/etc/pf.conf

/etc/pf.conf

ext_if = "kue0"

all_ifs = "{" $ext_if lo0 "}"

pass out on $ext_if from any to any keep state

pass in on $ext_if proto tcp from any to any port 25 keep state

persist

const

table <private> const { 10/8, 172.16/12, 192.168/16 }

table <badhosts> persist

block on fxp0 from { <private>, <badhosts> } to any

# pfctl -t badhosts -Tadd 204.92.77.111

table <spam> persist file "/etc/spammers" file "/etc/openrelays"

block on fxp0 from <spam> to any

set timeout аргументы

• interval – интервал между удалением завершенных состояний и фрагментов.

• frag – количество секунд до завершения несобранного фрагмента.

• src.track – период хранения записи отслеживания источника после завершения последнего состояния.

• tcp.first – состояние после первого пакета.

• tcp.opening – состояние до отправки первого пакета хостом-получателем.

• tcp.established – полностью стабильное состояние.

• tcp.closing – состояние после отправки первого FIN.

• tcp.finwait – состояние после обмена обоими FIN и закрытия соединения. Некоторые хосты (в частности, web-серверы Solaris) отправляют TCP-пакеты даже после закрытия соединения. Увеличение значения tcp.finwait (и, возможно, tcp.closing) позволяет предотвратить блокирование таких пакетов.

• tcp.closed – состояние после отправки RST одной из конечных точек.

• udp.first – состояние после первого пакета.

• udp.single – состояние после отправки хостом-отправителем более одного пакета, которые не были возвращены хостом- получателем.

• udp.multiple – состояние после отправки пакетов обоими хостами.

• icmp.first – состояние после первого пакета.

• icmp.error – состояние после возвращения ошибки ICMP в ответ на отправку ICMP-пакета.

• other.first

• other.single

• other.multiple

• adaptive.start – запуск адаптивного масштабирования, если количество записей состояния превышает это значение. Все значения таймаута масштабируются линейно с использованием коэффициента, вычисляемого как (adaptive.end − количество состояний) / (adaptive.end − adaptive.start).

• adaptive.end – по достижении этого количества записей состояния все значения таймаутов обнуляются, что приводит к немедленному удалению всех записей состояния. Это значение используется для определения коэффициента масштабирования; фактическое достижение которого не рекомендуется (следует установить более низкое предельное значение, см. далее).

set timeout tcp.first 120

set timeout tcp.established 86400

set timeout { adaptive.start 6000, adaptive.end 12000 }

set limit states 10000

set loginterface

pfctl -s info

set loginterface dc0

set loginterface none

set limit

set limit states 20000

set limit frags 20000

set limit src-nodes 2000

set limit { states 20000, frags 20000, src-nodes 2000 }

set optimization

• normal – нормальная сетевая среда. Подходит почти для всех сетей.

• high-latency – среда с большими задержками (например, спутниковое соединение).

• satellite – псевдоним для high-latency.

• aggressive – агрессивное завершение соединений. Позволяет существенно оптимизировать использование памяти межсетевого экрана путем раннего сброса неактивных соединений.

• conservative – наиболее консервативные настройки. Позволяет предотвратить сброс действительных соединений за счет увеличения потребления памяти (значительно более существенного в загруженной сети) и незначительного увеличения потребления ресурсов процессора.

set optimization aggressive

set block-policy

• drop – сброс пакета без оповещения.

• return – для блокированных TCP-пакетов возвращается флаг "TCP RST", для блокированных UDP-пакетов – "ICMP UNREACHABLE", остальные пакеты отбрасываются без оповещения.

set block-policy return

set state-policy

• if-bound – состояния привязаны к интерфейсу.

• group-bound – состояния привязаны к группе интерфейсов (например, ppp).

• floating – состояния могут соответствовать пакетам в любых интерфейсах (по умолчанию).

set state-policy if-bound

set require-order

set fingerprints

set fingerprints "/etc/pf.os.devel"

set skip on спецификация_интерфейса

set skip on lo0

set debug

• none – не создавать сообщения отладки.

• urgent – создавать сообщения отладки только для серьезных ошибок.

• misc – создавать сообщения отладки для различных ошибок.

