C.2.1. Основы конфигурирования пакетного фильтра

# pfctl -t spammers -T add 218.70.0.0/16
            

# pfctl -t spammers -T show
            

# pfctl -t crackers -Ts -v
    222.122.26.172
        Cleared:     Sun Jan 21 18:45:49 2007
        In/Block:    [ Packets: 0                  Bytes: 0                  ]
        In/Pass:     [ Packets: 0                  Bytes: 0                  ]
        Out/Block:   [ Packets: 0                  Bytes: 0                  ]
        Out/Pass:    [ Packets: 0                  Bytes: 0                  ]
    222.175.172.2
        Cleared:     Sun Jan 21 18:45:49 2007
        In/Block:    [ Packets: 0                  Bytes: 0                  ]
        In/Pass:     [ Packets: 0                  Bytes: 0                  ]
        Out/Block:   [ Packets: 0                  Bytes: 0                  ]
        Out/Pass:    [ Packets: 0                  Bytes: 0                  ]
....................
            

# pfctl -t spammers -T delete 218.70.0.0/16
            

table <goodguys> { 172.16.0.0/16, !172.16.1.0/24, 172.16.1.100 }
block in on dc0 all
pass  in on dc0 from <goodguys> to any
            

172.16.50.5

Сеть с наибольшей маской — 172.16.0.0/16; пакет соответствует таблице и будет пропущен.

172.16.1.25

Сеть с наибольшей маской — !172.16.1.0/24; пакет не соответствует таблице и будет отброшен.

172.16.1.100

Сеть с наибольшей маской (а точнее хост) — 172.16.1.100; пакет соответствует таблице и будет пропущен.

10.1.4.55

Подходящих записей в таблице нет. Пакет не соответствует таблице и будет отброшен.

action [direction] [log] [quick] [on interface] [af] [proto protocol] \
    [from src_addr [port src_port]] [to dst_addr [port dst_port]] \
    [flags tcp_flags] [state]
            

action

Действие может быть либо pass, либо block. Действие pass приводит к тому, что пакет возвращается в ядро и направляется на другие правила. Действие block приводит к тому, что срабатывают настройки из политики block-policy (см. Раздел C.2.2.1, «Опции в пакетном фильтре», или настройки определённые при помощи опций if-bound). (Назначение данной политики состоит в том, чтобы просто отбросить пакет, или выслать назад какой-нибудь пакет: TCP с флагом reset или ICMP Unreachable.) Политика может быть переопределена в правиле: block drop или block return.

direction

Направление пакета при прохождении через интерфейс: in или out.

log

Указывает, что пакет должен быть журналирован при помощи системы pflog(8). Если указаны опции keep state, modulate state или synproxy state — в журнал попадают только пакеты открывшие соединение. Если надо, чтобы в журнал попали вообще все пакеты, применяйте правило log (all).

quick

Если пакет соответствует правилу с ключевым словом quick, то данное правило считается последним и к пакету немедленно применяется действие action. (Т.е. если у всех правил будет высталена опция quick, то мы будем иметь дело с брандмауэром в котором первое правило выигрывает.)

interface

Имя сетевого интерфейса, через который проходит пакет, или имя группы сетевых интерфейсов. Группы можно создавать при помощи команды ifconfig(8) (только в OpenBSD). Кроме того, некоторые группы создаются ядром автоматически:

• Группа egress, который содержит все интерфейсы, через которые проходят маршруты по умолчанию.
• Группы «клонированных» интерфейсов (ppp или carp).

af

Address family — inet для адресов IPv4 и inet6 для адресов IPv6. Обычно пакетный фильтр может определить требуемый протокол по указанным в правиле адресам.

protocol

Протокол транспортного уровня. Возможные варианты:

• tcp
• udp
• icmp
• Имя протокола из файла /etc/protocols.
• Номер протокола от 0 до 255
• Несколько протоколов описаных при помощи списка.

src_addr, dst_addr

Адрес источника или назначения пакета. Возможные варианты:

• Просто одиночный адрес IPv4, или IPv6
• Сеть в формате CIDR
• Полностью разрешённое доменное имя (FQDN), которое будет переведено в IP-адрес через DNS при загрузке правила. Все адреса соответствующие данному имени будут помещены в данное правило.
• Имя интерфейса или группы. Все адреса, закреплённые за интерфейсом, будут подставлены в правило.
• Имя интерфейса с суффиксом /netmask (например /24). Ко всем адресам закреплённым за данным интерфейсом, будет добавлена данная сетевая маска, и полученные сети CIDR будут добавлены в данное правило.
• Имя сетевого интерфейса или группы, взятое в круглые скобки (...). Данное правило будет автоматически меняться при смене адреса закреплённого за интерфейсом. Это полезно для DHCP клиентов.

• Имя сетевого интерфейса, за которым идёт один из следующих модификаторов:

  :network

  Замещается сетью CIDR закреплённой за данным интерфейсом

  :broadcast

  Замещается широковещательным адресом закреплённым за данным интерфейсом

  :peer

  Замещается адресом партнёра для point-to-point интерфейса.

  Кроме того, за именем интерфейса или за любым из перечисленных выше модификаторов, может следовать модификатор :0, указывающий на то, что нас не интересуют алиасы, т.е. дополнительные адреса, котрые можно добавить к сетевому интерфейсу (см. Раздел 6.15, «Знание как и когда устанавливать или удалять алиасы сетевого интерфейса»). Например: fxp0:network:0.

• Таблица
• Любая из приведённых выше конструкций с символом отрицания — !.
• Перечень конструкций с использованием списка.
• Ключевое слово any, означающее все адреса.
• Ключевое слово all, которое является эквивалентом конструкции from any to any.

src_port, dst_port

Порт источника или назначения в заголовке транспортного уровня. Возможны следующие варианты:

• Число от 1 до 65535
• Имя протокола из файла /etc/services.
• Перечень конструкций с использованием списка.

• Диапазоны портов с применением следующих операторов:

  !=

  Неравно

  <

  Меньше чем

  >

  Больше чем

  <=

  Меньше или равно

  >=

  Больше или равно

  ><

  Диапазон (исключающий концы)

  <>

  Инвертированный диапазон

  :

  Диапазон включающий концы

  Последние три оператора бинарные (принимают два аргумента). При этом <> и >< не включают аргументы в диапазон, а : включает.

tcp_flags

Указывает какие флаги TCP должны быть выставлены в пакете, если указано proto tcp. Флаги задаются как flags check/mask. mask — список проверяемых флагов, check — список флагов, которые должны быть включены. Например директива flags S/SA означает, что мы ищем пакет у которого выключен флаг ACK, и включён флаг SYN, а остальные флаги нас не интересуют.

state

Указывает сохраняется ли данным правилом информация о состоянии соединения. Возможные варианты:

keep state

Работает для протоколов TCP, UDP и ICMP

modulate state

Работает только с TCP. Пакетный фильтр генерирует устойчивые к атакам номера последовательностей (ISN) для пакетов соответствующих данному правилу.

synproxy state

Пробрасывает входящие пакеты TCP помогая защитить серверы от SYN флуда (когда атакующий посылает большое количество пакетов с флагом SYN, открывающих соединение, тем самым пытаясь организовать DOS атаку на сервер). Данная опция включает в себя функционал опций keep state и modulate state.

user <user>

Пакет соответствует правилу, если он принадлежит сокету, которым владеет <user>.

group <group>;

Аналогично.

icmp-type <type> code <code>

Правило соответствует пакету ICMP с указанным типом и кодом.

icmp6-type <type> code <code>

Аналогично.

tos <string|number>

Правило соответствует пакетам с указанным значением TOS. Возможные варианты: lowdelay, throughput, reliability или десятичное или шестнадцатеричное значение. Например, следующие строки эквивалентны:

pass all tos lowdelay
pass all tos 0x10
pass all tos 16
                  

allow-opts

Обычно, пакеты содержашие опции IP блокируются. Данный критерий позволяет изменить это поведение.

label <string>

Правило метится при помощи метки <string>. Просмотреть статистику по помеченным правилам можно при помощи команды pfctl(8) с опцией -s label. Метки можно использовать для предотвращения оптимизации, что важно при написании биллинговой системы.

При объявлении меток можно использовать следующие макросы:

$if

интерфейс

$srcaddr

адрес источника

$dstaddr

адрес назначения

$srcport

порт источника

$dstport

порт назначения

$proto

название протокола

$nr

номер правила

Например:

ips = "{ 1.2.3.4, 1.2.3.5 }"
pass in proto tcp from any to $ips \
     port > 1023 label "$dstaddr:$dstport"
                  

эквивалентно

pass in proto tcp from any to 1.2.3.4 \
      port > 1023 label "1.2.3.4:>1023"
pass in proto tcp from any to 1.2.3.5 \
      port > 1023 label "1.2.3.5:>1023"
                  

queue <queue> | (<queue>, <queue>)

Ассоциация трафика с некоторой очередью. См. Раздел C.2.2.4, «Очереди, приоритеты (регулировка полосы пропускания)»

tag <string>

Присваивание пакету некоторого маркера. См. Раздел C.2.2.6.1, «Присваивание маркера пакетам»

tagged <string>

Ссылка на помеченный пакет. См. Раздел C.2.2.6.2, «Проверка маркеров»

fastroute

Пакет будет маршрутизирован обычным образом

route-to <interface> [nexthop]

Указывается интерфейс через который надо выпустить пакет и, необязательно, адрес следующего шлюза. Правило применяется к пакетам начинающим соединение и не относится к ответам.

reply-to <interface> [nexthop]

Указывает через какой интерфейс надо испускать ответные пакеты. Имеет смысл только при условии использования таблицы состояний соединений. Можно использовать на шлюзах с несколькими внешними интефейсами для распределения нагрузки.

dup-to <interface> [nexthop]

Создаёт копию пакета и маршрутизирует её как если бы была применена опция route-to. Оригинальный пакет маршрутизируется обычным образом.

rtable <number>

Ссылка на некоторую конкретную таблицу маршрутизации. Имеет смысл только до того, как осуществится маршрутизация, т.е. для входящего трафика.

probability <num>

Вероятность срабатывания правила. Задаётся как дробь от 0 до 1 или в процентах. Например, следующее правило отбрасывает пакеты ICMP с вероятностью 20%:

block in proto icmp probability 20%
                  

block in  all
block out all
            

# Пропускать трафик из локальной сети (192.168.0.0/24) идущий через
# интерфейс dc0 на машину OpenBSD (FreeBSD, NetBSD) с адресом 192.168.0.1,
# а так же выпускать ответный трафик.
pass in  on dc0 from 192.168.0.0/24 to 192.168.0.1
pass out on dc0 from 192.168.0.1 to 192.168.0.0/24

# Пропускать TCP трафик на интерфейсе fxp0 направленный на web сервер
# запущенный на нашей OpenBSD (FreeBSD, NetBSD) машине. Имя интерфейса
# использовано в качестве адреса назначения, поэтому правилу
# соответствуют только пакеты направленные к нам.
pass in on fxp0 proto tcp from any to fxp0 port www
            

block in on fxp0 proto tcp from any to any port ssh
pass  in all
              

block in quick on fxp0 proto tcp from any to any port ssh
pass  in all
              

pass  in all
block in on fxp0 proto tcp from any to any port ssh
              

pass out on fxp0 proto tcp from any to any keep state
            

pass out on fxp0 proto { tcp, udp, icmp } from any to any modulate state
            

pass out on fxp0 proto { tcp, udp, icmp } from any \
  to any modulate state (if-bound)
            

max number

Ограничение максимального количества записей в таблице состояний, которое может сделать данное правило. По достижении этого предела, будет отброшен любой пакет, который должен был бы завести новую запись в таблице состояний. Пакеты будут отбрасываться до тех пор, пока число записей в таблице состояний не уменьшится.

source-track

Эта опция даёт возможность отслеживать количество записей в таблице состояний в пересчёте на каждый адрес источника. Возможные форматы опции:

• source-track rule — Максимальное количество записей в таблице состояний созданных данным правилом ограничивается опциями max-src-nodes и max-src-states, заданными в этом правиле. Счётчики заводятся не глобальные, а локальные.
• source-track global — То же что и в предыдущем слуаче, но счётчики ведутся глобально. При этом каждое правило может иметь свои пределы max-src-nodes и max-src-states, однако счётчики будут общими для всех правил.

