我目前在 3 个专用防火墙服务器上使用 IPFW,我想将它们转换为 PF 以使用其部分功能,但我需要转移才能工作。具体来说,我正在将数据包发送到自定义应用程序以进行网络分析。
PF 是否支持它(或类似的东西)?
答案1
不,在 OpenBSD v4.6 版本中,PF 没有类似 divert 的功能。
但好消息是,PF 的 divert 将包含在 OpenBSD v4.7 版本中
看http://www.mail-archive.com/[电子邮件保护]/msg11694.html了解详情。你可以尝试使用 OpenBSD-current 分支/快照。
答案2
如果我记得正确的话:PF 有一个用于监控目的的特殊接口(pflog)。您可能想查阅它的手册页。
答案3
pf 确实有一个名为“divert-to”的命令,该命令旨在提供本地透明路由。有关更多详细信息,请参阅 pf.conf 手册页。它看起来很简单,但似乎不想做我想要它做的事情:本地捕获本地生成的出站流量并将其重定向到本地端口。
我尝试过但无济于事的其他类似命令是:“rdr”,它指示数据包具有新的目的地,覆盖旧目的地...对于目标 nat 类型应用程序很有用。“route-to”指示数据包在到达其原始目的地之前要经过另一个位置...不接受端口,对路由器有用,对代理则不然。