• loud – создавать сообщения отладки для общих условий.

no-df

min-ttl число

max-mss число

random-id

fragment reassemble

fragment crop

fragment drop-ovl

reassemble tcp

• ttl – ни одной из сторон соединения не разрешено уменьшать время существования IP-пакетов. Злоумышленник может отправить пакет, который, попадая в межсетевой экран, изменяет его состояние и уничтожается до достижения хоста-получателя. Команда reassemble tcp увеличивает время существования всех пакетов до наибольшего допустимого для данного соединения значения.

• timestamp modulation – современные TCP-стеки отправляют временную метку в каждом TCP-пакете и выводят информацию о временной метке другой конечной точки. Во многих операционных системах временная метка при первой загрузке обнуляется, и затем ее значение увеличивается с шагом приращения несколько секунд. Время безотказной работы хоста можно рассчитать путем чтения временной метки и ее умножения на константу. Также существует возможность контроля нескольких временных меток для подсчета хостов за устройством NAT. Для имитации TCP-пакетов в соединении необходима информация о действительных временных метках. Значения временных меток должны равномерно увеличиваться и не могут основываться на легко угадываемых временных данных. Выполнение команды reassemble tcp приводит к моделированию временных меток TCP на основе случайных чисел при очистке.

• extended PAWS checks – при использовании TCP на мощных широких каналах возникает проблема, связанная с возможной задержкой пакета на более продолжительное время по сравнению с тем, которое требуется для циклического сброса соединением 32-битного пространства последовательностей. В каждом таком случае старый пакет неотличим от нового и обрабатывается как новый. Решить эту проблему позволяет алгоритм PAWS (Protection Against Wrapped Sequence – защита от некорректной нумерации последовательностей). Эта защита обеспечивается за счет предотвращения уменьшения значения временной метки в каждом пакете. Команда reassemble tcp также позволяет не допустить превышения значения временной метки в пакете (по сравнению с максимальным допустимым значением RFC). При этом pf принудительно повышает безопасность номеров последовательностей TCP, удлиняя их на 10–18 битов, когда хост использует соответствующие произвольные временные метки; таким образом, злоумышленник также будет вынужден определять временную метку вслепую.

scrub in on $ext_if all fragment reassemble

cbq

priq

hfsc

интерфейс

диспетчер

• cbq – формирование очередей на основе класса.

• priq – формирование очередей на основе приоритета

• hfsc – иерархическая характеристика обслуживания.

bandwidth пропускная_способность

qlimit предел

tbrsize размер

queue список

altq on dc0 cbq bandwidth 5Mb queue { std, http, mail, ssh }

• on интерфейс – интерфейс, с которым работает очередь. Если эта опция не указана, то очередь активируется во всех соответствующих интерфейсах.

• bandwidth пропускная_способность – максимальная скорость двоичной передачи в битах, обрабатываемая очередью. Это значение не должно превышать значения родительской очереди. Пропускную способность можно задать в виде абсолютного значения или процентного значения от пропускной способности родительской очереди. Если это ключевое слово не указано, то пропускная способность по умолчанию составляет 100% пропускной способности для родительской очереди. Для диспетчера priq поддержка определения пропускной способности не реализована.

• priority уровень – для очередей можно установить уровень приоритета. Диапазон значений для cbq и hfsc – от 0 до 7; для priq – от 0 до 15. По умолчанию для всех диспетчеров установлено значение 1. Очереди PRIQ с более высоким приоритетом всегда обрабатываются первыми. В случае перегрузки первыми обрабатываются очереди CBQ и HFSC с высоким приоритетом.

• qlimit предел – максимальное количество пакетов в очереди. Значение по умолчанию – 50.

• default – в эту очередь помещаются пакеты, не назначенные какой-либо другой очереди. Очередь по умолчанию должна быть единственной.

• red – активировать RED (Random Early Detection – раннее случайное обнаружение) для данной очереди. RED сбрасывает пакеты с вероятностью, пропорциональной средней длине очереди.

• rio – активировать RIO для данной очереди. RIO представляет собой RED с функциями IN/OUT, соответственно, количество запусков RED, в два раза превышающее количество запусков RIO, приведет к тому же результату. В настоящее время не реализована поддержка RIO в ядре GENERIC.

• ecn – активировать ECN (Explicit Congestion Notification – уведомление о перегрузке) для этой очереди. ECN предполагает обязательное использование RED.

