evolix/wiki
22
0
Fork 0
Code Releases Activity
wiki/HowtoOpenBSD/PacketFilter.md

212 lines
4.3 KiB
Markdown
Raw Normal View History

OpenBSD: corrections de syntaxe
2017-01-20 11:17:20 +01:00
---
categories: openbsd network firewall
renommage
2017-11-29 11:11:08 +01:00
title: Howto PacketFilter
OpenBSD: corrections de syntaxe
2017-01-20 11:17:20 +01:00
---
Import automatique du Trac
2016-12-29 11:25:39 +01:00
## Tips & Astuces
révision
2017-11-29 11:09:45 +01:00
### Général
Activer PacketFilter :
rajout warning pour ne pas se faire coincer les doigts très fort
2017-11-29 15:56:26 +01:00
> Note : Attention, comme les règles qui seront activées n'auront pas d'état, pf va couper **toutes** les connexions.
révision
2017-11-29 11:09:45 +01:00
~~~
# pfctl -e
~~~
Désactiver PacketFilter :
~~~
# pfctl -d
~~~
Vérifier la configuration sans la charger :
Import automatique du Trac
2016-12-29 11:25:39 +01:00
~~~
# pfctl -nf /etc/pf.conf
~~~
Recharger la configuration :
~~~
# pfctl -f /etc/pf.conf
~~~
révision
2017-11-29 11:09:45 +01:00
### Utilisation détaillée
#### Observation
Import automatique du Trac
2016-12-29 11:25:39 +01:00
Voir la QoS en temps réel :
~~~
# systat queue
# pfctl -s queue -vv
~~~
révision
2017-11-29 11:09:45 +01:00
Voir toutes les règles actuellement en place :
rajout commande pratique
2017-09-13 20:54:45 +02:00
~~~
révision
2017-11-29 11:09:45 +01:00
# pfctl -sr
rajout commande pratique
2017-09-13 20:54:45 +02:00
~~~
révision
2017-11-29 11:09:45 +01:00
Voir toutes les règles actuellement en place, avec les statistiques :
Import automatique du Trac
2016-12-29 11:25:39 +01:00
~~~
révision
2017-11-29 11:09:45 +01:00
# pfctl -vsr
Import automatique du Trac
2016-12-29 11:25:39 +01:00
~~~
rajout aide debug
2017-10-20 17:58:19 +02:00
Obtenir la règle numéro 42 :
~~~
# pfctl -sr -R42
~~~
Import automatique du Trac
2016-12-29 11:25:39 +01:00
Liste des états :
~~~
# pfctl -s states | less
~~~
ajout commande avec verbosité pour statistiques
2017-11-29 11:30:16 +01:00
Liste des états avec statistiques, notamment l'âge et l'expiration de l'état :
~~~
# pfctl -vs states | less
~~~
rajout commande pour compter les mou^Wétats
2017-10-23 17:54:04 +02:00
Obtenir le nombre d'états :
~~~
révision
2017-11-29 11:09:45 +01:00
# pfctl -si | grep curr
rajout commande pour compter les mou^Wétats
2017-10-23 17:54:04 +02:00
~~~
révision
2017-11-29 11:09:45 +01:00
Toutes les infos sur PF :
~~~
# pfctl -sa | less
~~~
#### Action
Import automatique du Trac
2016-12-29 11:25:39 +01:00
Flush des états :
~~~
# pfctl -F states
~~~
révision
2017-11-29 11:09:45 +01:00
Gestion des tables :
Import automatique du Trac
2016-12-29 11:25:39 +01:00
~~~
révision
2017-11-29 11:09:45 +01:00
# pfctl -t <table> -T show/flush/kill/add/delete
Import automatique du Trac
2016-12-29 11:25:39 +01:00
~~~
ajout infos sur les tables...
2017-06-14 23:58:37 +02:00
révision
2017-11-29 11:09:45 +01:00
#### Logs
Voir les logs :
ajout infos sur les tables...
2017-06-14 23:58:37 +02:00
~~~
révision
2017-11-29 11:09:45 +01:00
# tcpdump -n -e -ttt -r /var/log/pflog
~~~
Voir les vieux logs :
~~~
# zcat /var/log/pflog.0.gz |tcpdump -ne -ttt -r -
~~~
Voir les logs en temps réel :
~~~
# tcpdump -n -e -ttt -i pflog0
ajout infos sur les tables...
2017-06-14 23:58:37 +02:00
~~~
## FAQ
fix de la syntaxe (ou tentative de) bis
2017-06-20 21:55:40 +02:00
### pfctl: warning: namespace collision with \<table\> global table.
ajout infos sur les tables...
2017-06-14 23:58:37 +02:00
trailing white spaces
2017-09-13 20:53:44 +02:00
Il faut a priori effacer la table avec
fix de la syntaxe (ou tentative de)
2017-06-20 21:54:55 +02:00
~~~
# pfctl -t <table> -T kill
~~~
dump timeout
2017-10-31 15:30:02 +01:00
### Valeurs des timeout
révision
2017-11-29 11:09:45 +01:00
D'après le man :
dump timeout
2017-10-31 15:30:02 +01:00
~~~
set optimization environment
Optimize state timeouts for one of the following network
environments:
aggressive
Aggressively expire connections. This can greatly reduce
the memory usage of the firewall at the cost of dropping
idle connections early.
conservative
Extremely conservative settings. Avoid dropping
legitimate connections at the expense of greater memory
utilization (possibly much greater on a busy network) and
slightly increased processor utilization.
high-latency
A high-latency environment (such as a satellite
connection).
normal A normal network environment. Suitable for almost all
networks.
satellite
Alias for high-latency.
~~~
meilleur affichage
2017-11-29 16:53:05 +01:00
Comparaison des valeurs des modes *aggressif* et *normal*
~~~
Agressive Normal
tcp.first 30s 120s
tcp.opening 5s 30s
tcp.established 18000s 86400s
tcp.closing 60s 900s
tcp.finwait 30s 45s
tcp.closed 30s 90s
tcp.tsdiff 10s 30s
udp.first 60s 60s
udp.single 30s 30s
udp.multiple 60s 60s
icmp.first 20s 20s
icmp.error 10s 10s
other.first 60s 60s
other.single 30s 30s
other.multiple 60s 60s
frag 60s 60s
interval 10s 10s
adaptive.start 6000 states 6000 states
adaptive.end 12000 states 12000 states
src.track 0s 0s
~~~
À titre d'indication, en mode *satellite*
dump timeout
2017-10-31 15:30:02 +01:00
~~~
tcp.first 180s
tcp.opening 35s
tcp.established 86400s
tcp.closing 905s
tcp.finwait 50s
tcp.closed 95s
tcp.tsdiff 60s
udp.first 60s
udp.single 30s
udp.multiple 60s
icmp.first 20s
icmp.error 10s
other.first 60s
other.single 30s
other.multiple 60s
frag 60s
interval 10s
adaptive.start 6000 states
adaptive.end 12000 states
src.track 0s
~~~
Copy permalink