Filtr pakietów

Informacja

Opracowany przez	Projekt OpenBSD ( d )
Kaucja	openbsd.su/src/sys/net/pfvar.h
Napisane w	C i yacc
Rodzaj	Firewall
Licencja	Licencja BSD
Stronie internetowej	www.openbsd.org/faq/pf/index.html

Packet Filter (lub PF ) to oprogramowanie firewall i oficjalne oprogramowanie OpenBSD , pierwotnie napisane przez Daniela Hartmeiera . Jest to bezpłatne oprogramowanie typu open source .

Zastępuje IPFilter z Darren Reed od wersji 3.0 OpenBSD, z powodu problemów licencyjnych, ale także systematyczna odmowa Reed wprowadzić zmiany kodu z twórców OpenBSD.

Został przeniesiony do DragonFly BSD 1.2 i NetBSD 3.0; jest standardowo dostępny we FreeBSD (wersja 5.3 i nowsze).

Od wersji OS X 10.7 Lion jest to domyślna zapora sieciowa dla Apple Macintosh .

Wolny port PF został również utworzony dla systemów operacyjnych Windows 2000 i XP przez społeczność Core FORCE. Ten port jest jednak tylko osobistą zaporą ogniową: nie implementuje funkcji PF pozwalających na NAT lub używanie ALTQ

Zarządzanie przepustowością

Począwszy od OpenBSD 3.0 , ALTQ Alternate Queuing jest częścią systemu podstawowego.

Od OpenBSD 3.3 , ALTQ zostało zintegrowane z PF .

Implementacja ALTQ w OpenBSD obsługuje algorytmy Class Queuing (CBQ) i Priority Queuing (PRIQ), a także Random Early Detection (RED) i Explicit Congestion Notification (ECN).

Integracja ALTQ w PF pozwala między innymi na zdefiniowanie priorytetu ruchu w filtrze, który go autoryzuje.

Zobacz: PF: Zarządzanie przepustowością

Pozwala to na przykład:

nadaj HTTP priorytetowi SMTP, jeśli chcesz, aby przeglądanie Internetu było priorytetem podczas wysyłania wiadomości e-mail;
dać pierwszeństwo małym pakietom potwierdzeń nad innymi pakietami, co jest bardzo praktyczne w przypadku asymetrycznego dostępu do Internetu ( ADSL itp.);
zarezerwuj minimalne przepustowości dla aplikacji czasu rzeczywistego, takich jak VoIP .

Cechy szczególne

Ładowanie konfiguracji jest atomowe: jeśli w pliku konfiguracyjnym podczas czytania reguł zostanie znaleziony błąd składni lub spójności, zapora nie jest modyfikowana;
Dzięki zarządzaniu przepustowością i integracji ALTQ , Packet Filter oferuje elastyczną kontrolę przepływu i wydajności sieci;
Ze względów bezpieczeństwa PF nie przeprowadza żadnej inspekcji usług (takich jak FTP , RPC ) w jądrze . Rzeczywiście, ponieważ inspekcja serwisowa jest złożona, każdy błąd może pozwolić na przejęcie maszyny. Aby przeprowadzić inspekcję usług, należy zainstalować serwer proxy działający w przestrzeni użytkownika ;
Deweloperzy dołożyli wszelkich starań, aby składnia była czytelna, elastyczna i przejrzysta (błędy konfiguracji stanowią główne zagrożenie dla bezpieczeństwa zapory );
Dzięki połączeniu pfsync i CARP , PF może korzystać z redundancji, aby zapewnić wysoką dostępność ;
Fakt, że PF (podobnie jak IPF ) nie przeprowadza inspekcji usługi, ale wymusza użycie proxy, jest denerwujący, gdy brakuje proxy dla protokołu. Na przykład nie ma serwera proxy dla protokołów opartych na RPC ani dla Universal Plug and Play ( UPnP );
Podobnie jak większość zapór typu open source , PF nie obsługuje IPsec , serwerów proxy , IDS , serwerów uwierzytelniających ani innych technologii, którymi zarządzają komercyjne zapory ogniowe. Aby to zrobić, musisz użyć innych modułów BSD, które można skonfigurować oddzielnie;
Oprogramowanie IDS i oprogramowanie antywirusowe zaprojektowane do ścisłej integracji z oprogramowaniem firewall rzadko wspierają PF (a bardziej ogólnie, systemy firewall BSD );

Polecenia i parametry

Kilka przykładów użycia pfctl, narzędzia do administrowania zaporą z wiersza poleceń przy użyciu PF :

Zamówione	Akcja
pfctl -e	Aktywny filtr pakietów.
pfctl -d	Wyłącza filtr pakietów.
pfctl -f <plik>	Załaduj reguły opisane w pliku do PF . Jeśli w pliku zostanie znaleziony tylko jeden błąd składni, nic się nie zmieni.
pfctl -s nat	Wyświetla aktywowane reguły NAT .
zasady pfctl -s	Wyświetla aktywowane reguły filtrowania.

Przykładowa konfiguracja

Podstawowe wyjaśnienia dotyczące składni:

wartości makr są automatycznie zastępowane podczas oceny konfiguracji;
składnia $ interface: network jest automatycznie zastępowana adresem sieciowym dołączonym do $ interface;
słowo kluczowe „egress” jest automatycznie zastępowane nazwą interfejsu, do którego jest dołączona trasa domyślna, a „(egress)” jego adresem IP. Te wartości są dynamicznie aktualizowane w przypadku zmiany.

# Macros int_if="rl0" ports_ouverts_pour_tous="{ http https }" ports_ouverts_pour_lequipe="{ ssh 21 60000:60100 }" # Tables table <ip_de_lequipe> { XXX.XXX.XXX.XXX, XXX.XXX.XXX.XXX, XXX.XXX.XXX.XXX } # Normalisation du trafic scrub in no-df # NAT nat on egress -> (egress) # Règles de filtrage block in pass out keep state pass in on egress proto tcp from <ip_de_lequipe> to port $ports_ouverts_pour_lequipe pass in on egress proto tcp to port $ports_ouverts_pour_tous block in quick on $int_if proto tcp from $int_if:network to port 4662 pass quick on !egress

Zobacz też

Inne bezpłatne zapory

Linux nftables , darmowe jądro firewalla Linux dostępne od wersji 3.13
Linux Netfilter , bezpłatna zapora ogniowa dla jądra Linuksa 2.4 i 2.6.
Linux Ipchains , darmowa zapora ogniowa jądra Linuksa 2.2.
Bezpłatna zapora IPFilter lub IPF , BSD i Solaris 10.
Ipfirewall lub IPFW , bezpłatny firewall FreeBSD .

Linki zewnętrzne

(w) [1]
(fr) Oficjalne FAQ PF
(en) Oficjalne FAQ PF
(en) Strona podręcznika pf.conf (format konfiguracji)
(pl) Strona podręcznika pfctl (główne polecenie pf)
(pl) Strona podręcznika brconfig (filtr mostu)
(en) PF: Wysoka dostępność zapór ogniowych z CARP i pfsync
(fr) PF: Wysoka dostępność zapór ogniowych z CARP i pfsync
( fr ) Witryna internetowa CoreForce
(en) Projekt demona UPnP kontrolujący PF