中村です。

お返事ありがとうございます。

07/09/16 に Kouichi ABE 
(WALL)<[&#x30E1;&#x30FC;&#x30EB;&#x30A2;&#x30C9;&#x30EC;&#x30B9;&#x4FDD;&#x8B77;]>
 さんは書きました:
> 最初に、カーネルの再構築については不要です。
>
> root で、
>
>   # kldlod ipfw
>
> か
>
>   # kldload pf
>
> とすると即座にフィルタリングができます。

これの意味ですが、カーネルの再構築は必要ないけれども
OSの再起動の度に上記の操作が必要になる。毎回の操作
を不要にしたければカーネルの再構築が必要。あるいは
/boot/loader.confにipf_load="YES"又はpf_load="YES"
記述すればOKという理解で正しいですか?

> pf の場合は、デフォルトは許可のようですが、
>
>   # pfctl -e
>
> としないと pf の機能自体が有効にならないです。

この操作も再起動ごとに必要になりますか?
/usr/local/etc/rc.dとか/etc/rc.confあたりに書いておけば
OKでしょうか?

> ipfw と pf の大きな違いは、ipfw は MAC アドレスのフィルタリングもできる、
> ということですかね。あとは、ルールを記述する文法の好みではないでしょうか。
>
> pf の方がプログラムから system(3) を経由して呼び出して利用するには、便利です。
> ipfw の場合は、C 言語から直接利用する場合に、pf よりは使いやすいです。
>
> スクリプトから呼び出して迷惑メールや ssh へのアクセスを
> 動的にルール追加する場合は、pf の方が使いやすいです。

簡潔な説明助かります。
おおむね理解できたと思います。
私の用途の場合はどちらでも違いはなさそうです。

-- 
中村正也

メールによる返信