Packet Filter
Packet Filter (PF) — файрвол, разрабатываемый в рамках проекта OpenBSD. Обладает высокой скоростью работы, удобством в конфигурировании и большими возможностями, включая поддержку IPv6. На данный момент используется, помимо OpenBSD, в NetBSD[4] и FreeBSD[5], а также основанных на этих трёх MirOS BSD, DesktopBSD, pfSense и других. Начиная с версии 10.7 PF используется в Mac OS X. PF был портирован на Microsoft Windows и лёг в основу файрвола Core Force[6].
Packet Filter (PF) | |
---|---|
Тип | Межсетевой экран |
Разработчик | проект OpenBSD |
Написана на | Си[1][2] |
Операционная система | BSD-системы |
Первый выпуск | 1 декабря 2001[3] |
Последняя версия | 4.8 (1 ноября 2010 года) |
Лицензия | BSD |
Сайт | PF FAQ |
История
История PF началась в 2000 году, когда Даррен Рид, разработчик использовавшегося в то время в OpenBSD файрвола IPFilter, изменил лицензию на него. Тогда ipf был исключён из CVS-репозитория, а его место к релизу OpenBSD 3.0 занял написанный «с нуля» PF.
В OpenBSD 3.3 появился pfsync — псевдоинтерфейс, позволяющий реплицировать информацию о контексте соединений между двумя (а позднее и больше) хостами. При использовании CARP или другой аналогичной технологии pfsync позволяет, в частности, создавать отказоустойчивые конфигурации из нескольких физических межсетевых экранов: при отказе одного хоста второй продолжит обрабатывать сетевой трафик без разрыва соединений.
Изначально PF был довольно похож на IPFilter. Крупный редизайн внутренней архитектуры начался в 2005 году[7] усилиями Хеннинга Брауэра и Райана Макбрайда. В рамках этого проекта PF получил поддержку нового вида правил match, новую схему учёта контекста соединений (англ. states в оригинальной терминологии). Так же крупным изменением стал отказ от разделения наборов правил по типам: ранее PF, как и IPFilter, имел раздельные наборы правил для NAT и фильтрации трафика. Так же, в рамках общего развития OpenBSD, PF получил поддержку множественных таблиц и доменов маршрутизации.
Архитектура
PF состоит из двух частей: собственно фильтра пакетов[8] и утилиты pfctl,[9] которая предоставляет интерфейс для управления межсетевым экраном. Фильтр полностью работает в контексте ядра операционной системы, взаимодействие с ним осуществляется через системный вызов ioctl.[10] Поэтому pfctl, строго говоря, не является необходимой частью PF.
PF изначально не рассчитан на многопоточную обработку пакетов. С другой стороны, отсутствие блокировок положительно влияет на производительность.
Оптимизация
PF умеет пропускать ненужные проверки во время прохождения списка правил. Например, если два правила подряд относятся только к протоколу TCP, то пакет любого другого протокола (например, UDP), после того как не подойдёт к первому правилу, не будет проверяться на втором. Для этого сначала при составлении набора правил pfctl, зная оптимальный порядок проверок, может изменить взаимный порядок нескольких идущих подряд правил; затем подготовленный набор анализируется при загрузке в PF и для каждого правила составляется карта переходов по несовпадению того или иного параметра.
PF при оптимизации списка правил может также учитывать накопившуюся статистику частоты проверок для правил, и корректировать карту переходов в соответствии с этой статистикой.
Порядок работы
Фильтр обрабатывает сетевые пакеты в один (при посылке пакета с того же компьютера, на котором стоит фильтр, на другой компьютер, или наоборот) или два (при пересылке внутри компьютера или когда компьютер с фильтром исполняет роль сетевого шлюза) цикла обработки.
Собственно обработка пакета происходит согласно набору правил. В финале обработки пакет либо отбрасывается, либо пропускается. Каждое правило состоит из набора условий и набора указаний, выполняемых при удовлетворении набора условий. Правила бывают трёх видов:
- match
- Если пакет удовлетворяет условиям правила, то указания из данного правила выполняются моментально. match-правила обычно используются для NAT, журналирования трафика, QoS и так далее.
- block
- Если пакет не удовлетворяет условиям правила, то он помечается как подлежащий блокировке. PF позволяет как просто отбросить пакет, так и сгенерировать ICMP-сообщение об ошибке.
