PF (ファイアウォール)

pf.conf ファイルの記述例[編集]

## マクロ

# 内向けインタフェース (ローカルネットワークに接続).
int_if="xl0"

## Options

# blockした通信にデフォルトでRSTを返すかICMPを返すかを設定
set block-policy return

# ループバックインタフェースについては完全に無視する
set skip on lo0

## アドレス変換規則

# ローカルネットワークからデフォルトルートとして指定されているインタフェースである
# egressインタフェースを通るところでNATを行う。
nat on egress from $int_if:network to any -> (egress)

## フィルタリングルール

# すべてのパケットを遮断（block）し、ログに残す
block log all

# ローカルネットワークからのすべてのパケットを許可する。quickを使うと後で
# これにマッチするルールがあったとしても無視される。ローカルの通信をさらに厳しく
# 評価するようなルールもあるかもしれない。
pass quick on $int_if all

# 外に出て行くすべてのトラフィックを許可する。そして、それらのパケットへの返事が自動的に
# 許可されるように、状態を記憶する。そうしないと、外部向けの（egress）インタフェースから
# 出て行く通信や入ってくる通信に対して多くのルールをここに記述することになる。
pass out keep state

関連項目[編集]

• 通信プロトコル
• TCP/IP
• ネットワークアドレス変換

外部リンク[編集]

• OpenBSD's pfctl man page
• The OpenBSD PF guide
• The OpenBSD 3.6 release song with background information on PF's creation
• PF section on Daniel Hartmeier's site
• PF tutorial by Peter N. M. Hansteen