Paket Filtresi

Bilgi

Tarafından geliştirildi	OpenBSD Projesi ( d )
Depozito	openbsd.su/src/sys/net/pfvar.h
Yazılmış	C ve yacc
Tür	Güvenlik duvarı
Lisans	BSD lisansı
İnternet sitesi	www.openbsd.org/faq/pf/index.html

Packet Filter (veya PF ) , orijinal olarak Daniel Hartmeier tarafından yazılan OpenBSD'nin güvenlik duvarı yazılımı ve resmi görevidir . Bu ücretsiz açık kaynak yazılım.

O değiştirir IPFilter ait Darren Reed nedeniyle lisans sorunları nedeniyle, OpenBSD 3.0 sürümü bu yana, aynı zamanda Reed Incorporate sistematik ret OpenBSD geliştiricilerin kod değiştirir.

DragonFly BSD 1.2 ve NetBSD 3.0'a taşındı ; FreeBSD'de (sürüm 5.3 ve üzeri) standart olarak gelir .

OS X v10.7 Lion'dan beri Apple Macintosh varsayılan güvenlik duvarıdır .

Windows 2000 ve XP işletim sistemleri için Core FORCE topluluğu tarafından ücretsiz bir PF bağlantı noktası da oluşturuldu . Ancak bu bağlantı noktası yalnızca kişisel bir güvenlik duvarıdır: NAT yapmaya veya ALTQ kullanımına izin veren PF işlevlerini uygulamaz.

Bant genişliği yönetimi

İtibariyle OpenBSD 3.0 , ALTQ Alternatif Kuyruk baz sisteminin bir parçasıdır.

Yana OpenBSD 3.3 , ALTQ entegre edilmiştir PF .

ALTQ uygulama içinde OpenBSD Sınıf Queuing (CBQ) ve Öncelikli Kuyruk (PRIQ) algoritmaları yanı sıra Rastgele Erken Detection (RED) ve Açık Tıkanıklık Bildirimi (ECN) destekler.

Entegrasyonu ALTQ içinde PF onu yetkisi filtresinde bir trafik önceliğini tanımlamak için, diğer şeylerin yanı sıra, izin verir.

Bakınız: PF: Bant Genişliği Yönetimi

Bu, örneğin şunları sağlar:

yapmak HTTP üzerinden öncelik SMTP İnternet'i e-posta gönderme öncelik sörf yapmak istiyorsanız;
asimetrik İnternet erişimi ( ADSL, vb.) için çok pratik olan diğer paketlere göre küçük alındı paketlerine öncelik vermek ;
VoIP gibi gerçek zamanlı uygulamalar için minimum bant genişliğini ayırın .

Özellikler

Yapılandırmanın yüklenmesi atomiktir: kuralları okurken yapılandırma dosyasında bir sözdizimi veya tutarlılık hatası bulunursa, güvenlik duvarı değiştirilmez;
Sayesinde Bant Genişliği Yönetimi ve ALTQ entegrasyonu , Packet Filter ağ akışlarının ve performans teklifler esnek kontrolü;
Güvenlik nedeniyle, PF çekirdekte herhangi bir hizmet denetimi ( FTP , RPC gibi ) yapmaz . Aslında, servis denetimi karmaşık olduğundan, herhangi bir hata makinenin devralınmasına izin verebilir. Hizmet incelemesi gerçekleştirmek için , kullanıcı alanında çalışan bir proxy kurmanız gerekir ;
Geliştiriciler sözdizimini okunabilir, esnek ve açık hale getirmek için önemli bir çaba sarf ettiler (yapılandırma hataları bir güvenlik duvarının güvenliği için büyük bir tehlikeyi temsil eder );
Birleşik kullanımı sayesinde pfsync ve CARP , PF kullanabilirsiniz fazlalık sağlamak için yüksek kullanılabilirlik ;
Aslında PF (gibi IPF ) bir servis muayene, ama bir kullanımını zorlar gelmez vekil bir vekil bir protokol için eksik olduğunda can sıkıcı. Örneğin, RPC tabanlı protokoller veya Evrensel Tak ve Çalıştır ( UPnP ) için proxy yoktur ;
Çoğu açık kaynaklı güvenlik duvarı gibi , PF de IPsec'i , proxy'leri , IDS'leri , kimlik doğrulama sunucularını veya ticari güvenlik duvarlarının yönetmek için kullanıldığı diğer teknolojileri desteklemez. Bunu yapmak için, ayrı ayrı konfigüre edilebilen diğer BSD modüllerini kullanmanız gerekir;
IDS ve anti-virüs yazılımı , güvenlik duvarı yazılımı ile sıkı entegrasyon için tasarlanmış nadiren desteklemek PF (ve daha genel olarak, güvenlik duvarı sistemleri BSD );