• borrow – очереди может быть выделена часть пропускной способности родительской очереди.

Диспетчер HFSC поддерживает ряд дополнительных опций (sc – сокращение от "service curve", характеристика обслуживания):

• realtime sc – минимальная необходимая пропускная способность для данной очереди.

• upperlimit sc – максимальная допустимая пропускная способность для данной очереди.

• linkshare sc – доля пропускной способности для задержанной очереди.

queue std bandwidth 10% cbq(default)

queue http bandwidth 60% priority 2 cbq(borrow red) \

{ employees, developers }

queue developers bandwidth 75% cbq(borrow)

queue employees bandwidth 15%

queue mail bandwidth 10% priority 0 cbq(borrow ecn)

queue ssh bandwidth 20% cbq(borrow) { ssh_interactive, ssh_bulk }

queue ssh_interactive bandwidth 50% priority 7 cbq(borrow)

queue ssh_bulk bandwidth 50% priority 0 cbq(borrow)

block return out on dc0 inet all queue std

pass out on dc0 inet proto tcp from $developerhosts to any port 80 \

keep state queue developers

pass out on dc0 inet proto tcp from $employeehosts to any port 80 \

keep state queue employees

pass out on dc0 inet proto tcp from any to any port 22 \

keep state queue(ssh_bulk, ssh_interactive)

pass out on dc0 inet proto tcp from any to any port 25 \

keep state queue mail

binat

nat

• 10.0.0.0–10.255.255.255 (вся сеть 10, т.е. 10/8)

• 172.16.0.0–172.31.255.255 (т.е. 172.16/12)

• 192.168.0.0–192.168.255.255 (т.е. 192.168/16)

rdr

rdr ... port 2000:2999 -> ... port 4000

rdr ... port 2000:2999 -> ... port 4000:*

rdr on ne3 inet proto tcp to port 8025 -> 127.0.0.1 port 25

block

• drop – сброс пакета без оповещения.

• return-rst – только для TCP-пакетов: выдача TCP RST, что приводит к закрытию соединения.

• return-icmp, return-icmp6 – возврат ICMP-сообщений для пакетов, соответствующих правилам. По умолчанию используется сообщение "ICMP UNREACHABLE"; можно задать другое сообщение, указав его код или номер.

• return – возврат TCP RST для TCP-пакетов и ICMP UNREACHABLE для UDP-пакетов и пакетов остальных типов.

pass

block all

in или out

log

log-all

quick

on интерфейс

af

proto протокол

from источник port источник os источник to адресат port адресат

• any – любой адрес.

• route метка – любой адрес, с которым связан маршрут, имеющий метку, указанную в аргументе метка. См. описание протокола ROUTE в руководстве по библиотекам Neutrino Library Reference и утилиты route.

• no-route – любой немаршрутизируемый адрес.

• таблица – любой адрес, соответствующий указанной таблице.

К именам интерфейсов можно добавлять следующие модификаторы:

• :network – преобразовать в сеть (сети), связанную с интерфейсом.

• :broadcast – преобразовать в широковещательный адрес(-а) интерфейса.

• :peer – преобразовать в адрес(-а) партнера интерфейса "точка-точка".

• :0 – не добавлять псевдонимы интерфейсов.

pass in all

pass in from any to any

pass in proto tcp from any port <= 1024 to any

pass in proto tcp from any to any port 25

pass in proto tcp from 10.0.0.0/8 port > 1024 \

to ! 10.1.2.3 port != ssh

pass in proto tcp from any os "OpenBSD" flags S/SA

pass in proto tcp from route "DTAG"

all

group группа

user пользователь

block out proto { tcp, udp } all

pass out proto { tcp, udp } all \

user { < 1000, dhartmei } keep state

flags a/b | /b

icmp-type тип code код
icmp6-type тип code код

tos строка | число

• pass all tos lowdelay

• pass all tos 0x10

• pass all tos 16

allow-opts

label строка

ips = "{ 1.2.3.4, 1.2.3.5 }"

pass in proto tcp from any to $ips \

port > 1023 label "$dstaddr:$dstport"