Общее количество адресов источников, для которых осуществляется глобальный контроль количества строк в таблице состояний, ограничивается при помощи опции src-nodes. (См. Раздел C.2.2.1, «Опции в пакетном фильтре»)

max-src-nodes number

При использовании опции source-track опция max-src-nodes ограничивает количество IP-адресов с которых можно одновременно открыть соединения.

max-src-states number

При использовании опции source-track опция max-src-states ограничивает количество соединений с одного IP-адреса.

pass in on $ext_if proto tcp to $web_server \
    port www flags S/SA keep state \
    (max 200, source-track rule, max-src-nodes 100, max-src-states 3)
            

• Данное правило может создать не более 200 записей в таблице состояний.
• Включается отслеживание исходящих IP-адресов. Ограничения действуют только на данное правило.
• Максимальное количество одновременно подключённых к серверу IP-адресов — 100 штук.
• С одного IP адреса можно открыть не более 3-х соединений.

max-src-conn number

Ограничение максимального количества TCP соединений прошедших тройное рукопожатие, которые можно открыть с одного IP-адреса.

max-src-conn-rate number / interval

Ограничение скорости с которой можно открывать новые соединения. Задаётся количество соединений за интервал времени.

overload <table>

При превышении лимитов занести адрес источника в таблицу.

flash [global]

Уничтожить все записи в таблице состояний соответствующие соединениям с данного IP-адреса. При указании опции global записи в таблице состояний сбрасываются независимо от того, какое правило её создало.

table <abusive_hosts> persist
block in quick from <abusive_hosts>

pass in on $ext_if proto tcp to $web_server \
    port www flags S/SA keep state \
    (max-src-conn 100, max-src-conn-rate 15/5, overload <abusive_hosts> flush)
            

• Максимальное количество соединений с одного IP-адреса — 100 штук.
• Скорость с которой можно делать новые соединения ограничена — не более 15 соединений за 5 секунд.
• Адреса хостов, которые превысили эти лимиты заносятся в таблицу <abusive_hosts>. Это приведёт к тому, что данные адреса больше не смогут открывать соединения к серверу (см. правило block).
• Для каждого «проштрафившегося» адреса удаляются все записи из таблицы состояний появившиеся там благодаря данному правилу.

pass in on fxp0 proto tcp from any to any port ssh flags S/SA
            

pass out on fxp0 proto tcp all flags S/SA keep state
            

. . . flags S/FSRPAUEW  плохая идея!!
            

. . . flags S/SAFR
            

scrub in on fxp0
.
.
.
pass in on fxp0 proto tcp from any to any port ssh flags S/SA keep state
            

pass in on $ext_if proto tcp from any to $web_server port www \
    flags S/SA synproxy state
            

antispoof [log] [quick] for interface [af]
            

log

Пакеты будут помещаться в журнал при помощи pflogd(8)

quick

Пакет соответствующий правилу будет немедленно отброшен и не пойдёт на другие правила, которые могут его пропустить.

interface

Сетевой интерфейс на котором производится защита от спуфинга (здесь может быть указан список)

af

Протокол для которого осуществляется защита. Может быть как IPv4, так и IPv6. Соответственно inet и inet6.

antispoof for fxp0 inet
            

block in on ! fxp0 inet from 10.0.0.0/24 to any
block in inet from 10.0.0.1 to any
            

• Блокируется весь входящий трафик из сети 10.0.0.1/24 (поскольку на самом деле такой трафик может быть только исходящим).
• Блокируется весь трафик с адреса 10.0.0.1. Машина не должна посылать пакеты сама себе, иначе как на кольцевом интерфейсе. Таким образом, весь входящий трафик у которого исходящий IP 10.0.0.1 должен рассматриваться как злонамеренный.

block in quick from urpf-failed label uRPF
            

block in quick on ! enc0 from urpf-failed label uRPF
            

# pfctl -s osfp
Class   Version Subtype(subversion)
-----   ------- -------------------
AIX
AIX     4.3
AIX     4.3     2
AIX     4.3     2-3
AIX     4.3     3
AIX     5.1
AIX     5.1-5.2
AIX     5.2
AIX     5.3
AIX     5.3     ML1
.......
            

pass  in on $ext_if from any os OpenBSD keep state
block in on $ext_if from any os "Windows 2000"
block in on $ext_if from any os "Linux 2.4 ts"
block in on $ext_if from any os unknown
            

pass in quick on fxp0 all allow-opts
            

ext_if  = "fxp0"
int_if  = "dc0"
lan_net = "192.168.0.0/24"

# Таблица содержит все IP адреса принадлежащие брандмауэру
table <firewall> const { self }

# Не фильтруем пакеты на кольцевом интерфейсе
set skip on lo0

# Нормализуем входящий трафик
scrub in all

# Политика по умолчанию
block all

# Включаем защиту от спуфинга на внутреннем интерфейсе
antispoof quick for $int_if inet

# Разрешаем ssh соединения из локальной сети только с доверенного
# компьютера 192.168.0.15. Использование "block return" приведёт  тому,
# что будет возвращаться пакет TCP RST для того, чтобы заблокированное
# соединение закрывалось правильным образом. "quick" используется для
# того, чтобы идущие ниже правила pass не переопределили данное
# действие.
block return in quick on $int_if proto tcp from ! 192.168.0.15 \
    to $int_if port ssh flags S/SA

# Разрешить весь трафик из локальной сети к брандмауэру и обратно
pass in  on $int_if from $lan_net to any
pass out on $int_if from any to $lan_net

# Пропустить исходящие tcp, udp и icmp пакеты на внешнем интерфейсе.
# Сохранять состояния соединений.
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state

# Разрешить сединения ssh на внешнем интерфейсе если они направлены не
# брандмауэру, а другой машине (во внутренней сети). Первый пакет
# заносить в журнал, чтобы потом можно было сказать кто решил открыть
# соединение. Использовать syn proxy для защиты от syn флуда.
pass in log on $ext_if proto tcp from any to ! <firewall> \
    port ssh flags S/SA synproxy state
            

# sysctl -w net.inet.ip.forwarding=1
# sysctl -w net.inet6.ip6.forwarding=1   <==(если исппользуется IPv6)
            

net.inet.ip.forwarding=1
net.inet6.ip6.forwarding=1
            

nat [pass [log]] on interface [af] from src_addr [port src_port] to \
    dst_addr [port dst_port] -> ext_addr [pool_type] [static-port]
            

nat

Ключевое слово с которого начинаются правила NAT.

pass

Указывает, что пакет не должен направляться на фильтрующие правила.

log

Если указано ключевое слово pass, пакеты заносятся в журнал при помощи pflogd(8). В норме в журнал попадает только первый пакет, при необходимости журналировать все пакеты используйте log (all).

interface

Имя сетевого интерфейса (или имя группы сетевых интерфейсов) на котором осуществляется трансляция.

af

Address family — inet для адресов IPv4 и inet6 для адресов IPv6. Обычно пакетный фильтр может определить требуемый протокол по указанным в правиле адресам.

src_addr, dst_addr

Адрес источника или назначения пакета. Возможные варианты:

• Просто одиночный адрес IPv4, или IPv6
• Сеть в формате CIDR
• Полностью разрешённое доменное имя (FQDN), которое будет разрешено через DNS при загрузке правила. Все адреса соответствующие данному имени будут помещены в данное правило.
• Имя интерфейса или группы. Все адреса закреплённые за интерфейсом будут подставлены в правило.
• Имя интерфейса, за которым идёт /netmask (например /24). Ко всем адресам закреплённым за данным интерфейсом, будет добавлена данная сетевая маска, и полученные сети CIDR будут добавлены в данное правило.
• Имя сетевого интерфейса или группы, взятое в круглые скобки (...). Данное правило будет автоматически меняться при смене адреса закреплённого за интерфейсом. Это может быть полезно, например, для DHCP клиентов.

• Имя сетевого интерфейса, за которым идёт один из следующих модификаторов:

  :network

  Замещается сетью CIDR закреплённой за данным интерфейсом

  :broadcast

  Замещается широковещательным адресом закреплённым за данным интерфейсом

  :peer

  Замещается адресом партнёра для point-to-point интерфейса.

  Кроме того, за именем интерфейса или за любым из перечисленных выше модификаторов, может следовать модификатор :0, указывающий на то, что нас не интересуют алиасы, т.е. дополнительные адреса, котрые можно добавить к сетевому интерфейсу (см. Раздел 6.15, «Знание как и когда устанавливать или удалять алиасы сетевого интерфейса»). Например: fxp0:network:0.

• Таблица
• Любая из приведённых выше конструкций с символом отрицания — !.
• Перечень конструкций с использованием списка.
• Ключевое слово any, означающее все адреса.
• Ключевое слово all, которое является эквивалентом конструкции from any to any.

src_port, dst_port

Порт источника или назначения в заголовке транспортного уровня. Возможны следующие варианты:

• Число от 1 до 65535
• Имя протокола из файла /etc/services.
• Перечень конструкций с использованием списка.

