精准设置网络配置
在网络配置中,有多个关键的设置选项,它们对于网络的性能、安全性和稳定性起着重要作用。以下将详细介绍这些设置选项及其操作方法。
1. skip 选项
skip 选项可让特定接口排除在所有 PF 处理之外。其效果类似于为该接口设置一个全部放行的规则,例如pass on $int_if。一个常见的明确使用 skip 的例子是禁用回环接口的过滤,因为在大多数配置中,对回环接口进行过滤几乎不会增加安全性或便利性。
set skip on lo0实际上,对回环接口进行过滤几乎没有用处,而且可能会导致一些常见程序和服务出现奇怪的结果。默认情况下,skip 是未设置的,这意味着所有配置的接口都可能参与 PF 处理。在不需要进行过滤的接口上设置 skip,除了可以使规则集稍微简单一些,还能带来轻微的性能提升。
2. state - policy 选项
state - policy 选项指定了 PF 如何将数据包与状态表进行匹配。可能的值有floating和if - bound。两者的区别在于,在创建状态表条目后,后续数据包的处理方式不同。
-floating 策略:默认的floating状态策略允许流量在所有接口上匹配状态,而不仅仅是创建状态的接口。
-if - bound 策略:
