Межсетевое экранирование

Опции ядра


Не существует требования, что запуск PF должен выполняться обязательно из ядра FreeBSD. Компилирование PF в ядро приведет к тому, что загружаемый модуль никогда не будет использоваться.

Пример конфигурирования ядра можно найти в /usr/src/sys/ conf/NOTES:

device pf device pflog device pfsync

device pf обеспечивает поддержку пакетного фильтра PF.

device pflog обеспечивает дополнительную поддержку псевдосетевого устройства pflog, которое может быть использовано для создания логов трафика, используя bpf дескриптор. Демон pflog может использоваться для хранения информации логов на диске.

device pfsync обеспечивает дополнительную поддержку псевдосетевого устройства pfsync, которое используется для мониторинга изменений состояния. Так как оно не является частью загружаемого модуля, оно встраивается в ядро.


Не существует требования компилировать IPFW в ядро, если нет необходимости в функции NAT.

options IPFIREWALL

Данная опция дает возможность IPFW функционировать как часть ядра.

options IPFIREWALL_VERBOSE

Следующая опция дает возможность создавать логи пакетов, которые проходят через IPFW, и указывать ключевое слово log в наборе правил.

options IPFIREWALL_VERBOSE_LIMIT=5

Количество пакетов, для которых создаются логи с помощью syslogd в каждой записи, ограничено. Данная опция предотвращает возможность осуществления DoS-атак посредством переполнения syslog.

options IPFIREWALL_DEFAULT_TO_ACCEPT

Данная опция позволяет по умолчанию всем пакетам, которые не соответствуют ни одному правилу, проходить пакетный фильтр. Это хорошо только при первой установке пакетного фильтра.

options IPV6FIREWALL options IPV6FIREWALL_VERBOSE options IPV6FIREWALL_VERBOSE_LIMIT options IPV6FIREWALL_DEFAULT_TO_ACCEPT

Данные опции аналогичны опциям IPv4, но они предназначены для IPv6. Если IPv6 не используется, IPFW можно использовать без правил для IPv6.

options IPDIVERT

Это дает возможность использовать функциональность NAT.

Замечание. Если не включено IPFIREWALL_DEFAULT_TO_ACCEPT и не установлены правила, разрешающие входящие пакеты, все пакеты к компьютеру и от него будут блокированы.




Не существует обязательного требования компилировать IPF в ядро FreeBSD. Компилирование IPF в ядро приведет к тому, что загружаемый модуль никогда не будет использоваться.



Содержание раздела