PF: Primeiros Passos

Conteúdo

Ativação
Configuração
Controle

Ativação

Para ativar o PF e fazê-lo ler seu arquivo de configuração na inicialização, adicione a linha

pf=YES

ao arquivo /etc/rc.conf.local.

Reinicialize o sistema para ativar as alterações.

Você também pode ativar e desativar manualmente o PF usando o programa pfctl(8):

# pfctl -e # pfctl -d

para habilitar e desabilitar, respectivamente. Perceba que isso apenas habilita ou desabilita o PF, na verdade ele ainda não carregou o conjunto de regras. O conjunto de regras deve ser carregado separadamente, o que pode ser feito antes ou depois do PF estar habilitado.

Configuração

O PF lê sua configuração de regras do arquivo /etc/pf.conf na hora da inicialização, conforme a sequência dos scripts rc. Embora o arquivo /etc/pf.conf seja o arquivo padrão carregado pelos scripts rc do sistema, ele é apenas um arquivo de texto carregado e interpretado pelo pfctl(8) e inserido no pf(4). Para algumas aplicações, outros conjuntos de regras podem ser carregados a partir de outros arquivos após a inicialização. Assim como todo aplicativo Unix bem projetado, o PF oferece uma grande flexibilidade.

O arquivo pf.conf tem sete partes:

Macros: Variáveis definidas pelo usuário, que podem armazenar endereços IP, nomes de interfaces, etc.
Tabelas: Uma estrutura usada para armazenar listas de endereços IP.
Opções: Várias opções de controle do funcionamento do PF.
Scrub: Reprocessamento de pacotes para normalização e desfragmentação.
Enfileiramento: Fornece o controle de largura de banda e a priorização de pacotes.
Tradução: Controla a Tradução do Endereço de Rede (NAT - "Network Address Translation") e o redirecionamento de pacotes.
Regras de Filtragem: Permite a filtragem seletiva ou bloqueio de pacotes conforme eles passam pelas interfaces.

Com a exceção de macros e tabelas, cada seção deve aparecer nessa ordem no arquivo de configuração, contudo nem todas as seções precisam existir em determinadas utilizações.

Linhas em branco são ignoradas, e linhas começando com # são tratadas como comentários.

Controle

Após a inicialização, a operação do PF pode ser feita usando o programa pfctl(8). Alguns exemplos de comandos:

     # pfctl -f /etc/pf.conf     Carrega o arquivo pf.conf
     # pfctl -nf /etc/pf.conf    Analisa o arquivo, mas não carrega-o
     # pfctl -Nf /etc/pf.conf    Carrega apenas as regras de NAT do arquivo
     # pfctl -Rf /etc/pf.conf    Carrega apenas as regras de filtragem do arquivo

     # pfctl -sn                 Mostra as regras atuais de NAT
     # pfctl -sr                 Mostra as regras atuais de filtragem
     # pfctl -ss                 Mostra a tabela de estados atual
     # pfctl -si                 Mostra as estatísticas e os contadores de filtragem
     # pfctl -sa                 Mostra TUDO o que pode ser mostrado

Para uma lista completa dos comandos, por favor consulte a página de manual do pfctl(8).

[Conteúdo] [Próximo: Listas e Macros]

www@openbsd.org
$OpenBSD: config.html,v 1.12 2009/10/19 09:39:59 ajacoutot Exp $