我注意到FreeBSD和NetBSD都有额外的pfctl选项: pfctl [-AdeghmNnOPqRrvz] 但OpenBSD不支持,它缺less五个附加选项: pfctl [-deghnPqrvz] 我原以为pf是来自OpenBSD,它也会有这些选项。 有谁知道为什么没有,或如何得到它们?
我想知道什么时候一个数据包到达接口,我有一些PF规则,首先检查,路由表或规则集? ext_if = "em0" int_if = "em1" localnet = $int_if:network VPN_if = 172.16.0.110 nat log on $ext_if from any to any -> ($ext_if) rdr pass log on $ext_if proto tcp from !($ext_if) to any port 1:65000\ -> $VPN_if port 2500 pass log from { lo0, $localnet } to any keep state
如你所知,iptables有-m (match)例如: -m string -m state -m -iplimit and so on… 我的问题: PF有类似的function,如-m的iptables ?
我需要破解OS X的pfredirect从用户到本机的所有SSH连接。 我想,当做 $ ssh google.com 得到与之相同的结果 $ ssh localhost 即连接到我本地运行的sshd。 在最近的Linux下,这只是: # iptables -t nat -A OUTPUT -p tcp –dport 22 -m owner –uid-owner theuser -j REDIRECT 在OS X 10.8下,似乎有两种方法 – ipfw和pf。 两者都行不通。 IPFW: # ipfw flush # ipfw add 50 fwd 127.0.0.1,22 tcp from any to any 22 uid theuser 如果我放弃uid theuser部分,redirect工作,减去用户thingie。 如果我离开uid指令,那么networking堆栈就会死掉,系统很快就会变得不可用。 […]
我试图重新创build这个iptables安装(从https://github.com/darkk/redsocks )与pf: iptables -t nat -A REDSOCKS -p tcp -d 10.0.0.0/8 -j REDIRECT –to-ports 12345 iptables -t nat -A OUTPUT -p tcp -j REDSOCKS 我想redirect到10.0.0.0/8(不pipe什么端口)到本地端口12345的所有连接。在Linux中,这与以上指定的规则很好地工作。 现在我试图在Mac OS X上重新创build它。目前没有任何我已经尝试工作,例如 rdr inet proto tcp from any to 10.0.0.0/8 port 0:65535 -> 127.0.0.1 port 12345 我已经设置了sysctl net.inet.ip.forwarding = 1 我不确定连rdr规则是否相当于iptables NATredirect。 Redsocks需要通过代理连接来保持目标IP /端口的正确转发。 所以我想包中的目的地不应该改变/重写为127.0.0.1:12345。
我想在运行FreeBSD 9的主机在24小时内发出17500个请求(build立连接)的阈值之后,阻止使用PF进行Googlesearch。 读完pf-faq后,我想到了这个规则: pass out on $net proto tcp from any to 'www.google.com' port www flags S/SA keep state (max-src-conn 200, max-src-conn-rate 17500/86400) 注意: 86400是在几秒钟内的24小时。 该规则应该能够工作,但是PF足够聪明,知道www.google.com可以parsing5个不同的IP地址。 所以我的pfctl -sr输出给了我这个: pass out on vte0 inet proto tcp from any to 173.194.44.81 port = http flags S/SA keep state (source-track rule, max-src-conn 200, max-src-conn-rate 17500/86400, src.track 86400) pass […]
我在FreeBSD 9.1上运行一个web和邮件服务器。 系统安装在KVM vServer上。 一切工作正常 – 直到我启用pf(4)。 我的博客变得不合适的慢。 所有其他的stream量也是如此,但这并不令人讨厌。 所以如果有人能告诉我问题可能在哪里,那将是非常好的。 提前致谢! 基准testing/ iperf返回以下结果: 禁用pf: Client connecting to 109.193.XXX.XXX, TCP port 5001 TCP window size: 32.5 KByte (default) ———————————————————— [ 3] local 46.38.XXX.XXX port 31302 connected with 109.193.XXX.XXX port 5001 [ ID] Interval Transfer Bandwidth [ 3] 0.0-10.0 sec 15.1 MBytes 12.6 Mbits/sec 启用pf: ———————————————————— Client […]
标题是自解释的。 我想创build规则在pf上运行在OpenBSD 4.9中的特定MAC地址,类似 pass in on eth0 from mac 00:04:34:5f:34:33 to mac 34:32:34:06:5e:22 我已经阅读了这个 ,但它并没有帮助!
我最近购买了一台运行m0n0wall或者pfSense的服务器,但是从那以后我就知道这两款防火墙产品都是基于FreeBSD的版本,而这些版本在我的新服务器上还不兼容。 我购买的SuperMicro服务器具有双Intel 82574L千兆网卡,我想find一种方法来安装某种types的防火墙,通过使用GUI来简化防火墙pipe理。 我知道我可以简单地使用pf,但是因为我们想要一个GUI前端,我们有什么select? 我是否需要返回此服务器,并find销售较旧硬件的供应商,这些硬件是兼容的,还是可以使此硬件以某种方式工作?