• Диапазоны портов с применением следующих операторов:

  !=

  Неравно

  <

  Меньше чем

  >

  Больше чем

  <=

  Меньше или равно

  >=

  Больше или равно

  ><

  Диапазон (исключающий концы)

  <>

  Инвертированный диапазон

  :

  Диапазон включающий концы

  Последние три оператора бинарные (принимают два аргумента). При этом <> и >< не включают аргументы в диапазон, а : включает.

ext_addr

Внешний адрес NAT шлюза, к которому приводится адрес источника при трансляции. Допустимы те же варианты, что и для src_addr и dst_addr, кроме таблиц, отрицаний с помощью ! и ключевого слова any. Нельзя использовать модификатор :broadcast.

pool_type

Укаывает тип адресного пула (см. Раздел C.2.2.5, «Адресные пулы, балансировка нагрузки»).

static-port

Указывает фильтру не транслировать номера портов источника.

nat on tl0 from 192.168.1.0/24 to any -> 24.5.0.5
            

nat on tl0 from dc0:network to any -> tl0
            

nat on tl0 from dc0:network to any -> (tl0)
            

web_serv_int = "192.168.1.100"
web_serv_ext = "24.5.0.6"
binat on tl0 from $web_serv_int to any -> $web_serv_ext
            

no nat on tl0 from 192.168.1.208 to any
nat on tl0 from 192.168.1.0/24 to any -> 24.2.74.79
            

# pfctl -s state
fxp0 TCP 192.168.1.35:2132 -> 24.5.0.5:53136 -> 65.42.33.245:22 TIME_WAIT:TIME_WAIT
fxp0 UDP 192.168.1.35:2491 -> 24.5.0.5:60527 -> 24.2.68.33:53   MULTIPLE:SINGLE
            

fxp0

Интерфейс на котором происходит трансляция.

TCP

Протокол

192.168.1.35:2132

IP адрес внутренней машины (192.168.1.35) и порт открытый на этой машине (2132). Эти параметры подменяются при трансляции.

24.5.0.5:53136

Внешний IP адрес шлюза (24.5.0.5) и порт открытый на шлюзе (53136). Эти параметры подставляются при трансляции на место исходного адреса и исходного порта.

65.42.33.245:22

IP адрес назначения (65.42.33.245) и порт назначения (22).

TIME_WAIT:TIME_WAIT

Пакетный фильтр считает, что TCP соединение пребывает в указанном состоянии.

rdr on tl0 proto tcp from any to any port 80 -> 192.168.1.20
            

rdr on tl0 proto tcp from 27.146.49.0/24 to any port 80 -> \
   192.168.1.20
            

rdr on tl0 proto tcp from 27.146.49.14 to any port 80 -> \
   192.168.1.20
rdr on tl0 proto tcp from 16.114.4.89 to any port 80 -> \
   192.168.1.22
rdr on tl0 proto tcp from 24.2.74.178 to any port 80 -> \
   192.168.1.23
            

rdr on tl0 proto tcp from any to any port 5000:5500 -> \
   192.168.1.20 
rdr on tl0 proto tcp from any to any port 5000:5500 -> \
   192.168.1.20 port 6000 
rdr on tl0 proto tcp from any to any port 5000:5500 -> \
   192.168.1.20 port 7000:* 
            

• 192.0.2.1 — хост в Интернет
• 24.65.1.13 — внешний адрес OpenBSD (или FreeBSD) шлюза
• 192.168.1.5 — внутренний IP адрес web-сервера.

rdr on tl0 proto tcp from 192.0.2.1 to 24.65.1.13 port 80 \
   -> 192.168.1.5 port 8000
            

• Исходящий адрес — 192.0.2.1
• Исходящий порт — 4028
• Адрес назначения — 24.65.1.13
• Порт назначения — 80

• Исходящий адрес — 192.0.2.1
• Исходящий порт — 4028
• Адрес назначения — 192.168.1.5
• Порт назначения — 8000

server = 192.168.1.40
rdr on $ext_if proto tcp from any to $ext_if port 80 -> $server \
   port 80
            

Сервер DNS можно настроить так, что он будет давать разные ответы в разные сети. Можно сделать так, чтобы локальные клиенты ходили на сервер непосредственно, без помощи шлюза. Такое решение, к тому же, снижает нагрузку на шлюз.

Можно переместить сервер в отдельную сеть (см. так же DMZ) и добавить новый сетевой интерфейс в шлюз.

Можно произвести проксирование TCP соединений при помощи приложений из userspace. Приложение перехватывает соединение, устанавливает соединение с сервером и далее пробрасывает данные через себя. Простейший пример можно сделать при помощи inetd(8) (см. Раздел 5.17.2, «Суперсервер inetd(8)»)и nc(1) (см. Раздел 6.4.4, «telnet(1), nc(1)»). Следующая строка в /etc/inetd.conf(5) создаёт сокет привязанный к кольцевому интерфейсу, порт номер 5000. Соединение пробрасывается на 80-й порт машины 192.168.1.10:

127.0.0.1:5000 stream tcp nowait nobody /usr/bin/nc nc -w 20 192.168.1.10 80
              

Теперь на внутреннем интерфейсе мы можем связать 80-й порт с нашим proxy-сервером:

rdr on $int_if proto tcp from $int_net to $ext_if port 80 -> \
   127.0.0.1 port 5000
              

И наконец, в комбинации с правилом NAT можно достичь того, что трансляция адресов источника так же будет осуществляться и соединение будет устанавливаться ожидаемым образом.

rdr on $int_if proto tcp from $int_net to $ext_if port 80 -> $server 
no nat on $int_if proto tcp from $int_if to $int_net
nat on $int_if proto tcp from $int_net to $server port 80 -> $int_if
              

Эти правила приведут к тому, что первый пакет поступивший от клиента будет заново транслирован, когда будет отправлен через внутренний интерфейс, при этом у него будет подменён адрес источника на внутренний адрес шлюза. Внутренний сервер ответит шлюзу, который вернёт адреса обратно благодаря NAT и RDR трансляциям и пакет отправится к клиенту. Это достаточно сложный приём. Нужна осторожность, чтобы не применить правила NAT к другому трафику, например к внешним соединениям (прошедшим через другие правила rdr) или к соединениям самого шлюза. Так же имейте ввиду, что это преобразование приводит к тому, что TCP/IP стек видит данные пакеты, полученные внутренним интерфейсом, как направляющиеся внутрь сети.

Авторы документации к пакетному фильтру рекомендуют в общем случае использовать какое-нибудь из предыдущих решений вместо последнего.

# define macros for each network interface
IntIF = "dc0"
ExtIF = "fxp0"
DmzIF = "fxp1" 

# define our networks
IntNet = "192.168.0.0/24"
ExtAdd = "24.65.13.4"
DmzNet = "10.0.0.0/24"
            

IntNet = "{ 192.168.0.0/24, 192.168.1.0/24 }"
            

block in  quick on tl0 inet from 127.0.0.0/8 to any
block in  quick on tl0 inet from 192.168.0.0/16 to any
block in  quick on tl0 inet from 172.16.0.0/12 to any
block in  quick on tl0 inet from 10.0.0.0/8 to any
block out quick on tl0 inet from any to 127.0.0.0/8
block out quick on tl0 inet from any to 192.168.0.0/16
block out quick on tl0 inet from any to 172.16.0.0/12
block out quick on tl0 inet from any to 10.0.0.0/8
            

block in  quick on tl0 inet from { 127.0.0.0/8, 192.168.0.0/16, \
   172.16.0.0/12, 10.0.0.0/8 } to any
block out quick on tl0 inet from any to { 127.0.0.0/8, \
   192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }
            

NoRouteIPs = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, \
   10.0.0.0/8 }" 
ExtIF = "tl0"
block in  quick on $ExtIF from $NoRouteIPs to any
block out quick on $ExtIF from any to $NoRouteIPs
            

pre = "pass in quick on ep0 inet proto tcp from "
post = "to any port { 80, 6667 } keep state"

# David's classroom
$pre 21.14.24.80 $post

# Nick's home
$pre 24.2.74.79 $post
$pre 24.2.74.178 $post
            

pass in quick on ep0 inet proto tcp from 21.14.24.80 to any \
   port = 80 keep state
pass in quick on ep0 inet proto tcp from 21.14.24.80 to any \
   port = 6667 keep state
pass in quick on ep0 inet proto tcp from 24.2.74.79 to any \
   port = 80 keep state
pass in quick on ep0 inet proto tcp from 24.2.74.79 to any \
   port = 6667 keep state
pass in quick on ep0 inet proto tcp from 24.2.74.178 to any \
   port = 80 keep state
pass in quick on ep0 inet proto tcp from 24.2.74.178 to any \
   port = 6667 keep state
            

Для определения политики отбрасывающей по умолчанию пакеты, следует задать два правила:

block in  all
block out all
              

Это можно сократить до

block all
              

Когда направление не указано, пакетный фильтр считает, что пакеты следуют в обе стороны.

Аналогично можно не писать from any to any и all, например:

block in on rl0 all
pass  in quick log on rl0 proto tcp from any to any port 22 keep state
              

Можно упростить до

block in on rl0
pass  in quick log on rl0 proto tcp to port 22 keep state
              

Первое правило блокирует все пакеты входящие через интерфейс rl0. Второе пропускает входящие пакеты, если они идут на 22-й порт.

Правила блокирующие пакеты и отсылающие пакеты TCP RST и ICMP Unreachable должны выглядеть так:

block in all
block return-rst in proto tcp all
block return-icmp in proto udp all
block out all
block return-rst out proto tcp all
block return-icmp out proto udp all
              

Их можно упростить до одной строки:

block return
              

Когда пакетный фильтр видит ключевое словоreturn, он сам догадывается на какой протокол каким пакетом следует отвечать, а на какие протоколы вообще не следует посылать никакого ответа при блокировании соединений.

Порядок следования ключевых слов в большинстве случаев гибок. Например, следующее правило:

pass in log quick on rl0 proto tcp to port 22 \
   flags S/SA keep state queue ssh label ssh
              

Можно переписать так:

pass in quick log on rl0 proto tcp to port 22 \
   queue ssh keep state label ssh flags S/SA
              

Другие похожие варианты тоже будут работать.

C.2.2. Углублённое конфигурирование Пакетного фильтра

ext_if = "fxp0"

block on $ext_if all
pass  out on $ext_if all keep state
anchor goodguys
            

• Используя правило load
• Используя pfctl(8)

load anchor goodguys:ssh from "/etc/anchor-goodguys-ssh"
            

# echo "pass in proto tcp from 192.0.2.3 to any port 22" | pfctl -a goodguys:ssh -f -
            

# cat >> /etc/anchor-goodguys-www
pass in proto tcp from 192.0.2.3 to any port 80
pass in proto tcp from 192.0.2.4 to any port { 80 443 }
# pfctl -a goodguys:www -f /etc/anchor-goodguys-www
            

anchor "spam/*"
            

ext_if = "fxp0"

block on $ext_if all
pass  out on $ext_if all keep state
anchor ssh in on $ext_if proto tcp from any to any port 22
            

# echo "pass in from 192.0.2.10 to any" | pfctl -a ssh:allowed -f -
            

# pfctl -a ssh -s rules
            

# pfctl -a ssh -F rules
            

• Очереди основанные на классах (Class Based Queueing, CBQ)
• Приоритетные очереди (Priority Queueing, PRIQ)
• HFSC (Hierarchical Fair Service Curve). По смыслу этот сервис очень похож на CBQ. На русский переводится примерно так: иерархические очереди основанные на подробно вычерченных кривых трафика. См. пояснения в Раздел C.2.2.4.2.3, «HFSC»

В очередях базирующиеся на классах (CBQ) алгоритм организации очереди построен на разделении полосы пропускания между различными очередями или классами. Трафик присоединяется к очереди на основании адреса источника или отправителя, порта, протокола и т.д. Очередь может быть сконфигурирована на заимствование произвольной полосы пропускания от родительской очереди, если та занимает свой канал не полностью. Очереди также могут работать с системой приоритетов, например, пропуская ssh трафик в первую очередь, по сравнению с трафиком ftp.

