64位的freeBSD 9.0下，安装配置PF防火墙，有什么要注意的吗？

Reinstall

新安装了FreeBSD AMD64版，按以往经验，修改编译内核，增加对PF的支持，然后写pf.conf文档，但一开启防火墙，系统就间歇性死机，控制台也无任何反应，但有时过一段时间会自行恢复，但会持续再无反应，不知道是什么回事？

pfctl -d，关掉防火墙，系统恢复正常。

在双核64位的CPU，freeBSD 9.0 release下，安装配置PF防火墙，有什么要注意的吗？

dmesg
代码:
CPU: Pentium(R) Dual-Core  CPU      E5500  @ 2.80GHz (2793.06-MHz K8-class CPU)
mskc0: <Marvell> port 0xe800-0xe8ff mem 0xfebfc000-0xfebfffff irq 17 at device 0.0 on pci2
msk0: <Marvell> on mskc0

内核：
代码:

cpu             HAMMER

device pf
device pflog
device pfsync


options         ALTQ
options         ALTQ_CBQ        
options         ALTQ_RED        
options         ALTQ_RIO        
options         ALTQ_HFSC      
options         ALTQ_PRIQ      
options         ALTQ_NOPCC   


pf.conf:
代码:
block in all

pass in on lo0 all
pass out on lo0 all

# pass incoming packets destined to the addresses given in table <foo>.
pass in on $ext_if proto tcp from any to ($ext_if) port 80 keep state

pass in quick on $ext_if proto tcp from any to ($ext_if) port 22 keep state
pass in quick on $ext_if from <trustip> to ($ext_if) keep state
pass out all keep state

fender0107401

应该不会这样，你可能遇到什么潜在的bug了，pf是常用的防火墙，你尽量找出出错信息，多数情况是你配置的问题，当然也有可能是确实有问题。

如果是确实有问题，你刻意和官方回报。

Reinstall

回复 2# fender0107401


    问题就在于控制台停止响应，网络中断的瞬间，没有发现日志中有什么信息，是不是和网卡或双核ＣＰＵ有什么不兼容的地方，或是我的配置文件或编译内核有问题？

fender0107401

回复 3# Reinstall

这个和网卡以及CPU之间没有什么关系，我怀疑是不是你自己的pf规则有什么问题。

我一直用ipfw，没用过pf，所以我没法看你的具体规则，

以前用Linux的iptables的时候曾经发生过由于规则设置不当导致系统无法关机的问题。

cfanbo

还得编译内核,不爽的,感觉没有linxu里的iptable用着方便的

ioiioi

回复 5# cfanbo


    其实pf跑起来后比iptables好用多了，光是看iptables的命令就头晕，完全没有pf.conf那么清晰。另外，想用pf，最好的os是openbsd，不仅仅因为pf是openbsd原生的，还因为openbsd还自带了一些工具，使得调试、排错更为便捷，感觉openbsd+pf就是一套完整的防火墙系统。

lsstarboy

网络中断应该是网卡或者驱动的问题，以前用3com 905的网卡时，经常网络中断，换用82559就没遇到过这种问题。

Reinstall

lsstarboy 发表于 2012-02-19 23:07
网络中断应该是网卡或者驱动的问题，以前用3com 905的网卡时，经常网络中断，换用82559就没遇到过这种问题。 ...

谢谢您。 是网卡的原因。 换了块rl0的网卡，就正常了。再没出现过