zapret на opnsense

[Artem-VV]

Пишу это для всех любителей боли как и я сам.
В последних обновлениях в opnsense (c 25.7 кажется) завезли интересную фичу, которая знатно потрепала мне нервы: при изменении каких-либо правил через веб дохнет сервис ipfw, который используется для роутинга трафика в запрет.

И firewall_enable="YES" в rc.conf от этого не спасет.
После остановки сервиса его необходимо запустить вручную через консоль (ну либо написать плагин для вывода кнопок в веб).
После запуска ipfw в таблице будет сидеть правило pfsync, так что смело делаем ipfw -q -f flush и пишем свои правила.

Но чтобы не делать это руками каждый раз рекомендую дополнить скрипт запуска запрета следующим:

service ipfw onestart
ipfw -q -f flush

ipfw add 100 divert 989 tcp from any to any ПОРТЫ out not diverted xmit vtnet0

подразумеваю, что ipfw уже подгружен в ядро.
Надеюсь кому-нибудь это поможет.

P. S. Может в будущем подолблюсь и попробую перейти на pf

[bol-van]

freebsd уделяется мало внимания, эта ОС проиграла гонку линуху.
поэтому косяков там достаточно. основная проблема - поломанность divert на pf. механизм предотвращения зацикливания не работает. с этим вроде что-то пытались делать в 14.2, но по крайней мере на исходящих с самой системы ничего не поменялось.