- pass
- Если пакет удовлетворяет условиям правила, то он помечается как подлежащий пропуску далее.
Указания, записанные для block- и pass-правил, выполняются после завершения прохода по набору правил. Если для block- или pass-правила сделана соответствующая пометка, то при удовлетворении пакетом условий данного правила, проход по набору правил будет прерван с выполнением соответствующих указаний. Такой порядок позволяет задать серию правил, постепенно сужающих область применения, что выглядит более естественно, чем обратный порядок. Если ни одно block- или pass-правило не подошло, то пакет пропускается: это мера защиты от случайной ошибки при конфигурировании сетевого экрана.
Правила могут включать в себя следующие указания:
- нормализация
- сборка фрагментированных и отбрасывание заведомо некорректных пакетов, а также другие операции, упрощающие дальнейшую обработку;
- трансляция
- перенаправление трафика на уровнях 2 (более тонкое, чем его могут обеспечить обычные средства маршрутизации) и 3 модели OSI, с поддержкой NAT и пулов адресов назначения;
- приоритизация
- принудительное выставление типа обслуживания пакета, помещение пакета в ту или иную очередь ALTQ;
- фильтрация
- принятие окончательного решения о пропуске или блокировке сетевого пакета.
Возможности фильтрации
PF умеет фильтровать пакеты по следующим параметрам:
- Сетевой адрес (для TCP и UDP также и порт) источника и получателя пакета
- Сетевой интерфейс (или их группа), на котором обрабатывается пакет, а также на котором он изначально появился в системе
- Корректность маршрута, с которого пришёл пакет (да или нет)
- Флаги (для TCP)
- Биты типа обслуживания (ToS)
- Тип и код ICMP (для ICMP и ICMPv6)
- Теги пакетов
- Локальный пользователь (владелец сокета)
- Различные счётчики соединений
- Вероятность
Последний параметр позволяет создавать правила, которые срабатывают «иногда», что помогает бороться с (порой непреднамеренными) DDoS-атаками.
Теги назначаются правилами PF. У каждого пакета может быть не более одного тега. Правилом можно установить/заменить тег, но нельзя убрать существующий. Тег сохраняется у пакета на всё время прохождения по сетевому стеку.
PF также позволяет переопределить используемую таблицу маршрутизации, за счёт чего можно переносить пакеты между доменами маршрутизации. Разумеется, это имеет смысл только для входящего трафика, для которого маршрут ещё не определён стандартными средствами.
Для правил можно указывать метки. Одна и та же метка может соответствовать нескольким правилам. Метки позволяют лучше идентифицировать правила из пользовательского пространства, а также отключать встроенную оптимизацию набора правил для определённых правил; последнее может быть нужно, например, для биллинговых систем.
PF не только умеет проводить фильтрацию с учётом контекста, но поддерживает три варианта работы в этом режиме (терминология из оригинальной документации):
- keep state
- простой режим, запоминается только соответствие пар сетевых адресов и портов; этот режим применим не только к TCP, но и к UDP.
- modulate state
- более сложный режим, в котором PF самостоятельно выбирает начальные значения счётчиков пакетов TCP; это обеспечивает улучшенную защиту в случаях, когда одна из сторон выбирает плохие с точки зрения вероятности угадывания значения этих счётчиков.
- synproxy state
- в этом режиме PF самостоятельно устанавливает TCP-соединение с другой стороной, и только после этого соответствующие пакеты отсылаются инициатору; это обеспечивает защиту от атак типа SYN-флуд с подделкой адреса отправителя.
По умолчанию все pass-правила учитывают контекст (keep state), а относящиеся к TCP ещё и проверяют флаги SYN-пакета. Это сделано поскольку позволяет заметно сократить объём правил (как в плане их количества, так и в плане их описания в файле конфигурации) в типичных ситуациях. При этом можно принудительно отказаться от этих возможностей для конкретного правила или всего их набора. Следует также учитывать, что если пакет не попал ни под одно pass-правило, то никаких проверок и создания контекста не происходит.