В CBQ очереди размещаются иерархическим способом. В самом верху — родительская очередь, определяющая общую пропускную способность. Дочерним очередям назначается некоторая часть от полосы пропускания родительской очереди. Например, очереди могут быть определены следующим способом:

Root Queue (2Mbps)

   Queue A (1Mbps)
   Queue B (500kbps)
   Queue C (500kbps)
              

Здесь общая полоса пропускания — 2 мегабита в секунду (megabits per second — Mbps), Которая разделена на три подочереди.

	Замечание
	Полосу пропускания обычно измеряют в битах в секунду. При этом 1000 bps = 1 kbps, 1000 kbps = 1 Mbps. 1 Mbps = 125000 байт в секунду или 122 килобайта в секунду.

Иерархия может быть расширена с использованием вложенности. Для того, чтобы разделить полосу пропускания между различными пользователями, при этом сделав так, что бы различные виды трафика не мешали друг другу, можно создать следующую структуру очередей:

Root Queue (2Mbps)

   UserA (1Mbps)

      ssh (50kbps)
      bulk (950kbps)

   UserB (1Mbps)

       audio (250kbps)
       bulk (750kbps)

          http (100kbps)
          other (650kbps)
              

Обратите внимание, что на каждом уровне сумма полос пропускания не может быть больше родительской.

Очередь может быть настроена таким образом, что будет заимствовать (borrow) полосу пропускания у родителя в случае неиспользования ее другими очередями. Рассмотрим такую организацию очереди:

Root Queue (2Mbps)

   UserA (1Mbps)

      ssh (100kbps)
      ftp (900kbps, borrow)

UserB (1Mbps)
              

Если трафик в очереди ftp превышает 900 kbps, а трафик в очереди UserA — меньше чем 1 Mbps (потому что очередь ssh использует меньше чем 100 kbps), полоса пропускания ftp может быть увеличена. Таким образом очередь ftp способна использовать больше чем назначенные ей 900 kbps, но в случае увеличения очереди ssh заимствованая полоса освобождается.

CBQ может назначать каждой группе определённый приоритет. В моменты перегрузки предпочтение отдается очередям с более высоким приоритетом в случае наличия у них одного родителя. При одинаковых приоритетах очереди обслуживаются циклически. Для примера:

Root Queue (2Mbps)

  UserA (1Mbps, priority 1)

     ssh (100kbps, priority 5)
     ftp (900kbps, priority 3)

UserB (1Mbps, priority 1)
              

Очереди UserA и UserB будут обрабатываться циклически, так как их приоритеты равны. В случае перегрузки в сети, предпочтение будет отдаваться ssh, так как её приоритет больше, чем у очереди ftp. При этом очереди ssh и ftp не имеют приоритета перед очередями UserA и UserB, так как они находятся на более низком уровне.

Детальная информация о CBQ приведена в References on CBQ.

Приоритетные очереди (PRIQ) создаются на сетевом интерфейсе, причем структура очередей является плоской — нельзя создавать дочерние очереди. Сперва определяется корневая очередь с указанием общей пропускной способности, а за ней все дочерние очереди. Например:

Root Queue (2Mbps)

   Queue A (priority 1)
   Queue B (priority 2)
   Queue C (priority 3)
              

Пропускная способность основной очереди определена как 2 Mbps, следом идут дочерние.

При использовании PRIQ вы должны очень тщательно планировать очереди, так как они обрабатываются строго по приоритетам и если трафик с высоким приоритетом займёт весь канал, пакеты принадлежащие трафику с низким приоритетом будут отбрасываться.

Очереди закреплённые за интерфейсом выстраиваются в иерархическое древо, каждая очередь может иметь потомка. Каждая очередь может иметь свой приоритет и свою полосу пропускания. Этот вид очереди похож на CBQ. Основное отличие HFSC от CBQ в том, что она позволяет отдельно регулировать задержки и пропускную способность очереди.

В CBQ единственный параметр очереди это полоса пропускания. Если мы нарисуем «кривую сервиса» (прохождение пакетов по времени), то это будет некоторая прямая. Единственный способ снизить задержки при работе такой очереди состоит в том, чтобы увеличить полосу пропускания.

В HFSC кривая сервиса состоит из двух линейных участков:

Кривая service curve. m1 — наклон первого участка кривой, соответствует начальной полосе пропускания и, в совокупности с параметром d, позволяет регулировать задержки независимо от полосы пропускания. d — время в течении которого действует полоса пропускания m1. m2 — конечная полоса пропускания.

Дополнительная информация о HFSC может быть найдена по адресу http://www.cs.cmu.edu/~hzhang/HFSC/main.html.

Случайное раннее обнаружение (Random Early Detection, RED) — это алгоритм определения перегрузки канала. Его целью является предотвращение переполнения очереди. Делается это путём непрерывного сравнения текущей длины очереди с минимальным и максимальным порогами. Если минимальный порог не достигнут — все пакеты пропускаются. Если достигнут максимальные порог — все пакеты отбрасываются. В промежутке пакеты отбрасываются с определённой вероятностью, зависящей от размера очереди. Чем ближе к максимальному порогу — тем выше вероятность. Пакеты для отбрасывания выбираются случайным образом из разных сессий. Чем большая полоса пропускания занимается сессией, тем выше вероятность сброса из неё пакета.

RED весьма полезен, так как позволяет избежать ситуации, называемой «глобальной синхронизацией», она проявляется в том, что связь полностью прекращается из-за одновременно отбрасываемых пакетов с разных сессий. Например, если перегрузка происходит на маршрутизаторе, обслуживающем 10 одновременных сессий ftp и будут отброшены пакеты от большинства или всех сессий, общая пропускная способность резко понизится. RED позволяет избежать этого, выбирая сессии из которых терять пакеты случайным образом. Поскольку сессии занимающие больше полосы пропускания имеют больший шанс на потерю пакета, то возможность возникновения перегрузки исчезнет и больших потерь трафика не произойдет. Кроме того, RED позволяет обработать взрывной всплеск трафика, так как начинает отбрасывать пакеты до переполнения очереди.

RED должен использоваться только тогда, когда транспортный протокол способен реагировать на индикаторы перегрузки сети. В большинстве случаев это означает, что RED должен применяться только к очередям TCP, а не к очередям UDP или ICMP.

Детальная информация о RED приведена в References on RED.

Явное уведомление о перегрузке (ECN) работает совместно с RED и применяется для уведомления двух связанных хостов о перегрузке сети. Делается это разрешением RED установить флаг в заголовке пакета, вместо того, чтобы отбросить пакет. Если удалённый хост поддерживает ECN и читает флаги ECE и CWR, то он начинает снижать исходящий трафик (см. Таблица B.3, «Флаги TCP», [RFC-3168]).

altq on

определяет интерфейс, на котором будет организована очередь и создаёт корневую очередь.

queue

определяет свойства дочерних очередей.

altq on interface scheduler bandwidth bw qlimit qlim \
   tbrsize size queue { queue_list }
            

interface

сетевой интерфейс на котором активируется очередь

scheduler

какой планировщик будет использован. Доступные значения cbq и priq. На интерфейсе в один момент времени можно установить только один планировщик.

bw

общая пропускная способность, доступная планировщику. Может содержать аббревиатуры b, Kb, Mb, Gb для обозначения bits, kilobits, megabits, и gigabits в секунду, конкретное значение или процент от общей пропускной способности.

qlim

максимальное число пакетов в очереди. Необязательный параметр. По умолчанию — 50

size

размер token bucket regulator в байтах. Если не определен, то устанавливается на основе ширины полосы пропускания.

queue_list

список дочерних очередей, открываемых из под родительской очереди.

Приведённый здесь текст является моим домыслом, и не имеет отношения к оригинальной документации по пакетному фильтру:

При регулировке полосы пропускания иногда применяют концепцию токенов: есть некоторая корзина (bucket) в которую регулярно, скажем раз в секунду, кладут билет (token). Пакет идущий сквозь очередь должен взять билет из корзины и проходить. Если билета в корине нет, пакет отбрасывается, если пакеты через очередь не идут, билеты копятся в корзине, пока она не переполнится.

Таким образом, если корзина очень большая, у нас после паузы в трафике могут наблюдаться резкие всплески. Если корзина маленькая — трафик будет равномерен, но малейшие флуктуации в скорости могут привести к отбросу пакетов.

Вот этот параметр и есть, по-видимому, token bucket regulator.

altq on fxp0 cbq bandwidth 2Mb queue { std, ssh, ftp }
            

queue name [on interface] bandwidth bw [priority pri] [qlimit qlim] \
   scheduler ( sched_options ) { queue_list }
            

name

имя очереди. Эта запись должна быть идентична определённой в директиве altq опцией queue_list. Для cbq это также может быть запись имени очереди в предыдущей директиве queue параметре queue_list. Имя не должно быть длиннее 15 символов.

interface

сетевой интерфейс, на котором запущена очередь. Если интерфейс не определён, очередь будет работать на всех интерфейсах.

bw

общая пропускная способность, доступная планировщику. Может содержать аббревиатуры b, Kb, Mb, Gb для обозначения bits, kilobits, megabits, и gigabits в секунду, конкретное значение или процент от общей пропускной способности. Указывается только при использовании планировщика cbq.

pri

приоритет очереди. Для cbq приоритет изменяется от 0 до 7, для priq диапазон от 0 до 15. Приоритет 0 считается самым низким. Если этот параметр не определён, ему назначается 1.

qlim

максимальное число пакетов в очереди. Необязательный параметр. По умолчанию - 50.

scheduler

используемый планировщик — cbq, priq или hfsc. Должен быть таким же, как и родительская очередь.

sched_options

дополнительные опции для управления планировщиками:

default

очередь по умолчанию (может быть только одна). Сюда будут включаться все пакеты, не подходящие для остальных очередей.

red

включить RED для очереди.

rio

включить RED с IN/OUT. В этом режиме RED поддерживает очереди различной длины и различные пороговые значения, по одному на каждый уровень IP Quality of Service.

ecn

Включить ECN (работает совместно с RED).

borrow

эта очередь может заимствовать пропускную способность у других очередей. Может быть определено только при использовании cbq.

queue_list

список дочерних очередей. Может быть определено только при использовании cbq.

