|
|
|
Компьютеры - Packet Filter - Таблицы адресов11 мая 2011
Оглавление:
1. Packet Filter
2. Архитектура
3. Порядок работы
4. Таблицы адресов
5. Блоки правил
Одной из самых интересных возможностей PF является работа с таблицами адресов:
- Таблицы могут содержать как IPv4-, так и IPv6-адреса, вместе с маской подсети для каждого;
- Записи в таблице могут быть быть помечены как исключение, что позволяет кратко описывать сложную топологию;
- Поиск по таблице происходит быстрее, чем линейный поиск по набору адресов;
- Таблицы могут быть произвольным образом изменены без необходимости перезагружать правила;
- По каждой записи в таблице может вестись статистика;
- Посредством опции фильтрации overload в выбранную таблицу могут помещаться адреса, превышающие те или иные ограничения на количество соединений;
- Записи в таблицах могут быть автоматически удалены по достижении указанного времени их существования.
Например, в таблицу можно занести все приватные адреса в единую таблицу и затем блокировать попытки подключения извне от якобы этих адресов всего одним правилом.
Более того, путём использования пометок об исключении адресов можно путём всего трёх записей в таблице указать такую конфигурацию: в таблицу входит диапазон 10.0.0.0/8, кроме 10.0.3.192/26, плюс ещё входит 10.0.3.211. Соответствующие записи в таблицу можно заносить в любом порядке, PF будет их использовать в соответствии с их префиксами.
Сторонние программы через системный вызов ioctl или посредством вызова программы pfctl могут управлять содержимым таблиц. Например, DHCP-сервер dhcpd из состава OpenBSD поддерживает использование до трёх таблиц PF:
- таблица, в которую добавляются IP-адреса новых DHCP-клиентов
- таблица, из которой удаляются освобождающиеся IP-адреса
- таблица, в которой поддерживается список временно запрещённых к использованию IP-адресов
Просмотров: 4461
|