Kanskje det er greit å sjekke at PF faktisk ble startet, og samtidig få med noe statistikk. pfctl kan gi mange typer informasjon hvis du bruker pfctl -s og legger til hvilken type informasjon du vil vise.
Her er et eksempel fra hjemmegatewayen min mens jeg holdt på med forberedelsene til en tidliere versjon av dette foredraget:
peter@skapet:~$ sudo pfctl -s info
Status: Enabled for 17 days 00:24:58 Debug: Urgent
Interface Stats for xl0 IPv4 IPv6
Bytes In 9257508558 0
Bytes Out 551145119 352
Packets In
Passed 7004355 0
Blocked 18975 0
Packets Out
Passed 5222502 3
Blocked 65 2
State Table Total Rate
current entries 15
searches 19620603 13.3/s
inserts 173104 0.1/s
removals 173089 0.1/s
Counters
match 196723 0.1/s
bad-offset 0 0.0/s
fragment 22 0.0/s
short 0 0.0/s
normalize 0 0.0/s
memory 0 0.0/s
bad-timestamp 0 0.0/s
congestion 0 0.0/s
ip-option 28 0.0/s
proto-cksum 325 0.0/s
state-mismatch 983 0.0/s
state-insert 0 0.0/s
state-limit 0 0.0/s
src-limit 26 0.0/s
synproxy 0 0.0/sHer ser vi i første linjen at PF er aktivert og har vært oppe i omtrent to uker, altså siden jeg oppgraderte maskinen til siste snapshot. pfctl -s all gir svært detaljert informasjon. Prøv det og se, og bruk gjerne litt tid på å studere de andre alternativene som pfctl tilbyr. man 8 pfctl gir full oversikt.
I alle fall har du nå en enslig maskin som skal kunne snakke relativt godt og sikkert med andre maskiner på Internet.
Et par ting mangler fortsatt. For eksempel ønsker du antakelig å slippe gjennom i alle fall noe ICMP- og UDP-trafikk, om ikke annet for din egen feilsøking sin del.
Og selv om moderne og sikrere alternativer for filoverføring er tilgjengelig, vil du sannsynligvis komme borti krav om å kunne bruke ftp.
Alle disse tingene kommer vi tilbake til litt senere.