Следующие три опции применяются только для очереди типа HFSC.

realtime <sc>

Минимальная полоса пропускания

upperlimit <sc>

Максимальная полоса пропускания

linkshare <sc>

Полоса, которую можно делить с другими очередями

Здесь <sc> это сокращение для service curve — кривая сервиса. Кривая состоит из двух линейных участков и описывается тремя числами (m1, d, m2). m1 — начальная полоса пропускания (т.е. наклон первой кривой), d время в течении которого действует первичная полоса пропускания в миллисекундах и m2 — наклон второго линейного участка — т.е. реальная полоса пропускания.

Столь детальное описание кривой сервиса позволяет отдельно регулировать задержки при работе очереди и полосу пропускания, тогда как в CBQ есть только регулировка полосы пропускания и, следовательно, единственный способ снизить задержки состоит в увеличении полосы пропускания.

queue std bandwidth 50% cbq(default)
queue ssh { ssh_login, ssh_bulk }
   queue ssh_login priority 4 cbq(ecn)
   queue ssh_bulk cbq(ecn)
queue ftp bandwidth 500Kb priority 3 cbq(borrow red)
            

Для направления трафика в очередь используется ключевое слово queue в правилах пакетного фильтра. Для примера рассмотрим следующую строку:

pass out on fxp0 from any to any port 22
              

Пакеты из этого правила можно направить в очередь следующим способом:

pass out on fxp0 from any to any port 22 queue ssh
              

Если ключевое слово queue используется совместно с block, все пакеты TCP RST или ICMP Unreachable ставятся в указанную очередь.

Обратите внимание, что queue может приключиться для другого интерфейса, чем было определено директивой altq:

altq on fxp0 cbq bandwidth 2Mb queue { std, ftp }
queue std cbq(default)
queue ftp bandwidth 1.5Mb

pass in on dc0 from any to any port 21 queue ftp
              

Очередь определяется на fxp0, но указание на неё встречается на dc0. Если пакет, соответствующий правилу выходит с интерфейса fxp0, то он будет поставлен в очередь ftp. Этот тип очередей может быть очень полезен на маршрутизаторах.

Обычно с ключевым словом queue используется только одно имя очереди, но если определено и второе имя, то очередь будет использоваться для пакетов с Type of Service (ToS) низкой задержки и для пакетов TCP ACK без полезного груза данных. Хороший пример может быть найден при использовании ssh: во время открытия сессии ToS устанавливается в low-delay пока не откроется сессия SCP или SFTP. PF может использовать информацию о находящихся в очереди пакетах для того. чтобы отличить пакеты на ввод логина от остальных пакетов. Возможно будет полезным разнести по приоритетам пакеты авторизации от пакетов данных:

pass out on fxp0 from any to any port 22 queue(ssh_bulk, ssh_login)
              

Повышение приоритета пакетов TCP ACK имеет смысл на асинхронных соединениях, таких как ADSL, где скорость входящего и исходящего потока не равны между собой. На ADSL линии при полностью занятом исходящем канале будет снижаться и полезное использование входящего канала, так как пакеты TCP ACK будут теряться и задерживаться. Тестирования показали, что для достижения наибольшей эффективности, полоса пропускания должна быть немного меньше, возможностей канала. Например, если ADSL линия дает максимальную скорость в 640 kbps, установите значение пропускной способности для корневой линии в 600 kb. Оптимальное значение находится путем проб и ошибок.

Когда ключевое слово queue используется с правилами keep state, пакетный фильтр будет делать запись очереди в таблице состояний таким образом, что пакеты с fxp0 соответствующие образовавшемуся соединению будут оказываться в очереди ssh:

pass in on fxp0 proto tcp from any to any port 22 flags S/SA \
   keep state queue ssh
              

Обратите внимание, что ключевое слово queue применяется к правилам, обслуживающим входящий трафик.

    [ Alice ]    [ Charlie ]
        |             |                              ADSL
     ---+-----+-------+------ dc0 [ OpenBSD ] fxp0 -------- ( Internet )
              |
           [ Bob ]
            

• Выделяем 80Kbps для игр Боба, чтобы не стонал, когда Алиса и Чарли качают фильмы и музыку. Когда есть свободная полоса — пусть берёт.
• SSH трафик и трафик интернет-пейджеров имеет высший приоритет.
• DNS запросы-ответы имеют приоритет чуть ниже.
• Исходящие TCP ACK имеют высший приоритет по сравнению со всем остальным исходящим трафиком.

# Включаем очереди на внешнем интерфейсе для контроля за трафиком
# выходящим в Интернет. Используем планировщик priq для контроля только
# по приоритетам. Устанавливает ширину пропускания 610 kbps для
# оптимального пропускания очереди TCP ACK

altq on fxp0 priq bandwidth 610Kb queue { std_out, ssh_im_out, dns_out, \
    tcp_ack_out }

# определяем параметры дочерних очередей
# std_out      - стандартная очередь. Любые правила ниже, в которых
#                очередь не указана явно, добавляют трафик к этой
#                очереди.
# ssh_im_out   - интерактивный SSH и интернет пейджеры
# dns_out      - запросы DNS
# tcp_ack_out  - пакеты TCP ACK не несущие полезной нагрузки

queue std_out     priq(default)
queue ssh_im_out  priority 4 priq(red)
queue dns_out     priority 5
queue tcp_ack_out priority 6

# Включаем очереди на внутреннем интерфейсе для контроля трафика
# пришедшего из Интернет. Используем планировщик cbq для контроля полосы
# пропускания. Максимальная полоса 2 Mbps.

altq on dc0 cbq bandwidth 2Mb queue { std_in, ssh_im_in, dns_in, bob_in }

# определяем параметры дочерних очередей
# std_in       - стандартная очередь. Любые правила ниже, в которых
#                очередь не указана явно, добавляют трафик к этой
#                очереди.
# ssh_im_in    - интерактивный SSH и интернет пейджеры
# dns_in       - ответы DNS
# bob_in       - Полоса зарезервированная для Боба, разрешаем ему
#                увеличивать полосу по мере возможности (borrow)

queue std_in    bandwidth 1.6Mb cbq(default)
queue ssh_im_in bandwidth 200Kb priority 4
queue dns_in    bandwidth 120Kb priority 5
queue bob_in    bandwidth 80Kb cbq(borrow)


# ... раздел фильтрации ...

alice         = "192.168.0.2"
bob           = "192.168.0.3"
charlie       = "192.168.0.4"
local_net     = "192.168.0.0/24"
ssh_ports     = "{ 22 2022 }"
im_ports      = "{ 1863 5190 5222 }"

# правила фильтрации входящего трафика на fxp0
block in on fxp0 all

# правила фильтрации исходящего трафика на fxp0
block out on fxp0 all
pass  out on fxp0 inet proto tcp from (fxp0) to any flags S/SA \
    keep state queue(std_out, tcp_ack_out)
pass  out on fxp0 inet proto { udp icmp } from (fxp0) to any keep state
pass  out on fxp0 inet proto { tcp udp } from (fxp0) to any port domain \
    keep state queue dns_out
pass  out on fxp0 inet proto tcp from (fxp0) to any port $ssh_ports \
    flags S/SA keep state queue(std_out, ssh_im_out)
pass  out on fxp0 inet proto tcp from (fxp0) to any port $im_ports \
    flags S/SA keep state queue(ssh_im_out, tcp_ack_out)

# правила фильтрации входящего трафика на dc0
block in on dc0 all
pass  in on dc0 from $local_net

# правила фильтрации исходящего трафика на dc0
block out on dc0 all
pass  out on dc0 from any to $local_net
pass  out on dc0 proto { tcp udp } from any port domain to $local_net \
    queue dns_in
pass  out on dc0 proto tcp from any port $ssh_ports to $local_net \
    queue(std_in, ssh_im_in)
pass  out on dc0 proto tcp from any port $im_ports to $local_net \
    queue ssh_im_in
pass  out on dc0 from any to $bob queue bob_in
            

  ( IT Dept )  [ Boss's PC ]
       |          |                                   T1
     --+----+-----+---------- dc0 [ OpenBSD ] fxp0 -------- ( Internet )
            |                         fxp1
         [ COMP1 ]    [ WWW ]         /
                         |           /
                       --+----------'
            

• Трафик между WWW сервером и Интернетом ограничивается 500 kbps:

  • Выделяем 250 kbps на HTTP трафик
  • Выделяем 250 kbps на не-HTTP трафик
  • Обеим очередям позволяем расти до полной полосы в 500 kbps
  • HTTP трафику между WWW сервером и Интернет дать больший приоритет, чем не-HTTP (к примеру ftp-закачка).
• Трафик между внутренней сетью и WWW сервером может использовать всю полосу 100 Mbps, которую позволяет сеть.
• 500 kbps резервируется для IT для того, чтобы качать последние версии программного обеспечения. IT может забрать большую полосу, если есть такая возможность.
• Трафик между начальником и Интернетом имеет высший приоритет по сравнению со всем.

# Включаем очереди на внешнем интерфейсе для пакетов выходящих в
# Интернет. Используем планировщик cbq чтобы контролировать полосу
# пропускания каждой очереди. Максимальная исходящая полоса 1.5 Mbps

altq on fxp0 cbq bandwidth 1.5Mb queue { std_ext, www_ext, boss_ext }

# определяем параметры дочерних очередей
# std_ext        - стандартная очередь. Так же является очередью для
#                  исходящего трафика на интерфейсе fxp0
# www_ext        - контейнер для очередей WWW сервера. Размер 500 kbps
#   www_ext_http - http трафик WWW сервера - высший приоритет
#   www_ext_misc - не-http трафик WWW сервера
# boss_ext       - трафик пришедший с компьютера босса

queue std_ext        bandwidth 500Kb cbq(default borrow)
queue www_ext        bandwidth 500Kb { www_ext_http, www_ext_misc }
  queue www_ext_http bandwidth 50% priority 3 cbq(red borrow)
  queue www_ext_misc bandwidth 50% priority 1 cbq(borrow)
queue boss_ext       bandwidth 500Kb priority 3 cbq(borrow)

# Включить очереди на внутреннем интерфейсе для контроля трафика
# входящего из интернета или из DMZ. Используем планировщик cbq для
# контроля за каждой очередью. Полоса пропускания устанавливается в
# максимум. Трафику из DMZ позволяется использовать всю полосу, а
# трафику пришедшему из Интернет рарешается использовать 1.0 Mbps
# (поскольку 0.5 Mbps (500 kbps) зарезервировано на fxp1).