после расширения принимает следующий вид:

pass in inet proto tcp from any to 1.2.3.4 \

port > 1023 label "1.2.3.4:>1023"

pass in inet proto tcp from any to 1.2.3.5 \

port > 1023 label "1.2.3.5:>1023"

queue очередь | (очередь, очередь)

pass in proto tcp to port 25 queue mail

pass in proto tcp to port 22 queue(ssh_bulk, ssh_prio)

tag строка

tagged строка

probability число

block in proto icmp probability 20%

fastroute

route-to

reply-to

dup-to

bitmask

random

source-hash

round-robin

static-port

• Сопоставление пакета с состоянием включает в себя проверку его номеров последовательностей. Если номера последовательностей выходят за узкие рамки ожидаемых значений, пакет отбрасывается. За счет этого обеспечивается защита от атак типа "спуфинг", например, в том случае, если злоумышленник посылает пакеты с подменного адреса/порта источника, но не имеет информации о номерах последовательностей соединения.

• Поиск по состояниям обычно занимает меньше времени, чем реализация правил. При наличии 50 правил последовательная реализация каждого из них выполняется за O(n). С другой стороны, даже при наличии 50 000 состояний для сопоставления одного состояния необходимо всего 16 операций, поскольку состояния хранятся в бинарном дереве поиска, позволяющем выполнить поиск за O(log2 n).

block all

pass out proto tcp from any to any flags S/SA keep state

pass in proto tcp from any to any port 25 flags S/SA keep state

pass out on ppp from any to 10.12/16 keep state (group-bound)

pass out inet proto icmp all icmp-type echoreq keep state

block all

pass out proto tcp from any to any modulate state

pass in proto tcp from any to any port 25 flags S/SA modulate state

• Правило modulate state не следует применять к уже созданному, но немодулированному соединению. Это может привести к рассинхронизации четких последовательностей TCP между двумя конечными точками. Вместо этого pf обрабатывает модификатор modulate state как модификатор keep state, и уже созданное соединение функционирует без защиты, предоставляемой модуляцией.

• Другая особенность связана с изменением текущих модулированных состояний при потере таблицы состояний (перезагрузка межсетевого экрана, удаление данных из таблицы состояний и т.д.). Фильтр пакетов pf не может повторно создать соединение после удаления модулятора соединения вследствие очистки таблицы состояний. При потере состояния соединение может остаться "повисшим" вплоть до наступления таймаута соединения на соответствующих конечных точках. Попытки повторной синхронизации конечных точек в высокоскоростной локальной сети после потери модулятора могут вызвать ACK-лавину. Для предотвращения ACK-лавин в высокоскоростных сетях рекомендуется в правиле modulate state указать модификатор flags S/SA.

pass in proto tcp from any to any port www flags S/SA synproxy state

max число

timeout секунды

pass in proto tcp from any to any \

port www flags S/SA keep state \

(max 100, source-track rule, max-src-nodes 75, \

max-src-states 3, tcp.established 60, tcp.closing 5)

source-track rule

source-track global

max-src-nodes число

max-src-states число

max-src-conn число

max-src-conn-rate число / секунды

block quick from bad_hosts

pass in on $ext_if proto tcp to $webserver port www flags S/SA keep state \

(max-src-conn-rate 100/10, overload bad_hosts flush global)

"OpenBSD 2.6"

"OpenBSD 3.3 no-df"

# pfctl -so

pass out proto tcp from any os OpenBSD keep state

block out proto tcp from any os Doors

block out proto tcp from any os "Doors PT"

block out proto tcp from any os "Doors PT SP3"

block out from any os "unknown"

pass on lo0 proto tcp from any os "OpenBSD 3.3 lo0" keep state

• злоумышленник может создать ложные пакеты, которые соответствуют той или иной операционной системе;

• исправление операционной системы может изменить поведение стека таким образом, что сопоставление отпечатков будет возможно только после обновления базы данных;

antispoof for lo0

block drop in on ! lo0 inet from 127.0.0.1/8 to any

block drop in on ! lo0 inet6 from ::1 to any

antispoof for wi0 inet

block drop in on ! wi0 inet from 10.0.0.0/24 to any

block drop in inet from 10.0.0.1 to any

pass in proto tcp from any to any port 80

nat-anchor имя

rdr-anchor имя

binat-anchor имя

anchor имя

load anchor имя from файл

ext_if = "kue0"

block on $ext_if all

anchor spam

pass out on $ext_if all keep state

pass in on $ext_if proto tcp from any \

to $ext_if port smtp keep state

# echo "block in quick from 1.2.3.4 to any" | \

pfctl -a spam -f -

anchor spam

load anchor spam from "/etc/pf-spam.conf"

block on $ext_if all

anchor spam proto tcp from any to any port smtp

pass out on $ext_if all keep state

pass in on $ext_if proto tcp from any to $ext_if port smtp keep state

# echo "block in quick from 1.2.3.4 to any" | \

pfctl -a spam -f -

anchor "spam/*"

