Изменения в синтаксисе пакетного фильтра Pf

[turbo]

В синтаксис конфигурационного файла пакетного фильтра PF, разрабатываемого в рамках проекта OpenBSD и используемого во многих других ОС, недавно были внесены значительные изменения, не все из которых имеют обратную совместимость с прошлым синтаксисом. Основные моменты:

    * Убрана конструкция "scrub". Теперь PF всегда производит дефрагментацию пакетов, а остальные опции можно указывать персонально для каждого правила. Раньше (в особых, весьма редких случаях, требующих хитрой чистки входящих пакетов) необходимо было создавать дублирующую иерархию scrub-правил.
    * Добавлена новая конструкция "match". По своему функционалу она аналогична конструкции "pass", однако, в отличие от неё, не меняет итоговое состояние пакета ("пропущен/заблокирован"). "match" позволят значительно упростить сложные, на несколько сотен правил, конфигурации PF.

Желающие могут опробовать новые возможности уже сейчас, скачав snapshot с ближайшего зеркала. Можно не торопиться, отладка будет проходить в течение почти полугода -- новый код войдет в OpenBSD 4.6, который выйдет, как обычно, 1-го ноября этого года.

Подробности можно прочитать в CVS-логах: log1 и log2.

http://www.opennet.ru/opennews/art.shtml?num=21296