Komutlar ve Parametreler

PF kullanan komut satırı güvenlik duvarı yönetim aracı olan pfctl kullanımına ilişkin bazı örnekler :

Sipariş verildi	Aksiyon
pfctl -e	Aktif Paket Filtresi.
pfctl -d	Paket Filtresini devre dışı bırakır.
pfctl -f <dosya>	Dosya tarafından açıklanan kuralları PF'ye yükleyin . Dosyada yalnızca bir sözdizimi hatası bulunursa, hiçbir şey değiştirilmez.
pfctl -s nat	Etkinleştirilen NAT kurallarını görüntüler .
pfctl -s kuralları	Etkinleştirilen filtre kurallarını görüntüler.

Örnek yapılandırma

Temel sözdizimi açıklamaları:

makroların değerleri konfigürasyonun değerlendirilmesi sırasında otomatik olarak ikame edilir;
$ arabirim sözdizimi: ağ, $ arabirimine eklenen ağ adresi ile otomatik olarak değiştirilir;
"çıkış" anahtar sözcüğü otomatik olarak varsayılan yolun eklendiği arayüzün adı ve IP'si ile "(çıkış)" ile değiştirilir. Bu değerler, bir değişiklik olduğunda dinamik olarak güncellenir.

# Macros int_if="rl0" ports_ouverts_pour_tous="{ http https }" ports_ouverts_pour_lequipe="{ ssh 21 60000:60100 }" # Tables table <ip_de_lequipe> { XXX.XXX.XXX.XXX, XXX.XXX.XXX.XXX, XXX.XXX.XXX.XXX } # Normalisation du trafic scrub in no-df # NAT nat on egress -> (egress) # Règles de filtrage block in pass out keep state pass in on egress proto tcp from <ip_de_lequipe> to port $ports_ouverts_pour_lequipe pass in on egress proto tcp to port $ports_ouverts_pour_tous block in quick on $int_if proto tcp from $int_if:network to port 4662 pass quick on !egress

Ayrıca görün

Diğer ücretsiz güvenlik duvarları

Linux nftables , ücretsiz güvenlik duvarı çekirdeği Linux v 3.13'ten temin edilebilir
Linux Netfilter , Linux 2.4 ve 2.6 çekirdekleri için ücretsiz güvenlik duvarı .
Linux Ipchains , Linux 2.2 çekirdeğinin ücretsiz güvenlik duvarı .
IPFilter veya IPF , BSD ve Solaris 10 ücretsiz güvenlik duvarı .
Ipfirewall veya IPFW , FreeBSD'nin ücretsiz güvenlik duvarı .

Dış bağlantılar

(inç) [1]
(fr) Resmi KM SSS
(tr) Resmi PF SSS
(tr) pf.conf man sayfası (yapılandırma biçimi)
(tr) pfctl kılavuz sayfası (ana pf komutu)
(tr) brconfig kılavuz sayfası (Köprü filtresi)
(tr) PF: CARP ve pfsync ile yüksek güvenlik duvarı kullanılabilirliği
(fr) PF: CARP ve pfsync ile yüksek güvenlik duvarı kullanılabilirliği
( fr ) CoreForce web sitesi
(tr) PF'yi kontrol eden UPnP arka plan programı projesi