象其它平臺上的Netfilter和IP Filter一樣，OpenBSD用戶最愛用PF，這就是他們的防火墻工具。它的功能有網(wǎng)絡(luò)地址轉(zhuǎn)換、管理TCP/IP通訊、提供帶寬控制和數(shù)據(jù)包分級控制。它還有一些額外的功能，例如被動(dòng)操作系統(tǒng)檢測。PF是由編寫OpenBSD的同一批人編寫的，所以你完全可以放心使用，它已經(jīng)經(jīng)過了很好的評估、設(shè)計(jì)和編碼以避免暴露其它包過濾器（other packet filters）上的類似漏洞。

下載鏈接：http://down.51cto.com/data/155543

>>去網(wǎng)絡(luò)安全工具百寶箱看看其它安全工具

啟用

默認(rèn)啟用 PF。如果你希望它在系統(tǒng)啟動(dòng)時(shí)禁止，請?jiān)黾右恍?/p>

pf=NO 

到文件 /etc/rc.conf.local 中，重啟系統(tǒng)讓它生效。你也可以使用 pfctl(8) 程序來手工啟用或關(guān)閉 PF:

# pfctl -e  
# pfctl -d 

這兩個(gè)命令分別它們啟用和關(guān)閉 PF。 注意它只是啟用和關(guān)閉 PF，不會加載規(guī)則。規(guī)則必須在啟用 PF 之前或其后單獨(dú)加載。

配置

在啟動(dòng)時(shí)，PF 從文件 /etc/pf.conf 讀取過濾規(guī)則，它是被 rc 腳本加載的。注意 /etc/pf.conf 是默認(rèn)配置文件，被系統(tǒng) rc 腳本加載，它只是被 pfctl(8) 加載和解析執(zhí)行的文本文件，插入到 pf(4) 中。某些應(yīng)用可能在系統(tǒng)啟動(dòng)后，從其它文件加載附加的過濾規(guī)則。 與任一很好設(shè)計(jì)的 Unix 應(yīng)用類似，PF 提供了很好的適應(yīng)性。

文件 pf.conf 有五個(gè)部分:

宏: 用戶定義的變量，保存 IP，接口名稱等。

表: 保存 IP 列表的結(jié)構(gòu)。

選項(xiàng): 控制 PF 工作的選項(xiàng)。

隊(duì)列: 提供帶寬和優(yōu)先級的控制。

轉(zhuǎn)換: 網(wǎng)絡(luò)地址轉(zhuǎn)換和端口轉(zhuǎn)發(fā)。

過濾器規(guī)則:選擇性阻塞或放行任意網(wǎng)絡(luò)接口的包，過濾器規(guī)則可以為網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 和端口轉(zhuǎn)發(fā)指定參數(shù)。忽略空行，以 # 開始的行是注釋。

控制

啟動(dòng)之后，可以使用 pfctl(8) 程序來控制 PF 操作。下面是一些例子:

# pfctl -f /etc/pf.conf     加載文件 pf.conf  
# pfctl -nf /etc/pf.conf    解析文件，但是不加載  
 
# pfctl -sr                 顯示當(dāng)前的過濾器規(guī)則  
# pfctl -ss                 顯示當(dāng)前的狀態(tài)表  
# pfctl -si                 顯示過濾器統(tǒng)計(jì)信息和計(jì)數(shù)器  
# pfctl -sa                 顯示一切信息  

完整的命令列表在 pfctl(8) 手冊頁。