Jeg føler at gatewayen vår ikke er helt komplett uten noen tillegg i konfigurasjonen som skal gjøre at den oppfører seg bedre overfor maskiner både på utsiden og innsiden.
block-policy er en verdi som settes i options-delen av regelsettet, altså før omdirigerings- og filtreringsregler. Dette bestemmer hvilken reaksjon PF skal sende tilbake til maskiner som prøver å opprette forbindelser som blir blokkert. Innstillingen har to mulige verdier, drop som gjør at blokkerte pakker blir droppet uten tilbakemelding, og return som gir returkoder av type Connection refused eller liknende.
Det har vært diskutert mye om hva som er den beste strategien. Vi velger her å være etterrettelige og angir at brannmuren skal gi retur:
set block-policy return