Различия
Показаны различия между двумя версиями страницы.
| — | pf_opcii [2025/07/06 12:39] (текущий) – создано - внешнее изменение 127.0.0.1 | ||
|---|---|---|---|
| Строка 1: | Строка 1: | ||
| + | ====== PF Опции ====== | ||
| + | Различные опции для управления поведением PF. | ||
| + | < | ||
| + | # ee / | ||
| + | ... | ||
| + | # Options: tune the behavior of pf, default values are given. | ||
| + | # Указаны значения по умолчанию | ||
| + | #set timeout { interval 10, frag 30 } | ||
| + | #set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 } | ||
| + | #set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 } | ||
| + | #set timeout { udp.first 60, udp.single 30, udp.multiple 60 } | ||
| + | #set timeout { icmp.first 20, icmp.error 10 } | ||
| + | #set timeout { other.first 60, other.single 30, other.multiple 60 } | ||
| + | #set timeout { adaptive.start 0, adaptive.end 0 } | ||
| + | #set limit { states 10000, frags 5000 } | ||
| + | #set loginterface none | ||
| + | #set optimization normal | ||
| + | #set block-policy drop | ||
| + | #set require-order yes | ||
| + | #set fingerprints "/ | ||
| + | ... | ||
| + | </ | ||
| + | * [[http:// | ||
| + | < | ||
| + | set limit states 250000 # Менять пришлось т.к. переполнялась таблица NAT и правила с keep state | ||
| + | set optimization aggressive # изменяет тайминги, | ||
| + | </ | ||
| + | После изменения предельные значения можно проверить так | ||
| + | < | ||
| + | > pfctl -sm | ||
| + | states | ||
| + | src-nodes | ||
| + | frags hard limit 5000 | ||
| + | tables | ||
| + | table-entries hard limit | ||
| + | </ | ||
| + | ====== set loginterface interface ====== | ||
| + | Задать интерфейс для которого пакетный фильтр собирает статистическую информацию: | ||
| + | |||
| + | Просмотреть статистику можно при помощи команды pfctl с опцией -s info. | ||
| + | ====== set block-policy option ====== | ||
| + | Установить поведение по умолчанию для правил фильтра, | ||
| + | * drop — пакет молча отбрасывается; | ||
| + | * return — для отброшенных пакетов TCP отсылается пакет TCP RST, для прочих ICMP Unreachable. | ||
| + | В конкретных правилах значение опции может быть переопределено. Умолчание — drop | ||
| + | ====== set limit option value ====== | ||
| + | Установить предел для различных опций: | ||
| + | * frags — Максимальное количество записей в пуле отвечающем за нормализацию трафика (scrub). По умолчанию — 100. | ||
| + | * src-nodes — Максимальное количество записей в пуле отвечающем за отслеживание исходящих IP адресов. (Пул генерируется правилами с ключевыми словами sticky-addressи source-track). Умолчание — 10000. | ||
| + | * states — Максимальное количество вхождений в пул отвечающий за состояние таблицы состояний соединений (Которая заводится при помощи правил с ключевой фразой keep state). Умолчание 10000. | ||
| + | |||
| + | Допустим синтаксис: | ||
| + | ====== set optimization value ====== | ||
| + | Установить оптимизацию пакетного фильтра для различного поведения сети: | ||
| + | * normal — подходит ко всем сетям. | ||
| + | * high-latency — подходит для сетей работающих с большими задержками, | ||
| + | * aggressive — агрессивно очищать таблицу состояний. Это может существенно уменьшить требования к памяти на загруженном брандмауэре, | ||
| + | * conservative — крайне консервативный брандмауэр. Предотвращает разрыв соединений, | ||
| + | |||
| + | Умолчание —normal | ||
| + | ====== set debug option ====== | ||
| + | Установить уровень отладки для пакетного фильтра: | ||
| + | |||
| + | * none — не показывать отладочных сообщений; | ||
| + | * urgent — отладочные сообщения показываются для серьёзных ошибок. | ||
| + | * misc — отладочные сообщения выводятся для различных ошибок (помогает узнать состояние системы нормализации трафика (scrub) и ошибки в работе таблицы состояний); | ||
| + | * loud — oтладочные сообщения общего плана (позволяет изучать сообщения от системы osfp). | ||
| + | |||
| + | Умолчание — urgent. Уровень отладки можно также изменять при помощи команды pfctl (опция -x). Например: | ||
| + | > pfctl -x loud | ||
| + | debug level set to ' | ||
| + | </ | ||
| + | ====== set state-policy value ====== | ||
| + | Поведение пакетного фильтра при использовании таблицы состояний. Это поведение может быть переопределено в конкретных правилах фильтрации: | ||
| + | |||
| + | * if-bound — Состояние привязывается к конкретному интерфейсу, | ||
| + | * group-bound — то же, но привязано к группе интерфейсов (в OpenBSD, но не в FreeBSD, интерфейсы можно объединять в группы). | ||
| + | * floating — Записи в таблице состояний не привязаны к интерфейсам. | ||
| + | |||
| + | Умолчание — floating | ||
📌 Удобный подбор VPS по параметрам доступен на DIEGfinder.com - официальном инструменте проекта DIEG. Это часть единой экосистемы, созданной для того, чтобы помочь быстро найти подходящий VPS/VDS сервер для любых задач хостинга.
📌 Для тестирования скриптов, установщиков VPN и Python-ботов рекомендуем использовать надежные VPS на короткий срок. Подробнее о быстрой аренде VPS для экспериментов - читайте здесь.
💥 Подпишись в Телеграм 💥 и задай вопрос по сайтам и хостингам бесплатно!7 Самых Популярных Статей
- Как запустить скрипты и веб-приложения на Python
- Что такое страны TIER 1,2,3
- 7 способов сравнения файлов по содержимому в Windows или Linux
- Установка и тестирование веб-панели HestiaCP
- Nginx простые примеры конфигурации
- top, htop, atop определение загрузки ОС (Load average, LA)
- Использование rsync в примерах
7 Самых Популярных Обзоров
- Хостинг для Python-скриптов и приложений
- ТОП 4 лучших антидетект браузеров (Бесплатные & Платные)
- Подборка купонов (промокоды) на хостинг, антидетект браузеры
- Обзор THE.Hosting (PQ Hosting): надежный хостинг с профессиональной поддержкой
- Хостинг в России
- Хостинг в Европе
- Обзор браузера Dolphin {anty} для мультиаккаунтинга