# echo ' anchor "spam/allowed" ' | pfctl -f -

# echo -e ' anchor "../banned" \n pass' | \

pfctl -a spam/allowed -f -

# Использование макроса в качестве имени интерфейса обеспечивает простоту его изменения

ext_if = "ne3"

# Сопоставление сервиса на порте 8080 с портом 80

rdr on $ext_if proto tcp from any to any port 80 -> 127.0.0.1 port 8080

rdr pass on $ext_if proto tcp from any to any port 80 -> 127.0.0.1 \

port 8080

nat on ! vlan12 from 192.168.168.0/24 to any -> 204.92.77.111

# NO NAT

no nat on $ext_if proto ah from 144.19.74.0/24 to any

nat on $ext_if from 144.19.74.0/24 to any -> 204.92.77.100

# NO RDR

no rdr on $int_if proto { tcp, udp } from any to $server port 80

no rdr on $int_if proto { tcp, udp } from $sysadmins to any port 80

rdr on $int_if proto { tcp, udp } from any to any port 80 -> 127.0.0.1 \

port 80

# NAT

# Трансляция адресов источников исходящих пакетов (любой протокол).

# В этом случае отображается любой адрес, за исключением внешнего адреса шлюза.

nat on $ext_if inet from ! ($ext_if) to any -> ($ext_if)

# NAT PROXYING

# Отображение порта источника исходящих пакетов и назначенного прокси-порта вместо

# произвольного порта.

# В этом случае исходящий isakmp с портом 500 в шлюзе направляется через прокси.

nat on $ext_if inet proto udp from any port = isakmp to any -> ($ext_if) \

port 500

# BINAT

# Трансляция адреса источника исходящих пакетов (любой протокол).

# Трансляция адреса назначения входящих пакетов на узел во внутренней сети

# (двунаправленная).

binat on $ext_if from 10.1.2.150 to any -> $ext_if

# RDR

# Трансляция адресов назначения входящих пакетов.

# Пример. Перенаправление портов TCP и UDP на узел во внутренней сети.

rdr on $ext_if inet proto tcp from any to ($ext_if) port 8080 \

-> 10.1.2.151 port 22

rdr on $ext_if inet proto udp from any to ($ext_if) port 8080 \

-> 10.1.2.151 port 53

# RDR

# Трансляция исходящих управляющих соединений с ftp для их отправки на локальный хост

# в качестве прокси посредством ftp-proxy(8), работающего на порте 8021.

rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021

# NAT LOAD BALANCE

# Трансляция адресов источников исходящих пакетов с использованием адресного пула.

# Обязательная трансляция указанного адреса источника в адрес того же пула с

# использованием ключевого слова source-hash.

nat on $ext_if inet from any to any -> 192.0.2.16/28 source-hash

# RDR ROUND ROBIN

# Трансляция входящих соединений web-сервера с группой web-серверов во

# внутренней сети.

rdr on $ext_if proto tcp from any to any port 80 \

-> { 10.1.2.155, 10.1.2.160, 10.1.2.161 } round-robin

# Используется внешний интерфейс kue0

# (единственный маршрутизируемый адрес – 157.161.48.183),

# и частная сеть 10.0.0.0/8, для которой выполняется NAT.

# Использование макроса в качестве имени интерфейса обеспечивает простоту его изменения

ext_if = "kue0"

