阿部です。

On Mon, Sep 17, 2007 at 07:13:12AM +1000, masaya nakamura wrote
> >
> >   # kldload pf
> >
> > とすると即座にフィルタリングができます。
> 
> これの意味ですが、カーネルの再構築は必要ないけれども
> OSの再起動の度に上記の操作が必要になる。毎回の操作
> を不要にしたければカーネルの再構築が必要。あるいは
> /boot/loader.confにipf_load="YES"又はpf_load="YES"
> 記述すればOKという理解で正しいですか?

はい。
/boot/loader.conf に記述しておけば良いです。

 
> > pf の場合は、デフォルトは許可のようですが、
> >
> >   # pfctl -e
> >
> > としないと pf の機能自体が有効にならないです。
> 
> この操作も再起動ごとに必要になりますか?
> /usr/local/etc/rc.dとか/etc/rc.confあたりに書いておけば
> OKでしょうか?

はい。
/etc/rc.conf などに pf_enable="YES" とあれば、
/etc/rc.d/pf が pfctl -e を実行してくれます。

ところで、もし jail(8) などを利用してサービスを提供するような場合は、
ipfw は jail prisonID 毎にフィルタルールを記述可能なようです。
この場合は、ipfw の方が便利かもしれませんね。

ではでは。
-- 
阿部康一/Kouichi ABE (WALL)
[メールアドレス保護]
http://www.MysticWALL.COM/
4196 185C B814 8F96 D170  B492 71A8 1B2B B9D5 5CF5

メールによる返信