From bc5bfc50e5318b441e2f5d569eb36bebbaba96e9 Mon Sep 17 00:00:00 2001 From: jdubois Date: Wed, 14 Mar 2018 12:21:56 +0100 Subject: [PATCH] =?UTF-8?q?Ajout=20limite=20d=E2=80=99=C3=A9tat=20sp=C3=A9?= =?UTF-8?q?cifique=20=C3=A0=20une=20r=C3=A8gle?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- HowtoOpenBSD/PacketFilter.md | 14 ++++++++++++++ 1 file changed, 14 insertions(+) diff --git a/HowtoOpenBSD/PacketFilter.md b/HowtoOpenBSD/PacketFilter.md index 9d3e21c5..38800d33 100644 --- a/HowtoOpenBSD/PacketFilter.md +++ b/HowtoOpenBSD/PacketFilter.md @@ -120,6 +120,20 @@ Voir les logs en temps réel : # tcpdump -n -e -ttt -i pflog0 ~~~ +### Cas d'utilisation + +#### Limite d'état spécifique à une règle + +Si une machine est souvent la cible d'attaques pouvant remplir la table d'états, une limite spécifique à une règle peut être mise en place afin de ne pas atteindre la limite globale qui bloquerait la création de nouveaux états. + +~~~ +pass in quick on $if proto tcp from any to 192.0.2.10 port { 80, 443 } keep state (max 50000) +~~~ + +Ainsi, au maximum 50 000 états pourront être créés pour 192.0.2.10:80 et 192.0.2.10:443, soit un total de 100 000 états pour l'ensemble. + +Attention, les 2 limites (la globale et celle spécifique à la règle) ne sont pas séparées. Si la limite globale est configuré à 150 000 (`set limit states 150000`) et que 50 000 états sont atteints pour 192.0.2.10:80, alors il ne restera que 100 000 états possible globalement. + ## FAQ ### pfctl: warning: namespace collision with \ global table.