15、精准配置网络安全规则：PF 防火墙设置与调试指南

精准配置网络安全规则：PF 防火墙设置与调试指南

1. 基础设置选项

1.1 skip 选项

skip 选项可将特定接口排除在所有 PF 处理之外，效果类似于针对该接口的全通过规则，例如pass on $int_if。常见的显式跳过示例是禁用回环接口的过滤，因为在大多数配置中，对回环接口进行过滤并不能增加多少安全性或便利性，可使用以下命令：

set skip on lo0

默认情况下，skip 未设置，这意味着所有配置的接口都可能参与 PF 处理。在不需要进行过滤的接口上设置 skip，不仅能使规则集稍微简化，还能带来轻微的性能提升。

1.2 state - policy 选项

state - policy 选项指定 PF 如何将数据包与状态表进行匹配，可能的值为 floating 和 if - bound。二者区别在于创建状态表条目后，后续数据包的处理方式不同。
-floating（默认）：流量可以在所有接口上匹配状态，而不仅仅是创建状态的接口。
-if - bound：流量仅在创建状态的接口上匹配，其他接口或组上的流量不会匹配现有状态。

可以在每条规则的基础上覆盖状态策略，例如在默认 floating 状态策略的规则集中，可以使用以下规则：

pass out on egress inet proto t