ان‌پی‌اف

از ویکی‌پدیا، دانشنامهٔ آزاد
پرش به: ناوبری، جستجو
NPF
توسعه‌دهنده(ها) پروژه نت‌بی‌اس‌دی
وضعیت توسعه در جریان
نوشته شده به سی
سیستم‌عامل نت‌بی‌اس‌دی
سکو(ها) چندسکویی
گونه دیوار آتش، پکت فیلتر
پروانه پروانه بی‌اس‌دی

ان‌پی‌اف (به انگلیسی: NPF) یک پکت فیلتر است که به صورت نرم‌افزار آزاد و تحت پروانه بی‌اس‌دی منتشر می‌شود. ان‌پی‌اف قابل مقایسه با فایروال‌هایی همچون آی‌پی‌تیبلز، آی‌پی‌فایروال، آی‌پی‌فیلتر و پی‌اف است. ان‌پی‌اف توسط پروژه نت‌بی‌اس‌دی توسعه داده می‌شود. توسعه‌دهنده اولیه ان‌پی‌اف Mindaugas Rasiukevicius بود. این برنامه اولین بار در نت‌بی‌اس‌دی ۶٫۰ که در سال ۲۰۱۲ منتشر شد، معرفی شد.

در طراحی ان‌پی‌اف، هدف داشتن کارایی بالا در سیستم‌های SMP و آسان بودن گسترش بوده است. این دیوار آتش چندین نوع NAT، حالتمند بودن بررسی بسته‌ها، ساختار داده درختی و جداول درهم‌سازی برای نگه‌دار دسته‌های IP و قابلیت‌های دیگر اشاره کرد. ان‌پی‌اف دارای چارچوب‌های توسعه به منظور پشتیبانی از ماژول‌های سفارشی‌شده است. قابلیت‌هایی همچون واقعه‌نگاری بسته‌ها، نرمال کردن ترافیک شبکه، مسدود کردن بسته‌ها به صورت تصادفی، از جمله قابلیت‌هایی هستند که به صورت افزونه برای ان‌پی‌اف موجود هستند. فایل پیکربندی ان‌پی‌اف npf.conf است که در زیر یک نمونه از آن آورده شده است:


# Assigning IPv4-only addresses of the specified interfaces.
$ext_if = inet4(wm0)
$int_if = inet4(wm1)
# Efficient tables to store IP sets.
table <1> type hash file "/etc/npf_blacklist"
table <2> type tree dynamic
# Variables with the service names.
$services_tcp = { http, https, smtp, domain 9022 }
$services_udp = { domain, ntp }
$localnet = { 10.1.1.0/24 }
# Different forms of NAT are supported.
map $ext_if dynamic 10.1.1.0/24 -> $ext_if
map $ext_if dynamic 10.1.1.2 port 22 <- $ext_if port 9022
# NPF has various extensions which are supported via custom procedures.
procedure "log" {
	log: npflog0
}
## Grouping is mandatory in NPF.
# There must be a default group.
#group "external" on $ext_if {
	# Stateful passing of all outgoing traffic.
	pass stateful out final all
 
	block in final from <1>
	pass stateful in final family inet proto tcp to $ext_if port ssh apply "log"
	pass stateful in final proto tcp to $ext_if port $services_tcp
	pass stateful in final proto udp to $ext_if port $services_udp
 
	# Passive FTP and traceroute
	pass stateful in final proto tcp to $ext_if port 49151-65535
	pass stateful in final proto udp to $ext_if port 33434-33600
}
 
group "internal" on $int_if {
	# Ingress filtering as per RFC 2827.
	block in all
	pass in final from $localnet
	pass in final from <2>
	pass out final all
}
 
group default {
	pass final on lo0 all
	block all
}

جستارهای وابسته[ویرایش]

منابع[ویرایش]

  • مشارکت‌کنندگان ویکی‌پدیا، «NPF (firewall)»، ویکی‌پدیای انگلیسی، دانشنامهٔ آزاد (بازیابی در ۲۷ بهمن ۱۳۹۲).