Начальная конфигурация

FreeBSD

Для использования PF в составе FreeBSD рекомендуется версия ОС минимум 5.3. В таком случае реализация PF соответствует версии OpenBSD 3.5 (более ранний порт security/pf соответствовал OpenBSD 3.4). В ветке FreeBSD 6 начиная с 2005.05.03 код PF соответствует версии OpenBSD 3.7, также реализованы поддержка pfsync и CARP. Для работы PF потребуется наличие следующих опций в ядре:

device pf # PF - пакетный фильтр OpenBSD device pflog # поддержка журналирования работы PF device pfsync # интерфейс синхронизации PF

Для работы ALTQ требуются следующие опции:

options ALTQ options ALTQ_CBQ # Class Bases Queueing options ALTQ_RED # Random Early Drop options ALTQ_RIO # RED In/Out options ALTQ_HFSC # Hierarchical Packet Scheduler options ALTQ_CDNR # Traffic conditioner options ALTQ_PRIQ # Priority Queueing

Есть возможность использования PF и без пересборки ядра, так как он присутствует в виде загружаемого модуля ядра в системах 4, 5 и 6 ветки.

Если сетевое соединение настроено, можно разрешать запуск PF на этапе загрузки системы, добавив следующие опции в /etc/rc.conf:

pf_enable="YES" # разрешить PF (подгружает модуль ядра если требуется) pf_rules="/etc/pf.conf" # файл определяющий правила пакетного фильтра pf_flags="" # дополнительные флаги для запуска pfctl pflog_enable="YES" # разрешить демон журналирования pflogd pflog_logfile="/var/log/pflog" # путь к файлу журнала pflogd pflog_flags="" # дополнительные флаги для запуска pflogd

DragonFlyBSD

В данной системе настройки файла /etc/rc.conf идентичны FreeBSD.

OpenBSD

Для запуска PF достаточно задать в файле /etc/rc.conf.local строку

pf=YES

Также можно указать файл, содержащий правила pf, строкой

pf_rules=/etc/pf.conf

При следующей загрузке системы на консоли появится сообщение PF enabled.

NetBSD

В NetBSD 2.0 и более поздних PF доступен как подгружаемый модуль ядра, присутствует в коллекции портов pkgsrc как pkgsrc/security/pflkm, или же может являться статической частью ядра.

Для использования модуля ядра необходимо выполнить команду modload /usr/lkm/pf.o
Для автоматической загрузки модуля ядра при старте системы нужно добавить следующую строку в файл /etc/lkm.conf:

/usr/lkm/pf.o - - - - AFTERMOUNT

Чтобы включить поддержку PF в ядро, требуется добавить следующие опции в файл конфигурации ядра:

pseudo-device pf # PF - пакетный фильтр OpenBSD pseudo-device pflog # интерфейс журналирования PF

Запуск pf для всех трех ОС происходит одинаково: можно запустить PF без перезагрузки системы с помощью команды pfctl(8):

pfctl -e -f /etc/pf.conf

либо же выполнить скрипт начальной загрузки системы, ответственный за работу PF, например:

#/etc/rc.d/pf start #/etc/rc.d/pflogd start

Управление PF

После начальной загрузки управление pf может осуществляться через программу pfctl(8). Вот несколько примеров:

# pfctl -e включить pf # pfctl -d выключить pf # pfctl -f /etc/pf.conf загрузить pf.conf # pfctl -e -f /etc/pf.conf включить pf и загрузить pf.conf # pfctl -nf /etc/pf.conf анализировать файл, но не загружать # pfctl -Nf /etc/pf.conf загрузить только правила NAT из файла # pfctl -Rf /etc/pf.conf загрузить только правила фильтрации # pfctl -sn показать текущие правила NAT # pfctl -sr показать текущие правила фильтрации # pfctl -ss показать текущее состояние таблиц # pfctl -si показать статистику правил и состояние счетчиков # pfctl -sa показать все

Для полного списка команд смотрите man pfctl(8).

Назад | Дальше