altq on dc0 cbq bandwidth 100% queue { net_int, www_int }

# определяем параметры дочерних очередей
# net_int    - Контейнер для трафика из Интернет. Полоса 1.0 Mbps
#   std_int  - Стандартная очередь. Так же является оередью по умолчанию
#              для исходящего трафика на dc0
#   it_int   - Трафик IT-отдела. Им зарезервировано 500 kbps
#   boss_int - Трафик босса имеет высший приоритет
# www_int    - Трафик WWW сервера из DMZ не имеет ограничений

queue net_int    bandwidth 1.0Mb { std_int, it_int, boss_int }
  queue std_int  bandwidth 250Kb cbq(default borrow)
  queue it_int   bandwidth 500Kb cbq(borrow)
  queue boss_int bandwidth 250Kb priority 3 cbq(borrow)
queue www_int    bandwidth 99Mb cbq(red borrow)

# Включаем очереди на интерфейсе DMZ для контроля трафика идущего к WWW
# серверу. Используем планировщик cbq для контроля за полосой
# пропускания. Полоса выставляется в максимум. Трафик из внутренней сети
# может использовать всю полосу пропускания, а трафик из Интернет
# ограничен 500 kbps.

altq on fxp1 cbq bandwidth 100% queue { internal_dmz, net_dmz }

# определяем параметры дочерних очередей
# internal_dmz   - трафик из внутренней сети
# net_dmz        - контейнер для очередей трафика идущего из Интернет
#   net_dmz_http - http трафик, наивысший приоритет
#   net_dmz_misc - не-http трафик. Это очередь по умолчанию

queue internal_dmz   bandwidth 99Mb cbq(borrow)
queue net_dmz        bandwidth 500Kb { net_dmz_http, net_dmz_misc }
  queue net_dmz_http bandwidth 50% priority 3 cbq(red borrow)
  queue net_dmz_misc bandwidth 50% priority 1 cbq(default borrow)


# ... раздел фильтрации ...

main_net  = "192.168.0.0/24"
it_net    = "192.168.1.0/24"
int_nets  = "{ 192.168.0.0/24, 192.168.1.0/24 }"
dmz_net   = "10.0.0.0/24"

boss      = "192.168.0.200"
wwwserv   = "10.0.0.100"

# default deny
block on { fxp0, fxp1, dc0 } all

# правила фильтрации входящего трафика на интерфейсе fxp0
pass in on fxp0 proto tcp from any to $wwwserv port { 21, \
    > 49151 } flags S/SA keep state queue www_ext_misc
pass in on fxp0 proto tcp from any to $wwwserv port 80 \
    flags S/SA keep state queue www_ext_http

# правила фильтрации исходящего трафика на интерфейсе fxp0
pass out on fxp0 from $int_nets to any keep state
pass out on fxp0 from $boss to any keep state queue boss_ext

# правила фильтрации входящего трафика на интерфейсе dc0
pass in on dc0 from $int_nets to any keep state
pass in on dc0 from $it_net to any queue it_int
pass in on dc0 from $boss to any queue boss_int
pass in on dc0 proto tcp from $int_nets to $wwwserv port { 21, 80, \
    > 49151 } flags S/SA keep state queue www_int

# правила фильтрации исходящего трафика на интерфейсе dc0
pass out on dc0 from dc0 to $int_nets

# правила фильтрации входящего трафика на интерфейсе fxp1
pass in on fxp1 proto { tcp, udp } from $wwwserv to any port 53 \
    keep state

# правила фильтрации исходящего трафика на интерфейсе fxp1
pass out on fxp1 proto tcp from any to $wwwserv port { 21, \
    > 49151 } flags S/SA keep state queue net_dmz_misc
pass out on fxp1 proto tcp from any to $wwwserv port 80 \
    flags S/SA keep state queue net_dmz_http
pass out on fxp1 proto tcp from $int_nets to $wwwserv port { 80, \
    21, > 49151 } flags S/SA keep state queue internal_dmz
            

nat on $ext_if inet from any to any -> { 192.0.2.5, 192.0.2.10 }
            

nat on $ext_if inet from any to any -> 192.0.2.4/31 source-hash
            

web_servers = "{ 10.0.0.10, 10.0.0.11, 10.0.0.13 }"

rdr on $ext_if proto tcp from any to any port 80 -> $web_servers \
   round-robin sticky-address
            

lan_net = "192.168.0.0/24"
int_if  = "dc0"
ext_if1 = "fxp0"
ext_if2 = "fxp1"
ext_gw1 = "68.146.224.1"
ext_gw2 = "142.59.76.1"

pass in on $int_if route-to \
   { ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
   from $lan_net to any keep state 
            

pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any
pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to any
            

nat on $ext_if1 from $lan_net to any -> ($ext_if1)
nat on $ext_if2 from $lan_net to any -> ($ext_if2)
            

lan_net = "192.168.0.0/24"
int_if  = "dc0"
ext_if1 = "fxp0"
ext_if2 = "fxp1"
ext_gw1 = "68.146.224.1"
ext_gw2 = "142.59.76.1"

#  правила nat для исходящих соединений на каждом внешнем интерфейсе
nat on $ext_if1 from $lan_net to any -> ($ext_if1)
nat on $ext_if2 from $lan_net to any -> ($ext_if2)

#  default deny
block in  from any to any
block out from any to any

#  пропускаем все исходящие пакеты на внутреннем итерфейсе
pass out on $int_if from any to $lan_net
#  пропускаем (quick) пакеты предназначенные самому шлюзу
pass in quick on $int_if from $lan_net to $int_if
#  балансировка исходящего tcp трафика идущего из внутренней сети
pass in on $int_if route-to \
    { ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
    proto tcp from $lan_net to any flags S/SA modulate state
#  балансировка исходящего icmp и udp трафика идущего из внутренней сети
pass in on $int_if route-to \
    { ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
    proto { udp, icmp } from $lan_net to any keep state

#  основные "выпускаюшие" правила на внешнем интерфейсе
pass out on $ext_if1 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if1 proto { udp, icmp } from any to any keep state
pass out on $ext_if2 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if2 proto { udp, icmp } from any to any keep state

#  маршрутизация пакетов идущих с любого IP на $ext_if1 через $ext_gw1 и
#  пакетов идущих  на $ext_if2 через $ext_gw2
pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any 
pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to any 
            

pass in on $int_if all tag INTERNAL_NET keep state
            

name = "INTERNAL_NET"
pass in on $int_if all tag $name keep state
            

$if

интерфейс

$srcaddr

IP адрес источника

$dstaddr

IP адрес назначения

$srcport

порт источника

$dstport

порт назначения

$proto

протокол

$nr

номер правила

• Маркер «приклеивается». Однажды приклеившись к пакету, маркер не может быть удалён, однако его можно заменить другим маркером.
• Поскольку маркеры «клейкие» пакет может иметь маркер даже если последнее правило не содержит ключевое слово tag.
• Одному пакету можно назначить только один маркер.
• Маркеры это внутренние идентификаторы, они не посылаются по сети.
• Длина маркера раньше составляла 15 символов, начиная с OpenBSD 4.0 до 63 символов.

pass in on $int_if tag INT_NET keep state 
pass in quick on $int_if proto tcp to port 80 tag INT_NET_HTTP keep state 
pass in quick on $int_if from 192.168.1.5 keep state 
            

pass out on $ext_if tagged INT_NET keep state
            

pass out on $ext_if ! tagged WIFI_NET keep state
            

• Трафик из внутренней сети LAN в Интернет пропускается (LAN_INET) и должен быть транслирован (LAN_INET_NAT)
• Разрешается трафик из внутренней сети LAN в DMZ (LAN_DMZ)
• Разрешается трафик из Интернета в DMZ (INET_DMZ)
• Разрешается трафик, который должен быть завёрнут демону spamd(8) (SPAMD)
• Весь остальной трафик блокируется.

rdr on $ext_if proto tcp from <spamd> to port smtp \
   tag SPAMD -> 127.0.0.1 port 8025
nat on $ext_if tag LAN_INET_NAT tagged LAN_INET -> ($ext_if)

block all
pass in on $int_if from $int_net tag LAN_INET keep state
pass in on $int_if from $int_net to $dmz_net tag LAN_DMZ keep state
pass in on $ext_if proto tcp to $www_server port 80 tag INET_DMZ keep state
            

pass in  quick on $ext_if tagged SPAMD keep state
pass out quick on $ext_if tagged LAN_INET_NAT keep state
pass out quick on $dmz_if tagged LAN_DMZ keep state
pass out quick on $dmz_if tagged INET_DMZ keep state
            

mail_server = "192.168.0.10"
...
pass in on $ext_if proto tcp to $mail_server port { smtp, pop3 } \
   tag INET_DMZ keep state
            

# macros
int_if  = "dc0"
dmz_if  = "dc1"
ext_if  = "ep0"
int_net = "10.0.0.0/24"
dmz_net = "192.168.0.0/24"
www_server = "192.168.0.5"
mail_server = "192.168.0.10"

table <spamd> persist file "/etc/spammers"

# классификация пакетов основанная на определённых в брандмауэре
# политиках
rdr on $ext_if proto tcp from <spamd> to port smtp \
    tag SPAMD -> 127.0.0.1 port 8025
nat on $ext_if tag LAN_INET_NAT tagged LAN_INET -> ($ext_if)

block all
pass in on $int_if from $int_net tag LAN_INET keep state
pass in on $int_if from $int_net to $dmz_net tag LAN_DMZ keep state
pass in on $ext_if proto tcp to $www_server port 80 tag INET_DMZ keep state 
pass in on $ext_if proto tcp to $mail_server port { smtp, pop3 } \
    tag INET_DMZ keep state 

# применение политик -- фильтрация на основе опрелелённых в брандмауэре
# политиках
pass in  quick on $ext_if tagged SPAMD keep state
pass out quick on $ext_if tagged LAN_INET_NAT keep state
pass out quick on $dmz_if tagged LAN_DMZ keep state
pass out quick on $dmz_if tagged INET_DMZ keep state
            

# brconfig bridge0 rule pass in on fxp0 src 0:de:ad:be:ef:0 tag USER1
            

pass in on fxp0 tagged USER1
            

C.2.3. Дополнительные разделы

all

Помещает в журнал не только начальные пакеты, но вообще все пакеты соединения. Может применяться в правилах keep state.

user

Помещает в журнал UID и GID сокета, которому адресован пакет.

to <interface>

Начиная с OpenBSD 4.1 можно создавать несколько интерфейсов для журналирования и сообщения от разных правил посылать на разные интерфейсы. Ни в одной другой системе эта возможность пока не реализована.

pass in log (all) on $ext_if inet proto tcp to $ext_if port 22 keep state
            

# tcpdump -n -e -ttt -r /var/log/pflog
            

# tcpdump -n -e -ttt -i pflog0
            

# tcpdump -n -e -ttt -r /var/log/pflog port 80
            

# tcpdump -n -e -ttt -r /var/log/pflog port 80 and host 192.168.1.3
            

# tcpdump -n -e -ttt -i pflog0 host 192.168.4.2
            

# tcpdump -n -e -ttt -i pflog0 inbound and action block and on wi0
            

# tcpdump -n -e -ttt -r /var/log/pflog | logger -t pf -p local0.info
            

nat-anchor "ftp-proxy/*"
rdr-anchor "ftp-proxy/*"
rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021
            

anchor "ftp-proxy/*"
            

ftpproxy_flags=""
            

В FreeBSD и NetBSD функциональность ftp-proxy(8) ниже, чем в OpenBSD. Фактически, в этих системах пока применяется устаревшая версия ftp-proxy(8). Вместо ftp-proxy(8) в этих системах можно использовать порт ftp/ftpsesame. См. Раздел C.5.3, «ftpsesame». Далее описано, как используется старая версия программы ftp-proxy(8), которой укомплектована FreeBSD.

