Главная » 2014 » Март » 23 » Межсетевой экран PacketFilter ОС OpenBSD ч.4

16:52
Межсетевой экран PacketFilter ОС OpenBSD ч.4

Для включения повторной сборки фрагментов во всех интерфейсах просто по- местите в файл настройки строку scrub fragment reassemble Если есть желание ограничить воссоединение только одним интерфейсом, мож- но заменить ее следующей: scrub in on deO all fragment reassemble Это включит воссоединение фрагментов в интерфейсе deO. Следующие два раздела файла pf .conf определяют формирование очередей паке- тов и трансляцию адресов, но, поскольку этот трюк посвящен фильтрации пакетов, мы их пропустим и окажемся перед последним разделом. Он содержит действительные правила фильтрации пакетов. В общем случае синтаксис правила фильтрации выглядит так: action direction [log] [quick] on int [af] [proto protocol] \ from src_addr [port src_port] to dst_addr [port dst_port] \ [tcpjlags] [state] В PF правило может иметь только два действия: block (блокировка) и pass (про- пуск).

Как говорилось ранее, политика блокировки влияет на поведение самой блокировки. Однако оно может быть изменено указанием действия в определен- ном правиле, например block drop или block return. Кроме того, может использоваться команда block return-icmp, которая по умолчанию возвращает сообщение о недостижимости ICMP. ICMP-тип также может указывать, в каком случае будет возвращен такой тип ICMP-сообщения. В большинстве случаев мы начинаем с политики отказа (deny policy). При этом можно позже добавить правило, разрешающее определенный трафик через меж- сетевой экран. Для настройки политики отказа по умолчанию для всех интерфейсов поместите в /etc/pf.conf строку block all

NAT-серверТеперь можно добавить правила, разрешающие трафик через межсетевой экран. Сначала надо снять фильтрацию с интерфейса обратной связи. Для этого будем использовать правило pass quick on loO all Обратите внимание на использование ключевого слова quick. Обычно PF про- должает обрабатывать список правил, даже если уже найдено правило, позво- ляющее передать пакет для того, чтобы проверить, не существует ли далее в фай- ле конфигурации более строгого правила, которое сбросит пакет. Использование ключевого слова quick изменяет это поведение и приводит к остановке обработки пакета при соответствии правилу, а также предпринимает указанное действие. При осторожном использовании это может в значительной степени повысить производительность набора правил.

источник: Локхарт Э. Антихакинг в сети. Трюки.

Категория: Безопасность | Просмотров: 1017 | Добавил: george27 | Рейтинг: 0.0/0

Похожие темы:

Последнее в Блоге

Как выбрать ноутбук? На что обратить внимание при выборе ноутбука?Как выбрать ноутбук? На что обратить внимание при выборе ноутбука?
Компактный ноутбук от Lenovo бюджетной серии IdeaPad 100-14Компактный ноутбук от Lenovo бюджетной серии IdeaPad 100-14
Обзор игрового ноутбука Acer Predator 17XОбзор игрового ноутбука Acer Predator 17X
Аркадный симулятор Smashy Road: теперь и Windows может похвастаться игрой WantedАркадный симулятор Smashy Road: теперь и Windows может похвастаться игрой Wanted