我有以下pfctl -vvss命令摘录:
re2 icmp 10.10.0.62:1 <- 192.168.10.56:1 0:0
age 00:08:30, expires in 00:00:05, 192:7 pkts, 14400:584 bytes, rule 117
id: 010000005ab2fc3e creatorid: 6261d0b3
re0 icmp 95.84.128.151:47326 (192.168.10.56:1) -> 10.10.0.62:47326 0:0
age 00:08:30, expires in 00:00:05, 377:4 pkts, 28188:416 bytes, rule 94
id: 010000005ab2fc3f creatorid: 6261d0b3
我认为这是不受欢迎的行为和规则117,并且94是不正确的。如何找到这些规则并了解它们从何而来?
什么是creatorid?
答案1
pfctl -s rules -vv
将输出类似:
@71 pass out quick on igb1.100 inet from 209.51.186.0/26 to 192.168.0.0/23 no state
[ Evaluations: 1064257 Packets: 354523 Bytes: 149293726 States: 0 ]
[ Inserted: uid 0 pid 1053 State Creations: 0 ]
@71 是规则编号
答案2
要查看规则的来源,您可以检查加载配置文件时创建的规则
# pfctl -vv -n -f /etc/pf.conf
-vv增加详细程度以在每个规则的开头显示规则编号
-n 防止pf实际加载规则
-f 给出应从中生成规则的文件
对我来说,将此输出与配置文件的实际内容进行比较(也许并排)已被证明是有益的
# cat /etc/pf.conf