Розбираємо простий конфиг PF
Налаштування pf. (Огляд можливостей + розбір конфіга + приклад ip spoofing'a)
Частина 1. Огляд можливостей, установка.
OpenBSD.
OpenBSD є материнською платформою для PF (саме на ній він з'явився вперше,
а потім був портований на інші BSD), тому він присутній у всіх її версіях.
Для включення PF в OpenBSD потрібно:
і можна ще вказати конфиг файл
FreeBSD.
У всіх свіжих версіях FreeBSD він вже присутній в якості завантаження модуля.
Але я включив його в ядро явно (це необов'язково):
і ОБОВ'ЯЗКОВО включіть такі опції в ядро Ви хочете використовувати пріоритезацію і черги ALTQ
а FreeBSD нижче версії 7.0 (або OpenBSD нижче версії 4.1)
сприйме це правило як:
в нових версіях BSD (FreeBSD 7.0 і OpenBSD 4.1) особисто я віддаю перевагу все одно явно писати keep state (хоча це необов'язково і приймається за замовчуванням), тому що особливих труднощів це не становить, а зворотна сумісність зі "старими" версіями PF в наявності. Наприклад, конфиг з пункту 2 узятий з сервера під керуванням ОС FreeBSD 7.0, але у мене є сервер і на 6.3, на якому зараз IPFW як файрволу, потім коли буду переводити все на PF менше шансів заплутатися на таку дрібницю як стану keep state.
хотілося отримати один гібридний асиметричний канал з великою швидкістю на віддачу і при цьому платити тільки за безліміт. Погуглити чуйна я з'ясував що це можна реалізувати за допомогою ip spoofing'a зробивши наступне:
У наступній статті розглянемо більш складний конфиг з чергами ALTQ, серверами в DMZ, які вимагають доступ зовні, і обмеженим списком сервісів, до яких можуть звертатися користувачі нашої мережі. Ну і якщо вийде, загорніть трафік на squid.
PS: Якорі (anchors) детально розібрані в статті у BlackCat'a, рекомендую.