标签: pf

我只是弄乱了我的pf.conf然后跑了pf，我得到了：

Enabling pf.
No ALTQ support in kernel

当然修复是重新编译内核，但那篇文章是针对 freebsd 7. 我在FreeBSD 9.1

我想知道：

1. 我真的应该费心启用ALTQ并重新编译吗？我需要这样做来重新路由进出我的 freebsd jail 的流量吗？
2. 这篇文章中的修复是否适用于 FreeBSD 9.1，我不想花一整夜的时间来构建操作系统只是为了最后发现出了问题！！

假设我通过 ssh 登录到服务器。在会话中，我更改防火墙配置以阻止所有流量。

当我之前使用 FreeBSD 和 pf 尝试此操作时，当前连接已断开。当我现在尝试时，当前连接保持活动状态，但 ping（和新连接）不起作用。我不确定是否还缺少其他东西。

预期的行为是什么 - 这会破坏我当前的会话吗？

我正在运行 FreeBSD 10.3 p4 并观察到一些奇怪的行为

重新启动机器时 pf 因/etc/rc.conf进入而启动

# JAILS
cloned_interfaces="${cloned_interfaces} lo1"
gateway_enable="YES"
ipv6_gateway_enable="YES"

# OPENVPN -> jails
cloned_interfaces="${cloned_interfaces} tun0"

# FIREWALL
pf_enable="YES"
pf_rules="/etc/pf.conf"
fail2ban_enable="YES"

# ... other services ...

# load ezjail
ezjail_enable="YES"

但忽略所有关于监狱的规则。所以我必须手动重新加载规则才能开始

sudo pfctl -f /etc/pf.conf

我的 pf.conf 内容如下：

#external interface
ext_if = "bge0"
myserver_v4 = "xxx.xxx.xxx.xxx"

# internal interfaces
set skip on lo0
set skip on lo1

# nat all jails
jails_net = "127.0.1.1/24"
nat on $ext_if inet from $jails_net to any -> $ext_if …

我有一个 OpenBSD 5.2 盒子，它在端口 80 上运行网络服务器，在端口 2222 上运行 SSHD 服务器。

如何将 OpenBSD 的 pf 配置为仅允许从给定国家/地区连接到端口 80 和 2222？