优化网络配置:PF防火墙设置指南
1. 跳过特定接口
skip选项可以让你将特定接口排除在所有PF处理之外。其效果与针对该接口的全通过规则(如pass on $int_if)类似。一个常见的显式跳过示例是禁用回环接口的过滤,因为在大多数配置中,对回环接口进行过滤几乎不会增加安全性或便利性:
set skip on lo0实际上,对回环接口进行过滤几乎没有用处,还可能导致一些常见程序和服务出现异常结果。默认情况下,skip未设置,这意味着所有已配置的接口都可能参与PF处理。除了使规则集稍微简单外,在不想进行过滤的接口上设置skip还能带来轻微的性能提升。
2. 状态策略
state-policy选项指定了PF如何将数据包与状态表进行匹配。可能的值有floating和if-bound。两者的区别在于,在创建状态表条目后,后续数据包的处理方式不同。
- 默认的floating状态策略下,流量可以在所有接口上匹配状态,而不仅仅是创建状态的接口。
- 在if-bound策略下,流量仅在创建状态的接口上匹配。其他接口或组上的流量将不匹配现有状态。
与block-policy类似,此选项指定了全局状态匹配策