Таблицы адресов
Одной из самых интересных возможностей PF является работа с таблицами адресов:
- Таблицы могут содержать как IPv4-, так и IPv6-адреса, вместе с маской подсети для каждого;
- Записи в таблице могут быть помечены как исключение, что позволяет кратко описывать сложную топологию (см. ниже);
- Поиск по таблице происходит быстрее, чем линейный поиск по набору адресов (и заметно быстрее, чем перебор правил, различающихся лишь адресами в одном и том же параметре);
- Таблицы могут быть произвольным образом изменены без необходимости перезагружать правила;
- По каждой записи в таблице может вестись статистика;
- Посредством опции фильтрации overload в выбранную таблицу могут помещаться адреса, превышающие те или иные ограничения на количество соединений;
- Записи в таблицах могут быть автоматически удалены по достижении указанного времени их существования.
Например, в таблицу можно занести все приватные адреса[11][12][13] в единую таблицу и затем блокировать попытки подключения извне от якобы этих адресов всего одним правилом.
Более того, путём использования пометок об исключении адресов (диапазонов адресов) можно путём всего трёх записей в таблице указать такую конфигурацию: в таблицу входит диапазон 10.0.0.0/8
, кроме 10.0.3.192/26
, плюс ещё входит 10.0.3.211
. Соответствующие записи в таблицу можно заносить в любом порядке, PF будет их использовать в соответствии с их префиксами (маской подсети).
Сторонние программы через системный вызов ioctl или посредством вызова программы pfctl могут управлять содержимым таблиц. Например, DHCP-сервер dhcpd (недоступная ссылка) из состава OpenBSD поддерживает использование до трёх таблиц PF:
- таблица, в которую добавляются IP-адреса новых DHCP-клиентов
- таблица, из которой удаляются освобождающиеся IP-адреса
- таблица, в которой поддерживается список временно запрещённых к использованию IP-адресов
Блоки правил
Правила можно объединять в блоки (anchors в оригинальной документации). При этом можно для каждого блока задавать общие параметры, которые будут действовать для всех правил в блоке.
Блоки обрабатываются наравне с правилами и могут вкладываться друг в друга. При этом содержимое блоков может изменяться независимо друг от друга, а также от общего списка правил. Последний, по сути, является тем же блоком.
Блоки правил удобны для использования в программах, так или иначе управляющих потоками трафика. Примеры программ:
- relayd, прокси-сервер для организации автоматического контроля списка работающих backend-серверов;
- authpf, командная оболочка UNIX, позволяющая контролировать доступ к сетевым ресурсам при помощи аутентификации пользователей через SSH.
Литература
- Майкл Лукас. Absolute OpenBSD. — No Starch Press, 2003. — 500 с. — ISBN 1-886411-99-9. Архивная копия от 24 июля 2003 на Wayback Machine
- Ясек Артимьяк (англ. Jacek Artymiak). Building Firewalls with OpenBSD and PF. — 2-е изд. — No Starch Press, 2003. — 320 с. — ISBN 83-916651-1-9.
- Брэндон Палмер, Жосе Назарио. Secure Architectures with OpenBSD. — Addison-Wesley Professional, 2004. — 520 с. — ISBN 0-321-19366-0.
- Более полный список книг доступен на соответствующей странице сайта OpenBSD.
- Перевод книги о PF. Второе издание доступно здесь или здесь (недоступная ссылка).
Примечания
- http://openbsd.su/src/sys/net/
- http://openbsd.su/src/sbin/pfctl/
- Wikipedia community Wikipedia (англ.) — 2001.
- Changes and NetBSD News in 2005 . netbsd.org. Дата обращения: 4 февраля 2020.
- FreeBSD/amd64 5.3-RELEASE Release Notes . www.freebsd.org. Дата обращения: 4 февраля 2020.
- CORE FORCE Архивировано 6 мая 2009 года.
- Henning Brauer. «Placeholder: something OpenBSD related» (слайд 6) . Архивировано 14 февраля 2012 года.
- страница руководства pf(4) (недоступная ссылка). Дата обращения: 6 октября 2008. Архивировано 25 ноября 2010 года.
- страница руководства pfctl(8) (недоступная ссылка). Дата обращения: 6 октября 2008. Архивировано 22 апреля 2011 года.
- страница руководства ioctl(2) (недоступная ссылка)
- RFC 1918 Архивная копия от 20 октября 2008 на Wayback Machine (приватные адреса в Интернет)
- RFC 3927 (недоступная ссылка) (адреса для Zeroconf)
- IP Filter HOWTO Архивная копия от 27 апреля 2006 на Wayback Machine, содержит хороший список приватных адресов с пояснениями