Ajout limite d’état spécifique à une règle

2018-03-14 12:21:56 +01:00 · 2018-03-14 12:21:56 +01:00 · bc5bfc50e5
parent 7701d93c5e
commit bc5bfc50e5
1 changed files with 14 additions and 0 deletions
--- a/HowtoOpenBSD/PacketFilter.md
+++ b/HowtoOpenBSD/PacketFilter.md
@ -120,6 +120,20 @@ Voir les logs en temps réel :
 # tcpdump -n -e -ttt -i pflog0
 ~~~

+### Cas d'utilisation
+
+#### Limite d'état spécifique à une règle
+
+Si une machine est souvent la cible d'attaques pouvant remplir la table d'états, une limite spécifique à une règle peut être mise en place afin de ne pas atteindre la limite globale qui bloquerait la création de nouveaux états.
+
+~~~
+pass in quick on $if proto tcp from any to 192.0.2.10 port { 80, 443 } keep state (max 50000)
+~~~
+
+Ainsi, au maximum 50 000 états pourront être créés pour 192.0.2.10:80 et 192.0.2.10:443, soit un total de 100 000 états pour l'ensemble.
+
+Attention, les 2 limites (la globale et celle spécifique à la règle) ne sont pas séparées. Si la limite globale est configuré à 150 000 (`set limit states 150000`) et que 50 000 états sont atteints pour 192.0.2.10:80, alors il ne restera que 100 000 états possible globalement.
+
 ## FAQ

 ### pfctl: warning: namespace collision with \<table\> global table.