Дополнительная статистика PF
Помимо установки политики блокировки для интерфейса может накапливаться дополнительная статистика (количество пакетов и байтов). Чтобы включить эту функцию для определенного интерфейса, добавьте в файл настройки строку, подобную следующей:
set loginterface deO
Одновременно может собираться статистика только для одного интерфейса. Если накопление статистики не требуется, имя интерфейса можно заменить ключевым словом попе.
Для более эффективного использования «оживленной» сети можно изменить значения тайм-аутов сеансов. Установка более низкого значения поможет повысить производительность межсетевого экрана в сетях с большим трафиком, но за счет сброса действительно простаивающих соединений.
Для установки тайм-аута (в секундах) поместите в /ete/pf.conf подобную строку: set timeout interval 20
При такой установке любое TCP-соединение, которое простаивает более 20 с, будет автоматически сброшено.
PF также может оптимизировать производительность аппаратного обеспечения на низком уровне, корректируя использование памяти в зависимости от количества одновременно хранимых состояний либо от количества фрагментов, которые могут размещаться в памяти для повторной сборки. Например, установив количество состояний равным 2000, а количество элементов, используемых восстановителем фрагментов, — 15 ООО, в файл pfconf необходимо поместить:
set limit states 20000 set limit frags 15000
Можно также указать эти настройки в одной строке: set limit { states 20000, frags 15000 }