Czy zapora sieciowa to naprawdę pfctl, czy inna instancja pfctl?

Kręciłem się pfctljakiś czas temu, nie zaszedłem bardzo daleko i zapomniałem o tym.

Wczoraj nie mogłem połączyć sshsię ze zdalną maszyną. Wyłączyłem zaporę w preferencjach systemowych, ale nadal miałem problem. Kiedy nie mogłem ping nic zastanawiałem ... Więc wyłączone pfctlz sudo pfctl -dI oto pingi sshpracowali ponownie.

Jeśli pfctlnadal działał mój zestaw reguł, niezależnie od tego, czy zapora sieciowa w sys prefs była włączona, czy nie:

• Zapora ogniowa sys to osobna aplikacja zapory ogniowej, która nie pfctlma prostego interfejsu GUI (jak się spodziewałem).
• zapora w sys prefs jest osobną instancją pfctl, obie mogą działać niezależnie od drugiej.

lub to coś innego (lubię dać sobie swobodę). Sprawdziłem uruchomione procesy i mogę tylko znaleźć Firewall, brak pf/ pfctletc, jestem zdziwiony.

Która opcja jest prawdą?

Nie ma drugiego pfctluruchomienia. Prawie wszystko, co masz do zrobienia, pfctlwymaga rootuprawnień.

Na przykład samo uzyskanie listy reguł bez użycia sudodaje „odmowę dostępu”

$ pfctl -sr
pfctl: /dev/pf: Permission denied

Dodanie sudopozwala wyświetlić bieżący zestaw reguł:

$ sudo pfctl -sr
No ALTQ support in kernel
ALTQ related functions disabled
scrub-anchor "com.apple/*" all fragment reassemble
anchor "com.apple/*" all

Problem, który może występować, może być związany z tym postem: Zapora aplikacji nie włącza pfctl