PF (فایروال)
PF یا پکت فیلتر که به صورت pf هم نوشته میشود، یک فایروال حالتمند است که تحت اجازهنامه BSD منتشر میشود. پیاف را میتوان با iptables، ipfw، ipfilter مقایسه کرد. پیاف توسط پروژه اپنبیاسدی توسعه داده میشود اما به سکوهای دیگری مانند فریبیاسدی، نتبیاسدی و ... هم پورت شدهاست. pf توسط دانیل هارتمیر نوشته شد. پیاف اولین بار در OpenBSD 3.0 معرفی شد. در اصل پیاف به عنوان جایگزینی برای ipfilter نوشته شد و بعد از آماده شدن پیاف، ipfilter از درخت CVS اپنبیاسدی حذف شد. دلیل انجام این کار این بود که توسعهدهندگان اپنبیاسدی با اجازهنامه ipfilter مشکل داشتند.
سینتکس pf شباهت بسیاری به ipfilter دارد. البته تغییراتی در آن ایجاد شده تا خواندن آن واضح تر شود.
ویژگیها و قابلیتها
[ویرایش]PF فایروالی کامل و بسیار قدرتمند و امن است و دارای ویژگیهای بسیاری است از جمله آن میتوان به پشتیبانی از ALTQ (صف بندی جایگزین) اشاره کرد که فراهمکننده کیفیت خدمات (QOS) میباشد.
این فایروال دارای ویژگیهای کاربردی مهم دیگری از جمله PFSYNC (پروتکلی که وضعیتهای فایروال را بین کامپیوترهایی که PF را اجرا میکنند همگامسازی میکند) و CARP (پروتکل آدرس اضافه مشترک) و NAT (برگردان نشانی شبکه) و SMP (چند پردازشی متقارن) است.
یکی از قابلیتهای مخصوص این فایروال authpf میباشد که برای احراز هویتها در نشستها بکار میرود و دیگری قابلیت ftp-proxy میباشد که برای سادهسازی ساخت فایروال در پروتکل دشوار FTP (پروتکل انتقال فایل) بکار میرود. قابلیت نوآورانه دیگر این فایروال سیستم logging (ثبت وقایع) ویژه و قدرتمند آن به نام pflog میباشد به نحوی که تنها راه برای بالا بردن دادهها از حالت سطح هسته به برنامههای سطح کاربر میباشد.
قابلیت ویژه دیگر این فایروال Stateful Tracking Options یا اختصاراً STO (گزینههای ردیابی باوضعیت:نوعی از قوانین فیلترینگ PF که میتوانند از طریق گزینههای گوناگون ترافیک حالت ورودیها را بسازند تا در نهایت رفتار نتیجه حالت ورودیها را تحت کنترل داشته باشند که بدین صورت میتواند سبب تأمین امنیت شبکه شود مثلاً اگر فردی بخواهد بیش از ۱۵ صفحه را در کمتر از ۵ ثانیه بازکند از طریق این قوانین PF جلوی وی را میگیرد) است.
پورتها
[ویرایش]فایروال PF توسط تیم توسعه دهندگان و نویسندگان خود سیستم عامل openbsd نوشته شدهاست. این فایروال را میتوان بهترین آن برای سیستم عامل اوپنبیاسدی در نظر گرفت.همچنین این فایروال به عنوان دیوارآتشین اصلی در این سیستم عامل نصب شده و استفاده میشود.
این فایروال در سیستم عامل رایج freebsd (فریبیاسدی) از ورژن ۵.۳ و در سیستم عامل NetBsd (نتبیاسدی) از ورژن ۳.۰ پورت و به صورت پیشفرض نصب شدهاست ولی دیوار آتشین اصلی این دو محسوب نمیگردد. قابل ذکر است برای سیستم عامل freebsd فایروال IPFW (آیپیفایروال) و برای سیستم عامل NetBSD فایروال IPF (آیپیفیلتر) دیوار آتشین اصلی محسوب میگردد.
ضمناً فایروال PF برای سیستم عامل دراگونفلای بیاسدی از ورژن ۱.۲ و سیستم عاملهای اواس ده اخیر شامل MAC OS X 10.7 (مشهور به LION) و OS X 10.8 (مشهور به MOUNTAIN LION) و OS X 10.9 (اواس ده ماوریکس) و OS X 10.10 (او اس ده یوسمیت) پورت شدهاست.
نمونه فایل پیکربندی
[ویرایش]قوانینی که پیاف بر اساس آنها بستهها را تصفیه میکند، در فایلی با پسوند conf. نوشته شده و پیاف این فوانین را از این فایل میخواند. این فایل به صورت پیشفرض در مسیر /etc/pf.conf قرار دارد و از چند بخش تشکیل میشود.یک نمونه از این فایل پیکربندی را در زیر میبینید. توضیحات با کاراکتر # مشخص میشوند.
## Macros # The internal interface (connected to the local network). int_if="xl0" ## Options # Set the default policy to return RSTs or ICMPs for blocked traffic. set block-policy return # Ignore the loopback interface entirely. set skip on lo0 ## Translation rules # NAT traffic on the interface in the default egress interface group (to # which the interface out of which the default route goes is assigned) from the # local network. match out on egress from $int_if:network to any nat-to (egress) ## Filtering rules # Default deny rule, with all blocked packets logged. block log all # Pass all traffic to and from the local network, using quick so that later # rules are not evaluated if a packet matches this. Some rulesets would restrict # local traffic much further. pass quick on $int_if all # Permit all traffic going out, keep state so that replies are automatically passed; # many rulesets would have many rules here, restricting traffic in and out on the # external (egress) interface. (keep state is not needed in the newest version of pf) pass out keep state
جستارهای وابسته
[ویرایش]منابع
[ویرایش]مشارکتکنندگان ویکیپدیا. «PF_(firewall)». در دانشنامهٔ ویکیپدیای انگلیسی، بازبینیشده در ۶ ژوئن ۲۰۱۴.
http://www.openbsd.org/faq/pf/
https://en.wikipedia.org/wiki/Pfsync
https://web.archive.org/web/20160329083449/https://calomel.org/pf_config.html
https://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-pf.html
کتابشناسی
[ویرایش]- The Book of PF: A No-Nonsense Guide to the OpenBSD Firewall by Peter N. M. Hansteen. No Starch Press. Second edition 2010. ISBN 978-1-59327-274-6.
- The OpenBSD PF Packet Filter Book: PF for NetBSD, FreeBSD, DragonFly and OpenBSD. Published by Reed Media Services. 2006. ISBN 0-9790342-0-5.