PF OpenBSD态

Question

我们有一个OpenBSD服务器作为防火墙使用著名的pf。防火墙从一边连接到Internet，另一边连接到本地网络。由于pf达到其最大状态数( 20000)，我们正在经历连接中断，这种情况在不到一个小时内就会恢复正常。是否有确定打开这些州的主机。增加pf.conf中的状态数量有帮助吗？

非常感谢

Answer 1

在这里你可以做很多事情。

要查看哪些主机负责大量的状态表条目，可以执行pfctl -vs state。

要添加更多的状态表条目，您可以按建议执行(set limit states到更大的数字)，但是如果存在根本问题，您可能不想这样做。

您还可以考虑调整状态超时值(set timeout)，可能使用自适应超时，以便更快地消除旧的/陈旧的状态。

有关更多信息，请参见...pf.conf和...pfctl