В FreeBSD ftp-proxy(8) запускается из суперсервера inetd(8). Для этого в /etc/pf.conf(5) мы добавляем примерно такое правило:

int_if = "xl0"
rdr pass on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021
              

Затем мы конфигурируем inetd(8) так, чтобы он начал слушать порт 8021. Для этого в файл /etc/inetd.conf вписываем строку:

ftp-proxy stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy
              

Таким образом, ftp-proxy(8) пробрасывает командный канал FTP, а для передачи данных необходимо добавить разрешающие правила в брандмауэр:

block in on $ext_if proto tcp all
pass  in on $ext_if inet proto tcp from any to $ext_if \
   port > 49151 keep state
              

Это правило разрешает подключение к портам от 49151 до 65535. Программе ftp-proxy(8) можно задавать диапазоны портов при помощи опций -m и -M. Подробнее см. man(1) по команде ftp-proxy(8). Диапазон портов используемых демоном ftpd(8) в FreeBSD можно регулировать при помощи переменных ядра net.inet.ip.portrange.first net.inet.ip.portrange.last, а в OpenBSD net.inet.ip.porthifirst и net.inet.ip.porthilast.

Надо признать, что вариант с динамическими правилами, работающий в OpenBSD выглядит разумнее. Остаётся надеяться, что в будущем он будет портирован в FreeBSD, а пока, повторюсь, мы можем использовать порт ftp/ftpsesame.

pass in on $ext_if proto tcp from any to any port 21 keep state
pass in on $ext_if proto tcp from any to any port > 49151 keep state
            

ftpproxy_flags="-R 10.10.10.1 -p 21 -b 192.168.0.1"
            

ext_ip = "192.168.0.1"
ftp_ip = "10.10.10.1"

nat-anchor "ftp-proxy/*"
nat on $ext_if inet from $int_if -> ($ext_if)
rdr-anchor "ftp-proxy/*"

pass in on $ext_if inet proto tcp to $ext_ip port 21 \
    flags S/SA keep state
pass out on $int_if inet proto tcp to $ftp_ip port 21 \
    user proxy flags S/SA keep state
anchor "ftp-proxy/*"
            

В системе должен существовать конфигурационный файл /etc/authpf/authpf.conf. В нём содержатся конфигурационные опции authpf(8). Если файла не существует, authpf(8) будет завершать работу сразу после аутентификации. Если он существует, но пуст, будут использованы умолчания.

В этом файле могут присутствовать следующие две опции:

authpf(8) помещается в основной набор правил при помощи правила anchor:

nat-anchor "authpf/*"
rdr-anchor "authpf/*"
binat-anchor "authpf/*"
anchor "authpf/*"
              

Пакетный фильтр перейдёт к изучению правил входящих в эти якоря там, где они расположены. Нет нужды всегда использовать все якоря. Например, если authpf(8) не настроен на то, чтобы осуществлять трансляцию NAT, то соответствующий якорь не нужен.

authpf(8) подгружает правила из файлов

Сперва ищется первый, потом второй, если существуют оба — используется только один. Таким образом, в первом файле должны находится правила характерные для конкретного пользователя и они будут перебивать глобальные правила заданные во втором файле. Как минимум один файл должен существовать, иначе authpf(8) не запустится.

Правила трансляции такие же как и в основном файле, однако определены два макроса:

Рекомендуется использовать $user_id для того, чтобы был разрешён только трафик с пользовательской машины.

В добавок к макросу $user_ip authpf(8) может использовать для хранения всех аутентифицировавшихся пользователей таблицу authpf_users если она существует. Убедитесь, что вы определили её, прежде чем использовать:

table <authpf_users> persist
pass in on $ext_if proto tcp from <authpf_users> \
    to port smtp flags S/SA keep state
              

Эта таблица должна использоваться в правилах, которые относятся ко всем аутентифицировавшимся пользователям.

Пользователям можно запретить пользоваться authpf(8) для этого надо создать файл в каталоге /etc/authpf/banned/. Файл должен называться по имени пользователя. Его содержимое будет показано пользователю перед обрывом связи. Таким образом, в нём можно указать причины прекращения доступа и как связаться с ответственным лицом.

Кроме того, в файле /etc/authpf/authpf.allow можно перечислить пользователей, которым разрешено входить в систему с использованием authpf(8). Если файл существует, действует политика «что не разрешено, то запрещено». Если файла нет, или если в нём звёздочка * — authpf(8) позволяет зайти всем, кто успешно залогинился через ssh(1), если только его не «забанили» в каталоге /etc/authpf/banned/.

Если authpf(8) не может определить разрешено польователю входить или нет, он печатает предупреждение и не пускает пользователя. /etc/authpf/banned/ всегда главнее /etc/authpf/authpf.allow.

Когда пользователь успешно аутентифицируется в системе, ему будет напечатано приветственное сообщение

Hello charlie. You are authenticated from host "64.59.56.140"
              

Это сообщение можно дополнить сообщением из файла /etc/authpf/authpf.message.

Чтобы authpf(8) заработал, его надо сделать оболочкой пользователя. Когда пользователь успешно зайдёт в систему через ssh(1), authpf(8) будет запущен в качестве оболочки. Он проверит можно ли пользователю его использовать, загрузит нужные правила и т.д.

Есть два способа назначить пользователю authpf(8) в качестве оболочки:

shell

Можно жёстко указать пользователям оболочку /usr/sbin/authpf так, что её невозможно будет сменить через программу chsh(1) — эта опция login.conf(5) имеет приоритет перед содержимым файла passwd(5).

welcome

Можно сделать разное приветствие для разных типов пользоватлей.

authpf:\
    :welcome=/etc/motd.authpf:\
    :shell=/usr/sbin/authpf:\
    :tc=default:
            

# cap_mkdb /etc/login.conf
            

# awk -F: '$5=="authpf"{print $1}' /etc/master.passwd | sort
            

$ ps -ax | grep authpf
23664 p0  Is+     0:00.11 -authpf: charlie@192.168.1.3 (authpf)
            

# kill -TERM 23664
          

wifi_if = "wi0"

pass in quick on $wifi_if proto tcp from $user_ip to port { ssh, http, \
   https } flags S/SA keep state
            

wifi_if = "wi0"
smtp_server = "10.0.1.50"
pop3_server = "10.0.1.51"

pass in quick on $wifi_if proto tcp from $user_ip to $smtp_server \
   port smtp flags S/SA keep state
pass in quick on $wifi_if proto tcp from $user_ip to $pop3_server \
   port pop3 flags S/SA keep state
pass in quick on $wifi_if proto tcp from $user_ip to port { ssh, http, \
   https } flags S/SA keep state
            

# macros
wifi_if = "wi0"
ext_if  = "fxp0"
dns_servers = "{ 10.0.1.56, 10.0.2.56 }"

table <authpf_users> persist

scrub in all

# filter
block drop all 

pass out quick on $ext_if inet proto tcp from \
   { $wifi_if:network, $ext_if } flags S/SA modulate state
pass out quick on $ext_if inet proto { udp, icmp } from \
   { $wifi_if:network, $ext_if } keep state 

pass in quick on $wifi_if inet proto tcp from $wifi_if:network to $wifi_if \
   port ssh flags S/SA keep state 

pass in quick on $wifi_if inet proto { tcp, udp } from <authpf_users> \
   to $dns_servers port domain keep state 
anchor "authpf/*" in on $wifi_if 
            

История вопроса такова (по данным wikipedia): В конце 90-х годов IETF начало работу над проблемой отказоустойчивости сервисов. В 1997 году Cisco проинформировало, что проблема уже решена при помощи запатентованной ими технологии. В 1998 году Cisco опубликовала запатентованный протокол HSRP. Несмотря на это IETF продолжила работу над своим протоколом VRRP. После некоторых дебатов было решено, что запатентованную технологию можно использовать в качестве стандарта при условии лицензирования по «разумной и не дискриминационной» лицензии. Однако, поскольку VRRP решало некоторые проблемы HSRP сама Cisco перешла на использование VRRP при этом называя его своим.

Cisco проинформировала разработчиков OpenBSD, что они не могут использовать патентованный VRRP. Возможно это было связано с судебными тяжбами Cisco с Alсatel (звучит загадочно — Е.М.). Таким образом, свободную реализацию VRRP сделать было нельзя, поэтому OpenBSD принялись за разработку альтернативного протокола CARP.

В настоящий момент CARP реализован не только в OpenBSD, но так же портирован в FreeBSD и NetBSD (и, следовательно в DragonFly BSD).

IANA до сих по не выделила официальный номер протокола для CARP. Это связано, по всей видимости, с отсутствием его описания. Разработчики OpenBSD самовольно присвоили ему номер 112 (конфликтующий с VRRP). То же касается и протокола pfsync.

pass out on $carp_dev proto carp keep state
            

# ifconfig <carpN> create

# ifconfig <carpN> vhid <vhid> [pass <password>] [carpdev <carpdev>] \
   [advbase <advbase>] [advskew <advskew>] [state <state>] <ipaddress> \
   netmask <mask>
            

carpN

Имя интерфейса. N — целое число, номер интерфейса, например 10.

vhid

Virtual host ID — идентификатор группы CARP. Целое число от 1 до 255.

password

Пароль группы для аутентификации членов группы. Должен быть общим для всех членов группы.

carpdev

Физический интерфейс принадлежащий группе. Необязательный параметр. По умолчанию CARP пытается самостоятельно определить интерфейс на основе IP-адреса и маски подсети. Аргумент отсутствует в FreeBSD.

advbase

Необязательный параметр указывающий на то, как часто рассылаются уведомления в группе. По умолчанию 1. Допустимые значения от 1 до 255.

advskew

Необязательный параметр указывает на то, насколько может изменяться величина advbase. На основе величин advbase и advskew происходит выбор мастера в группе: чем меньше advbase, который может использовать хост, тем выше у него приоритет. По умолчанию 0. Допустимые значения от 0 до 254.

state

Заставить виртуальный интерфейс перейти в данное состояние. Допустимые состояния init, backup, master. Аргумент отсутствует в FreeBSD.

ipaddress

Адрес присвоенный группе. Он не обязан нахоиться в той же сети, что и физический интерфейс. Необходимо, чтобы он совпадал у всех членов группы.

mask

Маска подсети для обобществлённого адреса.

net.inet.carp.allow

Принимать или нет пакеты CARP. Умолчание 1 (да).

net.inet.carp.preempt

Позволяет мастеру передать его обязанности другим членам группы CARP имеющим лучшие показатели advbase и advskew. Кроме того, позволяет обработать ситуацию отказа — если физический интерфейс отказал, на других интерфейсах с включённым CARP advskew выставляется в 240.

