# 指定されたインタフェースにIPv4限定のアドレスを割り当てる。
$ext_if = inet4(wm0)
$int_if = inet4(wm1)
# IPセットを格納する効率的なテーブル
table <1> type hash file "/etc/npf_blacklist"
table <2> type tree dynamic
# サービス名を格納した変数
$services_tcp = { http, https, smtp, domain, 9022 }
$services_udp = { domain, ntp }
$localnet = { 10.1.1.0/24 }
# 様々なNAT形式をサポートする。
map $ext_if dynamic 10.1.1.0/24 -> $ext_if
map $ext_if dynamic 10.1.1.2 port 22 <- $ext_if port 9022
# NPFは様々な拡張を搭載しており、それらはカスタムプロシージャを通じてサポートされる。
procedure "log" {
log: npflog0
}
#
# NPFにおいてグルーピングは必須である。
# デフォルトグループは必ず存在しなければならない。.
#
group "external" on $ext_if {
# 出て行くトラフィックは全てステートフルに通過させる。
pass stateful out final all
block in final from <1>
pass stateful in final family inet proto tcp to $ext_if port ssh apply "log"
pass stateful in final proto tcp to $ext_if port $services_tcp
pass stateful in final proto udp to $ext_if port $services_udp
# パッシブFTPとtraceroute
pass stateful in final proto tcp to $ext_if port 49151-65535
pass stateful in final proto udp to $ext_if port 33434-33600
}
group "internal" on $int_if {
# {{IETF RFC|2827}}を用いて入ってくるものをフィルタリング。
block in all
pass in final from $localnet
pass in final from <2>
pass out final all
}
group default {
pass final on lo0 all
block all
}
