1. Фаервол
1.1. pfctl
1.1.1. проверка nf
1.1.2. загрузить правила ef
1.1.3. правила
1.1.3.1. трансляции sr
1.1.3.2. фильтрации sn
1.1.4. просмотре/статистика
1.1.4.1. лимит sm
1.1.4.2. всего sa
1.1.4.3. -ss показать states
1.1.4.4. si
1.1.4.5. правил -v -s rules
1.1.4.6. просмотр конфига vvsr
1.1.4.7. -s info
1.1.4.8. sr ruleset
1.1.4.9. -sr -vv | grep "^@" | less список правил с номерами
1.1.4.10. порядок обхода -gsr
1.1.4.11. статистика по таблицам pfctl -vvsTables
1.1.4.12. -sT список таблиц
1.1.5. уровень x
1.1.6. тайминги st
1.1.7. -F сброс
1.1.7.1. all flush ALL
1.1.7.2. rules flush only the RULES
1.1.7.3. -F queue flush only queue’s
1.1.7.4. -F nat flush only NAT
1.1.7.5. info
1.1.7.6. -z clear all counters
1.1.7.7. -Fs To flush existing state entries, explicitely use
1.1.8. разное
1.1.8.1. nvf
1.1.8.2. xm
1.1.8.3. sr
1.1.8.4. pfctl -R -f /etc/pf.conf load only the FILTER rules
1.1.8.5. -N -f /etc/pf.conf load only the NAT rules
1.1.8.6. -O -f /etc/pf.conf load only the OPTION rules
1.1.8.7. -vt bacula -Ts просмотр статистики по таблице
1.1.9. таблицы
1.1.9.1. -t my_net -Tz сбросить счётчики
1.1.9.2. -t TABLENAME
1.1.9.2.1. kill
1.1.9.2.2. replace
1.1.9.2.3. show
1.1.9.2.4. delete
1.1.9.2.5. flush
1.1.10. output
1.1.10.1. -s rules show filter information
1.1.10.2. -v -s
1.1.10.3. -vvsr
1.1.10.4. -v -s nat
1.1.10.5. -s nat -i xl1
1.1.10.6. -s queue
1.1.10.7. -s label
1.1.10.7.1. label, evaluations, packets total, bytes total, packets in, bytes in, packets out, bytes out
1.1.10.8. -s state
1.1.10.9. -s info
1.1.10.10. s all
1.2. anchro
1.2.1. echo "pass in proto tcp from 91.210.6.86 to any" | pfctl -a temp -f - временное правило
1.2.2. (echo "pass quick on lo0"; pfctl -sr) | pfctl -f - добавить правило в конец стека
1.2.3. (pfctl -sn;pfctl -sr; echo "block all") | pfctl -f -
1.2.4. выгрузить все анкоры и правила pfctl -a '*' -sr
2. tcpdump
2.1. tcpdump 'tcp[13] & 2!=0' -s 256 -nettti pflog0 host 81.222.241.194 and port 443
2.2. tcpdump -s 256 -nettti pflog0 host 81.222.241.194 and port 80 or port 443
2.3. tcpdump -s 256 -nettti pflog0 host 81.222.241.194 and port 80 or port 443
2.4. tcpdump -s 256 -nettti pflog0 host 81.222.241.194 and dst port 443
2.5. 'tcp[13] == 2' флаги SYN
2.6. tcpdump -s 256 -nettti pflog0 host 81.222.241.194 and 'tcp[13] == 2' and '(dst port 80)'
2.7. -nti pflog0 action block заблокированные на фаере
2.8. -ni plog0 rnr 55 просмотр логов определённого правила
2.9. фильтры
2.9.1. ip
2.9.2. ip6
2.9.3. portrange
2.9.4. action
2.9.4.1. block
2.9.4.2. pass
2.9.5. ruleset
2.9.5.1. ruleset/ruleset
2.9.6. rulenum
2.9.6.1. 123
2.9.7. ifname
2.9.7.1. interface
2.9.8. inbound
2.9.9. reason
2.9.9.1. match, bad-offset, fragment, short, normalize, memory, bad-timestamp, congestion, ip-option, proto-cksum, state-mismatch, state-insert, state-limit, src-limit, and synproxy
2.10. параметры
2.10.1. -s0 пакеты любого размера
2.10.2. -A выводить ASCII
2.10.3. -v дополнительный вывод
2.10.4. -nn не резолвить имена хостов и портов
2.10.5. -r читать из файла
2.10.6. -vv показывать кол-во пакетов захваченных
3. network
3.1. netstat
3.1.1. rn
3.1.2. f inet
3.1.3. -ibt - список интерфейсов, разбитых по ip-адресам (!)
3.1.4. trafshow -i rl0
3.2. pstat -f
3.3. systat
3.3.1. информация о загрузке интерфейсов systat -ifstat n
3.3.2. -ifstat n - объем трафика за n секунд на всех сетевых интерфейсах
3.3.3. -netstat n - аналог netstat в реальном времени
3.3.4. -ip n - таблица IP-пакетов и ошибок по типам за n секунд
3.3.5. tcp n
3.3.6. -icmp n - таблица ICMP-пакетов и ошибок по типам за n секунд
3.4. ifstat
3.5. iftop
3.5.1. display bandwidth usage on an interface by host
3.6. nettop
3.6.1. показывает сетевую активность по категориям
3.7. nstrems
3.7.1. показывает текущие потоки на интерфейсе
3.8. tcptrack
3.8.1. показывает текущие соединени
3.9. sockstat
3.9.1. -c подключённые
3.9.2. -4 tcp4
3.9.3. -l прослушивающие