把 4.11 給換掉後, 終於可以用 pf 來當 firewall, 不過 pf 並沒有想像中的好.
光就設定檔簡潔的程度, 那大概 pf 是遠遠超過 ipfilter, 尤其是 macro 和 table 對於網管真是非常好用, 新增或更改設定都很輕鬆
至於 NAT 的部分 pf 和 ipfw 感覺蠻類似的, 速度也差不多(感覺比 ipfilter 慢了一點) .
可是 pf 找不到辦法像 ipnat 一樣設定成 portmap auto, 這點還在想辦法. 表面上看起來都用 rdr 效果應該一樣,但是遇到 ftp 或是 share 這類為了速度 port 會隨便開的程式就很難處理. 像是 share 就一直出現 port 錯誤. 目前對應 UPnP 好像也只有 ipfilter 能對應的比較好
所以現在是用 pf 配 ipnat, 如果找到解法再換成純 pf. (反正三套通通都塞到 kernel 裡去了,要換可以隨時換)
感謝你的情報,我會找時間換用 miniupnpd 看看 :)
回覆刪除miniupnpd跑起來會莫名其妙的掛掉,所以還是換回ipfilter+linuxigd
回覆刪除