SMD:支持 Spotify、Deezer、YouTube 等多平台的音乐下载工具
2026/6/26 4:05:26
精准配置网络安全规则:PF 防火墙设置与调试指南
1. 基础设置选项
1.1 skip 选项
skip 选项可将特定接口排除在所有 PF 处理之外,效果类似于针对该接口的全通过规则,例如pass on $int_if。常见的显式跳过示例是禁用回环接口的过滤,因为在大多数配置中,对回环接口进行过滤并不能增加多少安全性或便利性,可使用以下命令:
set skip on lo0默认情况下,skip 未设置,这意味着所有配置的接口都可能参与 PF 处理。在不需要进行过滤的接口上设置 skip,不仅能使规则集稍微简化,还能带来轻微的性能提升。
1.2 state - policy 选项
state - policy 选项指定 PF 如何将数据包与状态表进行匹配,可能的值为 floating 和 if - bound。二者区别在于创建状态表条目后,后续数据包的处理方式不同。
-floating(默认):流量可以在所有接口上匹配状态,而不仅仅是创建状态的接口。
-if - bound:流量仅在创建状态的接口上匹配,其他接口或组上的流量不会匹配现有状态。
可以在每条规则的基础上覆盖状态策略,例如在默认 floating 状态策略的规则集中,可以使用以下规则:
pass out on egress inet proto t