normalize                  0            0.0/s

  memory                        0            0.0/s

  bad-timestamp                  0            0.0/s

Идем дальше:

set limit – позволяет установить жесткое ограничение на количество областей в памяти с фиксированным размером, используемых пакетным фильтром. Например:

set limit states 20000

устанавливает максимальное значение для количества элементов, используемых для «состояний».

set limit frags 20000

устанавливает максимальное значение для количества элементов, используемых для «fragment reassembly», генерируется при помощи scrub.

set limit scr-nodes 2000

число IP-адресов, для которых будут создаваться «состояния». Используется опять же для тонкой настройки фильтра, генерируется sticky-address и source-track опциями в правилах.

Наконец, все это можно обьединить в одну строчку:

set limit { states 20000, frags 20000, src-nodes 2000 }

set optimization – опция, которая позволяет оптимизировать работу вашего фильтра для сетей следующего типа:

n  normal – обычная сеть, подходит для большинства сетей.

n  high-latency – соединение с большими обьемами трафика (например, спутниковое).

n  satellite – синоним для high-latency.

n  aggressive – аргессивный режим, позволяет очень сильно уменьшить использование памяти, однако ценой сбрасывания соединений, находящихся в состоянии idle, работает быстрее, чем обычная.

n  conservative – обратное от aggressive. Соотвественно грузим больше – живем дольше.

Я предпочитаю использовать на всех довольно загруженных серверах (порядка 150 Гб трафика в день на каждом) режим aggressive, в то время как в обычных сетях, конечно же, я использую normal.

Вы спросите, а зачем это надо? Зачем нужны те лимиты и тайм-ауты, которые я описывал выше? Ответ очевиден, PF может быть настроен так тонко, как не каждый пакетный фильтр, существующий ныне. Порой стандартных уровней оптимизации либо «слишком мало», либо «очень много», вот и приходится играть с тайм-аутами и лимитами, чтобы достичь идеальной производительности и максимальной отдачи.

set block-policy – определить, каким же будет ответ фильтра для действия block в правилах.

n  drop – пакет просто отбрасывается.

n  return – фильтр ответит пакетом с флагом RST для TCP или же пакетом ICMP UNREACHEBLE для UDP, и все остальные пакеты будут просто отброшены.

set require-order – определить порядок обслуживания. По умолчанию фильтр пропускает пакет по следующей цепочке: «Options –> Normalization –> Queueing –> Translation –> Filtering». То есть сначала применяются настройки для фильтра, потом нормализация трафика, затем распределение по очередям, дальше трансляция адреса и, наконец, сама фильтрация.