Существует несколько очень полезных и общих действий для пакетной обработки, которые могут быть записаны как правила PF, но не без них становится длинным, сложным и подвержен ошибкам шаблонного набора правил. Таким образом, антиспуф был реализован для общего частного случая фильтрации и блокировки. Этот механизм защищает от деятельности подделки или поддельных IP адресов, в основном, путем блокирования пакетов, которые появляются на интерфейсах путешествующих в
направлениях, которые логически невозможны.
С antispoof вы можете указать, что вы хотите, чтобы отсеять поддельный трафик, поступающий внутрь от остального мира и любые поддельные пакеты, которые (тем не
менее вряд ли) должны были происходить из вашей собственной сети. Рисунок 9-1
иллюстрирует эту концепцию.
Чтобы установить вид защиты изображенный на диаграмме, укажите antispoof для обоих интерфейсов в сети, которое иллюстрирует следующие две строки:
antispoof for $ext_if antispoof for $int_if
Эти строки расширяют комплекс правил. Первая строка блокирует входящий трафик когда адрес источника появится как часть сети напрямую соединенный с антиспуфовым интерфейсом, а прибудет на другой интерфейс. Второе правило выполняет те же функции для внутреннего интерфейса, блокируя любой трафик с явного адреса локальной сети, которые прибывают на другие интерфейсы отличные от $int_if. Однако, имейте в виду, что антиспуф предназначен для обнаружения подложных адресов удаленно для сетей, которые не напрямую соединены с машиной, на которой запущен PF.
Рисунок 9-1. antispoof отбрасывает пакеты, пришедшие из неверной сети
Источник: Книга о PF, by Peter N.M. Hansteen, Перевод выполнил Михайлов Алексей aka iboxjo