от вторжения методом подбора значения, передаваемого в данном поле, применяется только к исходящим соединениям.

n  fragment reassemble – позволяет держать в памяти фрагменты пакетов до того момента, пока пакет не будет полностью составлен. Гарантирует вам отсутствие лишнего трафика и нагрузки на сеть.

n  fragment crop – стандартный метод, фрагменты пакетов пропускаются в сеть, где уже сами хосты пытаются собрать их в целый пакет. Данный метод неэффективен с точки зрения нагрузки на сеть.

n  fragment drop-ovl – то же самое, что и предыдущее, разница лишь в том, что одинаковые фрагменты, пришедние по какой-либо ошибке, будут отброшены фильтром.

n  reassemble tcp – нормализация TCP-соединений. Дополнительные возможности – ttl, timeout modulation, extended PAWS checks. Данные темы я рассмотрю в следующих статьях, т.к это относится непосредственно к протоколу, а не к пакетному фильтру.

Например:

scrub in all

и все, фильтр сам подберет оптимальные параметры и разберется со всеми потенциально опасными пакетами.

Распределение по очередям

В этой статье я не буду описывать возможности PF при работе с контролем полосы пропускания, об этом в следующих статьях. Скажу только, что в фильтр встроен ALTQ и механизмы cbq, priq, hfsc.

NAT – Network Address Translation – трансляция адресов. Определяет, как адреса будут транслироваться или перенаправляться относительно других адресов.

Фильтр позволяет осуществить:

n  binat – полную двухстороннюю замену между внутренним и внешним IP-блоком;