# Нормализация всего входящего трафика

scrub in on $ext_if all fragment reassemble

# Блокировка всего трафика по умолчанию с регистрацией в журнале

block return log on $ext_if all

# Блокировка всего трафика, поступающего из источника, для которого отсутствуют обратные маршруты

block in from no-route to any

# Блокировка и регистрация исходящих пакетов, у которых адрес источника не совпадает с нашим адресом,

# т.е. они либо имитируются, либо возникла ошибка конфигурации (например, отключена

# функция NAT), мы предпочитаем не рассылать свой мусор.

block out log quick on $ext_if from ! 157.161.48.183 to any

# Широковещательные пакеты (шум от кабельного модема) игнорируются без оповещения.

block in quick on $ext_if from any to 255.255.255.255

# Блокировка и регистрация входящих пакетов из резервного адресного пространства и недействительных

# адресов, т.е. они либо имитируются, либо возникла ошибка конфигурации. В любом случае,

# на них невозможно ответить (следовательно, отсутствует return-rst).

block in log quick on $ext_if from { 10.0.0.0/8, 172.16.0.0/12, \

192.168.0.0/16, 255.255.255.255/32 } to any

# ICMP

# Передача определенных входящих/исходящих ICMP-запросов и сохранение состояния (ping)

# Сопоставление состояний выполняется по адресам хоста и ICMP ID (не типу/коду),

# поэтому ответы (как 0/0 для 8/0) будут соответствовать запросам

# Сообщения об ошибках ICMP (которые всегда относятся к пакету TCP/UDP)

# обрабатываются состояниями TCP/UDP

pass on $ext_if inet proto icmp all icmp-type 8 code 0 keep state

# UDP

# Передача определенных исходящих UDP-соединений и сохранение состояний

pass out on $ext_if proto udp all keep state

# Передача определенных входящих UDP-соединений и сохранение состояний (DNS)

pass in on $ext_if proto udp from any to any port domain keep state

# TCP

# Передача всех исходящих TCP-подключений и модуляция состояния

pass out on $ext_if proto tcp all modulate state

# Передача определенных входящих TCP-соединений и сохранение состояния (SSH, SMTP, DNS, IDENT)

pass in on $ext_if proto tcp from any to any port { ssh, smtp, domain, \

auth } flags S/SA keep state

# Передача входящих соединений в режиме передачи данных для ftp-proxy, функционирующего на этом хосте.

# (для получения дополнительной информации см. ftp-proxy(8))

pass in on $ext_if proto tcp from any to 157.161.48.183 port >= 49152 \

flags S/SA keep state

# Запрет SMTP-соединений Windows 9x, поскольку они, как правило, являются

# вирусными червями. В качестве альтернативы для этих ОС можно установить ограничение в 1 соединение.

block in on $ext_if proto tcp from any os {"Windows 95", "Windows 98"} \

to any port smtp

# Присвоение тегов пакетам

# Три интерфейса: $int_if, $ext_if, and $wifi_if (беспроводной). NAT выполняется

# в $ext_if для всех исходящих пакетов. Теги пакетов создаются в

# $int_if, и пакеты с тегами выходят в $ext_if. Всем прочим

# исходящим пакетам (т.е. пакетам из беспроводной сети) разрешен

# доступ только через порт 80.

pass in on $int_if from any to any tag INTNET keep state

pass in on $wifi_if from any to any keep state

block out on $ext_if from any to any

pass out quick on $ext_if tagged INTNET keep state

pass out on $ext_if proto tcp from any to any port 80 keep state

line = ( option | pf-rule | nat-rule | binat-rule | rdr-rule |

antispoof-rule | altq-rule | queue-rule | anchor-rule |

trans-anchors | load-anchors | table-rule )

option = "set" ( [ "timeout" ( timeout | "{" timeout-list "}" ) ] |

[ "optimization" [ "default" | "normal" |

"high-latency" | "satellite" |

"aggressive" | "conservative" ] ]

[ "limit" ( limit-item | "{" limit-list "}" ) ] |

[ "loginterface" ( interface-name | "none" ) ] |

[ "block-policy" ( "drop" | "return" ) ] |

[ "state-policy" ( "if-bound" | "group-bound" |

"floating" ) ]

[ "require-order" ( "yes" | "no" ) ]

[ "fingerprints" filename ] |

[ "debug" ( "none" | "urgent" | "misc" | "loud" ) ] )

pf-rule = action [ ( "in" | "out" ) ]

[ "log" | "log-all" ] [ "quick" ]

