pf的NAT能做到100Mb以上流量吗？

lowmer

限制每IP最大连接数（一般在15个以内即可）限制发包速率，man pf.conf，效果会好不少。

把所有的端口过滤编成宏（端口过滤越少越好）。防扫描项对于BSD防火墙作用不大，可以全部注释掉，提高处理速度。如果防火墙上有ssh，可以考虑用密钥登陆方式。后端有服务器的话，可以在服务器上安装防火墙。

一些set参数如果设置不当也会降低防火墙性能，如果没有经过长时间的实验和理论功底还是默认比较好，把参数设置的太小和太大都是不对的。

要想提高速度，其中之一就是将规则变得越少越好。通过一个命令好像可以看到最终的规则长度，好久不用忘了。我觉得最终规则最好限制在50条以内。

[ 本帖最后由 lowmer 于 2006-10-11 19:00 编辑 ]

lowmer

原帖由 wxw2004gl 于 2006-10-11 19:31 发表
只要提高nat性能就可以了，其他的过滤和防病毒可以不做！

你自己试试就知道了，当时冲击波病毒泛滥的时候，能让你的BSD防火墙存活半个小时就相当不错了！

lowmer

呵呵，路过！