Доступные параметры rc.conf

Для активации IPF во время загрузки в /etc/rc.conf потребуется добавить следующие переменные:

ipfilter_enable="YES" # Запуск межсетевого экрана ipf

ipfilter_rules="/etc/ipf.rules" # Загрузка файла с правилами

ipmon_enable="YES" # Включение протоколирования IP monitor

ipmon_flags="-Ds" # D = запуск в виде даемона

# s = протоколирование в syslog

# v = протоколирование tcp window, ack, seq

# n = отображение имен IP и портов

Если за межсетевым экраном находится локальная сеть, использующая приватные IP адреса, для включения NAT потребуется добавить следующие переменные:

gateway_enable="YES" # Включение шлюза для локальной сети

ipnat_enable="YES" # Запуск функции ipnat

ipnat_rules="/etc/ipnat.rules" # Определение файла правил для ipnat

IPF

Команда ipf(8) используется для загрузки файла с правилами. Обычно создается файл, содержащий подготовленный набор правил, который полностью замещает набор, используемый на данный момент:

# ipf -Fa -f /etc/ipf.rules

-Fa означает сброс всех внутренних таблиц правил.

-f указывает файл с правилами, который необходимо загрузить.

Это дает вам возможность отредактировать файл с правилами, запустить вышеприведенную команду IPF, тем самым обновить набор правил работающего межсетевого экрана без перезагрузки системы. Для обновления правил такой подход очень удобен, поскольку команду можно выполнять столько раз, сколько нужно.

На странице справочной системы ipf(8) находится подробная информация по всем флагам этой команды.

Набор правил для команды ipf(8) должен быть в виде стандартного текстового файла. Правила, написанные в виде скрипта с символами подстановки, не принимаются.

Есть способ составления правил IPF, использующих символы подстановки. Обратитесь к Разд. 27.5.9.