Пакетный фильтр OpenBSD

Как известно, пакетный фильтр технологии Stateful Packer Inspection хранит информацию о состоянии соединения для принятия более обоснованных решений и повышения эффективности своей работы. Поскольку главная цель проекта OpenBSD заключается в предоставлений наиболее полных и надежных механизмов информационной безопасности, интеграция Stateful Packet Filter является стратегически важной целью проекта.

С 1996 года в базовую инсталляцию OpenBSD был включен IPFilter разработчика Darren Reed, являющийся классическим решением в ОС семейста BSD Unix. По причине проблем с лицензированием IPFilter – проект OpenBSD столкнулся с запретом на модификацию кодовой базы IPFilter – Daniel Hatmeier и группа разработчиков OpenBSD начали работу над PF, которая продолжалась в период лета-осени 2001 года до включения первых версий PF в дистрибутив OpenBSD 3.0 в декабре 2001 года. Насколько мне известно, в предшествующий этому событию краткий период времени OpenBSD фактически была лишена файрвола в штатной поставке. Документ Design and Performance of the OpenBSD Stateful Packet Filter (pf), представленый на USENIX 2002, очертил и направления развития проекта в будущем. Многие из поставленных тогда целей уже достигнуты, но активная разработка PF продолжается до сих пор.

Сегодня функциональность PF доступна для пользователей всех основных систем семейства BSD Unix – OpenBSD, FreeBSD, NetBSD, DragonflyBSD. Более того, проект CORE FORCE осуществил портирование PF на Windows. Я постараюсь дать описание конфигурации пакетного фильтра в ОС семейства BSD Unix.

На данный момент документ состоит из следующих разделов:

1. Функциональность PF. Техника Stateful Packet Inspection
2. Начальная конфигурация
3. Механизм обработки пакета в соответствии с таблицами правил
4. Составляющие элементы набора правил

Дальше