49、深入理解PF防火墙：基础与高级功能详解

深入理解PF防火墙：基础与高级功能详解

1. PF选项基础

PF选项是影响核心功能的基本设置，能回答诸如是否将片段重新组合成数据包、状态表应支持多少条目、是否开启日志等问题。所有选项都以 set 关键字开头，由于其会影响PF其他部分的运行，建议将其放在 pf.conf 的顶部。以下是一些常用选项：

1.1 set block - policy选项

该选项决定防火墙对禁止数据包的处理方式，是静默丢弃还是向客户端回复“抱歉，不允许”。默认情况下，PF会丢弃被阻止的数据包，但可在单个过滤规则中覆盖全局阻止策略。
- set block - policy return ：PF会返回礼貌的错误信息，TCP连接返回RST，其他连接返回ICMP不可达消息。
- set block - policy drop ：PF不返回任何错误信息，客户端应用需等待网络协议超时才意识到无法连接。建议采用静默丢弃方式。

1.2 set limit选项

PF对用于跟踪片段、状态、地址表等内存消耗项的各种内部表的大小有限制。可使用 pfctl -s memory 查看现有限制：

states        hard limit    10000
src - nodes     hard limit    10000
frags         hard limit     1536
tables        ha