tc的家

当规则集载入时，任何出现了antispoof关键字的规则都会扩展成2条规则。假定接口fxp0具有ip地址10.0.0.1和子网掩码255.255.255.0（或者/24），上面的规则会扩展成： block in on ! fxp0 inet from 10.0.0.0/24 to any block in inet from 10.0.0.1 to any 这些规则实现下面的2个目的： * 阻塞任何不是由fxp0接口进入的10.0.0.0/24网络的流量。由于10.0.0.0/24的网络是在fxp0接口，具有这样的源网络地址的数据包绝不应该从其他接口上出现。 * 阻塞任何由10.0.0.1即fxp0接口的IP地址的进入流量。主机绝对不会通过外面的接口给自己发送数据包，因此任何进入的流量源中带有主机自己的IP地址都可以认为是恶意的！ 注意：antispoof规则扩展出来的过滤规则会阻塞loopback接口上发送到本地地址的数据包。这些数据包应该明确的配置为允许通过。例如： pass quick on lo0 all antispoof for fxp0 inet 使用antispoof应该仅限于已经分配了IP地址的网络接口，如果在没有分配IP地址的网络接口上使用，过滤规则会扩展成： block drop in on ! fxp0 inet all block drop in inet all 这样的规则会存在阻塞所有接口上进入的所有流量的危险。 被动操作系统识别 被动操作系统识别是通过基于远端主机TCP SYN数据包中某些特征进行操作系统被动检测的技术。这些信息可以作为标准在过滤规则中使用。 PF检测远端操作系统是通过比较TCP SYN数据包中的特征和已知的特征文件对照来确定的，特征文件默认是/etc/pf.os。如果PF起作用，可是使用下面的命令查看当前的特征列表。