Eu tenho o PF funcionando, mas quando eu inicio / reinicia o sistema, o programa 'mestre' postfix me pergunta se eu quero conceder permissão para ele aceitar conexões da internet. Agora, a permissão é definida no SystemFirewall, que você configura por meio de preferências. No entanto, eu também tenho meu próprio conjunto de regras em /etc/pf.anchors/local.rules que o pf carrega na inicialização.
#
# com.apple anchor point
#
int_if = "en0"
lan_net = "192.168.0.0/24"
set skip on lo0
tcp_services = "{ ssh, smtp, domain, www, pop3, auth, pop3s }"
udp_services = "{ domain }"
scrub-anchor "com.apple/*"
nat-anchor "com.apple/*"
rdr-anchor "com.apple/*"
dummynet-anchor "com.apple/*"
anchor "com.apple/*"
load anchor "com.apple" from "/etc/pf.anchors/com.apple"
#
Então eu inicio o pfctl no plist com pfctl -ef /etc/pf.anchors/local.rules
Tudo está funcionando bem com isso - exceto pelo mestre postfix. O que me diz que o pfctl não está lendo a âncora 250.ApplicationFirewall / * - que devem ser as ... regras do ApplicationFirewall.
Isso
sudo pfctl -a com.apple -sr
retorna
No ALTQ support in kernel
ALTQ related functions disabled
anchor "200.AirDrop/*" all
anchor "250.ApplicationFirewall/*" all
Será que eu não devo executar o Application Firewall ao mesmo tempo que o controlador pf? Ou, como eu digo às regras pf para realmente ler as regras do ApplicationFirewall?
Tags firewall pf macos macos-sierra