Visualisation d’une table PF (Packet Filter)

Packet Filter est le firewall utilisé par défaut sous Openbsd.

Il offre la possibilité de stocker de l’information dans des tables facilement consultables.

Fichier de configuration de pf.conf :

pass in on egress inet proto tcp from any to egress port $tcp_services flags S/SA keep state \
(max-src-conn-rate 3/30,overload <mechants> flush global) queue (q_def, q_pri)

C’est-à-dire que j’alimente une table “mechants” en fonction du déclenchement de la sonde configurée ci-dessus.

Je peux consulter cette table à n’importe quel moment :

# pfctl -t mechants -T show

Ou prendre des décisions de routage::

block drop in log quick from <mechants> to any

On bannit ainsi automatiquement les scans divers ou tentatives de bruteforce.