[ "on" ifspec ] [ route ] [ af ] [ protospec ]

hosts [ filteropt-list ]

filteropt-list = filteropt-list filteropt | filteropt

filteropt = user | flags | icmp-type | icmp6-type | tos |

( "keep" | "modulate" | "synproxy" ) "state"

[ "(" state-opts ")" ] |

"fragment" | "no-df" | "min-ttl" number |

"max-mss" number | "random-id" | "reassemble tcp" |

fragmentation | "allow-opts" |

"label" string | "tag" string | [ ! ] "tagged" string

"queue" ( string | "(" string [ [ "," ] string ] ")" ) |

"probability" number"%"

nat-rule = [ "no" ] "nat" [ "pass" ] [ "on" ifspec ] [ af ]

[ protospec ] hosts [ "tag" string ] [ "tagged" string ]

[ "->" ( redirhost | "{" redirhost-list "}" )

[ portspec ] [ pooltype ] [ "static-port" ] ]

binat-rule = [ "no" ] "binat" [ "pass" ] [ "on" interface-name ]

[ af ] [ "proto" ( proto-name | proto-number ) ]

"from" address [ "/" mask-bits ] "to" ipspec

[ "tag" string ] [ "tagged" string ]

[ "->" address [ "/" mask-bits ] ]

rdr-rule = [ "no" ] "rdr" [ "pass" ] [ "on" ifspec ] [ af ]

[ protospec ] hosts [ "tag" string ] [ "tagged" string ]

[ "->" ( redirhost | "{" redirhost-list "}" )

[ portspec ] [ pooltype ] ]

antispoof-rule = "antispoof" [ "log" ] [ "quick" ]

"for" ( interface-name | "{" interface-list "}" )

[ af ] [ "label" string ]

table-rule = "table" "<" string ">" [ tableopts-list ]

tableopts-list = tableopts-list tableopts | tableopts

tableopts = "persist" | "const" | "file" string |

"{" [ tableaddr-list ] "}"

tableaddr-list = tableaddr-list [ "," ] tableaddr-spec | tableaddr-spec

tableaddr-spec = [ "!" ] tableaddr [ "/" mask-bits ]

tableaddr = hostname | ipv4-dotted-quad | ipv6-coloned-hex |

interface-name | "self"

altq-rule = "altq on" interface-name queueopts-list

"queue" subqueue

queue-rule = "queue" string [ "on" interface-name ] queueopts-list

subqueue

anchor-rule = "anchor" string [ ( "in" | "out" ) ] [ "on" ifspec ]

[ af ] [ "proto" ] [ protospec ] [ hosts ]

trans-anchors = ( "nat-anchor" | "rdr-anchor" | "binat-anchor" ) string

[ "on" ifspec ] [ af ] [ "proto" ] [ protospec ] [ hosts ]

load-anchor = "load anchor" string "from" filename

queueopts-list = queueopts-list queueopts | queueopts

queueopts = [ "bandwidth" bandwidth-spec ] |

[ "qlimit" number ] | [ "tbrsize" number ] |

[ "priority" number ] | [ schedulers ]

schedulers = ( cbq-def | priq-def | hfsc-def )

bandwidth-spec = "number" ( "b" | "Kb" | "Mb" | "Gb" | "%" )

action = "pass" | "block" [ return ] | [ "no" ] "scrub"

return = "drop" | "return" | "return-rst" [ "( ttl" number ")" ] |

"return-icmp" [ "(" icmpcode [ [ "," ] icmp6code ] ")" ] |

"return-icmp6" [ "(" icmp6code ")" ]

icmpcode = ( icmp-code-name | icmp-code-number )

icmp6code = ( icmp6-code-name | icmp6-code-number )

ifspec = ( [ "!" ] interface-name ) | "{" interface-list "}"

interface-list = [ "!" ] interface-name [ [ "," ] interface-list ]

route = "fastroute" |

( "route-to" | "reply-to" | "dup-to" )

( routehost | "{" routehost-list "}" )

[ pooltype ]

af = "inet" | "inet6"

protospec = "proto" ( proto-name | proto-number |

"{" proto-list "}" )

proto-list = ( proto-name | proto-number ) [ [ "," ] proto-list ]

hosts = "all" |

"from" ( "any" | "no-route" | "self" | host |

"{" host-list "}" | "route" string ) [ port ] [ os ]

