Комбинировать флаги можно по-разному, однако опыт показывает, что оптимальным является сочетание flags S/SA. Это значит, что перед тем как отправлять пакеты с флагами SYN+ACK (соединение установлено), хост обязан отправить пакет с флагом SYN. Данный набор идеален для обычных TCP/IP-сетей, где не проводят никаких сетевых экспериментов, а просто потихонечку выкачивают весь Интернет к себе на жесткие диски.

Утилита управления пакетным фильтром pfctl

Pfctl – довольно мощное средство, предоставляемое вам для управления фильтром. И, кстати, единственное.

Используется для выполнения следующих операций:

n  -e – включить фильтр.

n  -d – выключить фильтр (статистика по pfctl –s i обнуляется).

n  -F modifier – обнулить значения для:

n  nat – таблицы трансляций;

n  queue – очередей;

n  rules – правил фильтрации;

n  state – «состояний»;

n  Sources – таблицы отслеживания адресов отправителей;

n  info – статистики;

n  Tables – таблиц;

n  osfp – отпечатков операционных систем;

n  all – очистить все вышеперечисленное.

n  -f file – путь к конфигурационному файлу.

n  -i interface – правила будут применены только к указанному интерфейсу.

n  -o – включить «оптимизатор» для правил. Новая возможность фильтра позволяет:

n  удалить повторяющиеся правила;

n  удалить правила, которые являются частью другого правила;

n  скомбинировать разные правила в таблицу с общими частями;

n  переопределить порядок правил для улучшения фильтрации.

n  -s modifier – то же самое, что и -F, только не обнуляет, а показывает информацию, modifiers – все то же.

n  -T command – используется для управления таблицами:

n  kill – удалить таблицу;

n  flush – очистить таблицу;

n  add – добавить один или несколько хостов в таблицу;

n  replace – заменить адрес;

n  show – показать хосты в таблице;

n  test – проверить, попадает ли данный адрес в таблицу;

n  zero – обнулить статистику таблицы;