Ajout limite d’état spécifique à une règle
This commit is contained in:
parent
7701d93c5e
commit
bc5bfc50e5
|
@ -120,6 +120,20 @@ Voir les logs en temps réel :
|
|||
# tcpdump -n -e -ttt -i pflog0
|
||||
~~~
|
||||
|
||||
### Cas d'utilisation
|
||||
|
||||
#### Limite d'état spécifique à une règle
|
||||
|
||||
Si une machine est souvent la cible d'attaques pouvant remplir la table d'états, une limite spécifique à une règle peut être mise en place afin de ne pas atteindre la limite globale qui bloquerait la création de nouveaux états.
|
||||
|
||||
~~~
|
||||
pass in quick on $if proto tcp from any to 192.0.2.10 port { 80, 443 } keep state (max 50000)
|
||||
~~~
|
||||
|
||||
Ainsi, au maximum 50 000 états pourront être créés pour 192.0.2.10:80 et 192.0.2.10:443, soit un total de 100 000 états pour l'ensemble.
|
||||
|
||||
Attention, les 2 limites (la globale et celle spécifique à la règle) ne sont pas séparées. Si la limite globale est configuré à 150 000 (`set limit states 150000`) et que 50 000 états sont atteints pour 192.0.2.10:80, alors il ne restera que 100 000 états possible globalement.
|
||||
|
||||
## FAQ
|
||||
|
||||
### pfctl: warning: namespace collision with \<table\> global table.
|
||||
|
|
Loading…
Reference in a new issue