Поясню: Пусть имеется маршрутизатор A с двумя интерфейсами в CARP и advskew=0 и маршрутизатор B с advskew=100. Если данная переменная ядра выставлена в истину, и на маршрутизаторе A падает один интерфейс. В этом случае advskew на A увеличивается до 240 и обязанности мастера берёт маршрутизатор B.

По умолчанию выставлен в 0 (нет)

net.inet.carp.log

Помещать в журнал информацию о плохих пакетах CARP. В OpenBSD по умолчанию 0 (отключено). В FreeBSD по умолчанию 1 (журналирование неправильных пакетов). В FreeBSD значение 2 помещает в журнал информацию о смене состояния CARP интерфейса. Вероятно это значение работает и в OpenBSD, но оно там недокументировано.

net.inet.carp.arpbalance

Балансировка ARP запросов. Кто будет отвечать на вопросы о том, у кого имеется данный IP адрес. По умолчанию выключено.

# sysctl -w net.inet.carp.allow=1 
# ifconfig carp1 create 
# ifconfig carp1 vhid 1 pass mekmitasdigoat carpdev em0 \
    advskew 100 10.0.0.1 netmask 255.255.255.0 
            

$ ifconfig carp1
carp1: flags=8802<UP,BROADCAST,SIMPLEX,MULTICAST> mtu 1500
     carp: BACKUP carpdev em0 vhid 1 advbase 1 advskew 100
     groups: carp
     inet 10.0.0.1 netmask 0xffffff00 broadcast 10.0.0.255
            

1. Соединить машины «спина к спине» при помощи отдельного пачкорда (кросс). и использовать опцию syncdev (см. ниже).
2. Использовать опцию ifconfig(8)syncpeer (см. ниже). Это приведёт к тому, что информация будет отсылаться по unicast адресу. Затем надо зашифровать трафик между партнёрами при помощи ipsec(4).

pass on $sync_if proto pfsync
            

ifconfig <pfsyncN> syncdev <syncdev> [syncpeer <syncpeer>]
            

pfsyncN

Имя интерфейса pfsync(4). При использовании ядра GENERIC интерфейс pfsync0 существует по умолчанию. Это относится и к OpenBSD и к FreeBSD.

syncdev

Имя интерфейса, который используется pfsync(4) для сетевых обновлений.

syncpeer

Этот дополнительный параметр используется для указания хоста, с которым идёт обмен данными. По умолчанию pfsync(4) использует адрес multicast, а с данной опцией использует unicast.

# ifconfig pfsync0 syncdev em1
            

              +----| WAN/Internet |----+
              |                        |
              |      общий адрес       |
              | +----192.0.2.100-----+ |
              | |                    | |
 192.0.2.1:em2|/                      \|em2:192.0.2.2
           +-----+        10.10.10.2+-----+
           | fw1 |-em1----------em1-| fw2 |
           +-----+10.10.10.1        +-----+
172.16.0.1:em0|\                      /|em0:172.16.0.2
              | |                    | | 
              | +----172.16.0.100----+ |
              |      общий адрес       |
              |                        |
           ---+-------Shared LAN-------+---
            

Выполняем необходимые настройки в ядре:
# sysctl -w net.inet.carp.preempt=1

Настраиваем pfsync
# ifconfig em1 10.10.10.1 netmask 255.255.255.0
# ifconfig pfsync0 syncdev em1
# ifconfig pfsync0 up

Настраиваем CARP на внутреннем интерфейсе
# ifconfig carp1 create
# ifconfig carp1 vhid 1 carpdev em0 pass lanpasswd \
     172.16.0.100 netmask 255.255.255.0

Настраиваем CARP на внешнем интерфейсе
# ifconfig carp2 create
# ifconfig carp2 vhid 2 carpdev em2 pass netpasswd \
    192.0.2.100 netmask 255.255.255.0
            

Выполняем необходимые настройки в ядре:
# sysctl -w net.inet.carp.preempt=1

Настраиваем pfsync
# ifconfig em1 10.10.10.2 netmask 255.255.255.0
# ifconfig pfsync0 syncdev em1
# ifconfig pfsync0 up

Настраиваем CARP на внутреннем интерфейсе
# ifconfig carp1 create
# ifconfig carp1 vhid 1 carpdev em0 pass lanpasswd \
     advskew 128 172.16.0.100 netmask 255.255.255.0

Настраиваем CARP на внешнем интерфейсе
# ifconfig carp2 create
# ifconfig carp2 vhid 2 carpdev em2 pass netpasswd \
    advskew 128 192.0.2.100 netmask 255.255.255.0
            

И carpN и pfsyncN являются сетевыми интерфейсами и настраиваются так как дожны настраиваться обычные сетевые интерфейсы (см: Раздел 6.2.6, «Как сохранить установленные сетевые параметры»). В OpenBSD создаётся файл hostname.if:

Файл /etc/hostname.carp1:

inet 172.16.0.100 255.255.255.0 172.16.0.255 vhid 1 carpdev em0 \
    pass lanpasswd
              

Файл /etc/hostname.pfsync0:

up syncdev em1
              

В FreeBSD вам понадобятся следующие строки в /etc/rc.conf:

ifconfig_carp1="172.16.0.100/24 vhid 1 carpdev em0 pass lanpasswd"
ifconfig_pfsync0="up suncdev em1"
              

Иногда бывает нужно перенести мастера с одного хоста на другой. Например, надо останивить мастера для профилактических работ или для отладки. Здесь обсуждается как это сделать не вредя имеющимся коннектам, чтобы пользователи ничего не заметили.

Для этих целей вы можете остановить интерфейс carp. Мастер при этом выставит бесконечно большое значение advbase и advskew запасные машины немедленно это обнаружат и одна из них примет на себя обязанности мастера.

# ifconfig carp1 down
              

Другой вариант состоит в том, что вы увеличиваете значение advbase и advskew при этом обязанности мастера перейдут к запасной машине, но данная машина не будет удалена из группы CARP.

Третий вариант состоит в том, чтобы управлять CARP'ом при помощи переменной demotion. Эта возможность пока реализована только в OpenBSD.

	Внимание
	Описанный механизм связанный с переменной demotion работает только в OpenBSD.

Переменная demotion присваивается группе интерфейсов. Повышая эту величину вы можете опустить CARP на заданной группе интерфейсов. Текущее значение demotion можно увидеть при помощи команды ifconfig(8):

$ ifconfig -g carp
carp: carp demote count 0
              

Здесь показано значение ассоциированное с группой carp.

Рассмотрим такой пример: имеется два брандмауэра с запущенным CARP со следующими CARP интерфейсами:

Задача состоит в том, чтобы перенести группы carp1 и carp2 на второй сервер.

Для начала присвоим эти интерфейсы группе «internal»:

# ifconfig carp1 group internal
# ifconfig carp2 group internal
$ ifconfig internal
carp1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
     carp: MASTER carpdev em0 vhid 1 advbase 1 advskew 100
     groups: carp internal
     inet 10.0.0.1 netmask 0xffffff00 broadcast 10.0.0.255
carp2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
     carp: MASTER carpdev em1 vhid 2 advbase 1 advskew 100
     groups: carp internal
     inet 10.0.1.1 netmask 0xffffff00 broadcast 10.0.1.255
              

Теперь увеличим счётчик demotion для группы internal при помощи ifconfig(8):

$ ifconfig -g internal
internal: carp demote count 0
# ifconfig -g internal carpdemote 50
$ ifconfig -g internal
internal: carp demote count 50
              

Теперь CARP передаст полномочия по интерфейсам carp1 и carp2 на вторую машину, но останется мастером для carp3 и carp4.

Чтобы вернуть полномчия обратно надо выполнить команду:

# ifconfig -g internal -carpdemote 50
$ ifconfig -g internal
internal: carp demote count 0
              

Некоторые сетевые демоны, такие как OpenBGPD и sasyncd(8) используют счётчик demotion для того, чтобы перед тем как установить BGP сессию или перед тем как синхронизировать IPSec SA, выяснить — является ли брандмауэр мастером.

Фильтр должен работать на физическом интерфейсе, не на виртуальном интерфейсе carp0. Напрмер:

pass in on fxp0 inet proto tcp from any to carp0 port 22
              

Если вы замените fxp0 на carp0 правило будет работать не так, как вы этого ожидаете.

	Замечание
	Не забывайте пропускать протокол CARP при помощи правила proto carp и трафик proto pfsync.

C.2.4. Пример: брандмауэр для дома или небольшого офиса

             WWW-server
[ COMP1 ]    [ COMP3 ]
   |            |                               
---+------+-----+------- xl0 [ BSD ] fxp0 -------- ( Internet )
          |
      [ COMP2 ]
            

• Предоставить неограниченный доступ в Интернет каждой машине из внутренней сети.
• Использовать политику «default deny».

• Разрешить следующий входящий трафик:

  • SSH (tcp порт 22): будет использоваться для управления брандмауэром снаружи.
  • Auth/Ident (tcp порт 113): используется некоторыми сервисами, такими как SMTP и IRC.
  • ICMP echo request: посылается командой ping(8).
• Перенапрвить порт 80 (входящий трафик web-сервера) на машину COMP3. (И не забыть разрешить этот трафик в правилах фильтрации).
• Собирать статистику фильтра на внешнем интерфейсе.
• При блокировании пакетов отсылать пакеты TCP/RST и ICMP Unreachable.
• Сделать правила простыми насколько это возможно, для удобства поддержки брандмауэра.

ext_if="fxp0"
int_if="xl0"

tcp_services="{ 22, 113 }"
icmp_types="echoreq"

comp3="192.168.0.3"
            

set block-policy return
set loginterface $ext_if
            

set skip on lo
            

scrub in
            

nat on $ext_if from !($ext_if) to any -> ($ext_if)
            

nat-anchor "ftp-proxy/*"
            

rdr-anchor "ftp-proxy/*"
rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021
            

rdr on $ext_if proto tcp from any to any port 80 -> $comp3
            

block in
            

pass out keep state
            

anchor "ftp-proxy/*"
            

antispoof quick for { lo $int_if }
            

pass in on $ext_if inet proto tcp from any to ($ext_if) \
   port $tcp_services flags S/SA keep state
            

pass in on $ext_if inet proto tcp from any to $comp3 port 80 \
    flags S/SA synproxy state
            

pass in inet proto icmp all icmp-type $icmp_types keep state
            

pass in quick on $int_if