"to" ( "any" | "no-route" | "self" | host |

"{" host-list "}" | "route" string ) [ port ]

ipspec = "any" | host | "{" host-list "}"

host = [ "!" ] ( address [ "/" mask-bits ] | "<" string ">" )

redirhost = address [ "/" mask-bits ]

routehost = ( interface-name [ address [ "/" mask-bits ] ] )

address = ( interface-name | "(" interface-name ")" | hostname |

ipv4-dotted-quad | ipv6-coloned-hex )

host-list = host [ [ "," ] host-list ]

redirhost-list = redirhost [ [ "," ] redirhost-list ]

routehost-list = routehost [ [ "," ] routehost-list ]

port = "port" ( unary-op | binary-op | "{" op-list "}" )

portspec = "port" ( number | name ) [ ":" ( "*" | number | name ) ]

os = "os" ( os-name | "{" os-list "}" )

user = "user" ( unary-op | binary-op | "{" op-list "}" )

unary-op = [ "=" | "!=" | "<" | "<=" | ">" | ">=" ]

( name | number )

binary-op = number ( "<>" | "><" | ":" ) number

op-list = ( unary-op | binary-op ) [ [ "," ] op-list ]

os-name = operating-system-name

os-list = os-name [ [ "," ] os-list ]

flags = "flags" [ flag-set ] "/" flag-set

flag-set = [ "F" ] [ "S" ] [ "R" ] [ "P" ] [ "A" ] [ "U" ] [ "E" ]

[ "W" ]

icmp-type = "icmp-type" ( icmp-type-code | "{" icmp-list "}" )

icmp6-type = "icmp6-type" ( icmp-type-code | "{" icmp-list "}" )

icmp-type-code = ( icmp-type-name | icmp-type-number )

[ "code" ( icmp-code-name | icmp-code-number ) ]

icmp-list = icmp-type-code [ [ "," ] icmp-list ]

tos = "tos" ( "lowdelay" | "throughput" | "reliability" |

[ "0x" ] number )

state-opts = state-opt [ [ "," ] state-opts ]

state-opt = ( "max" number | timeout |

"source-track" [ ( "rule" | "global" ) ] |

"max-src-nodes" number | "max-src-states" number |

"max-src-conn" number |

"max-src-conn-rate" number "/" number |

"overload" "<" string ">" [ "flush" ] |

"if-bound" | "group-bound" | "floating" )

fragmentation = [ "fragment reassemble" | "fragment crop" |

"fragment drop-ovl" ]

timeout-list = timeout [ [ "," ] timeout-list ]

timeout = ( "tcp.first" | "tcp.opening" | "tcp.established" |

"tcp.closing" | "tcp.finwait" | "tcp.closed" |

"udp.first" | "udp.single" | "udp.multiple" |

"icmp.first" | "icmp.error" |

"other.first" | "other.single" | "other.multiple" |

"frag" | "interval" | "src.track" |

"adaptive.start" | "adaptive.end" ) number

limit-list = limit-item [ [ "," ] limit-list ]

limit-item = ( "states" | "frags" | "src-nodes" ) number

pooltype = ( "bitmask" | "random" |

"source-hash" [ ( hex-key | string-key ) ] |

"round-robin" ) [ sticky-address ]

subqueue = string | "{" queue-list "}"

queue-list = string [ [ "," ] string ]

cbq-def = "cbq" [ "(" cbq-opt [ [ "," ] cbq-opt ] ")" ]

priq-def = "priq" [ "(" priq-opt [ [ "," ] priq-opt ] ")" ]

hfsc-def = "hfsc" [ "(" hfsc-opt [ [ "," ] hfsc-opt ] ")" ]

cbq-opt = ( "default" | "borrow" | "red" | "ecn" | "rio" )

priq-opt = ( "default" | "red" | "ecn" | "rio" )

hfsc-opt = ( "default" | "red" | "ecn" | "rio" |

linkshare-sc | realtime-sc | upperlimit-sc )

linkshare-sc = "linkshare" sc-spec

realtime-sc = "realtime" sc-spec

upperlimit-sc = "upperlimit" sc-spec

sc-spec = ( bandwidth-spec |

"(" bandwidth-spec number bandwidth-spec ")" )

/etc/hosts

/etc/pf.os

/etc/protocols

/etc/services

/usr/share/examples/pf