macOS Sierra：每当网络发生变化时重新加载防火墙[关闭]

Question

每当网络发生变化时，我一直在尝试重新加载 pf 规则。 这是我的 plist 文件。 /Library/LaunchAgents/com.wwk.networkchange.plist

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>Label</key>
    <string>com.wwk.networkchange</string>
    <key>ProgramArguments</key>
    <array>
        <string>sudo /sbin/pfctl -f /Users/wwk/pf.conf</string>
    </array>
    <key>RunAtLoad</key>
    <true/>
    <key>WatchPaths</key>
    <array>
        <string>/private/var/run/resolv.conf</string>
    </array>
</dict>
</plist>

我可以看到 /private/var/run/resolv.conf 在更改网络接口但根本没有重新加载 pf 规则时发生了更改。 仅供参考，/Users/wwk/pf.conf 在那里，我已经通过 /etc/sudoers 文件启用了 /sbin/pfctl 无需密码提示。 提前致谢！

Answer 1

我发现至少有两个问题。

首先，您的ProgramArguments 需要是一个字符串数组，而不是带有空格的单个字符串。

其次，您真的不应该为此使用sudo——只需将其设为 LaunchDaemon（以 root 身份运行）而不是 LaunchAgent（以登录用户身份运行）。因此，您的 ProgramArguments 应如下所示：

<key>ProgramArguments</key>
<array>
    <string>/sbin/pfctl</string>
    <string>-f</string>
    <string>/Users/wwk/pf.conf</string>
</array>

Answer 2

实际上是因为我的新守护程序与 Apple 的默认 pfctl 守护程序冲突。 所以我不得不更新默认的 pfctl 守护进程 plist 来观察网络变化时改变的路径。 将以下内容添加到/System/Library/LaunchDaemons/com.apple.pfctl.plist

<WatchPaths>
<array>
    <string>/private/var/run/resolv.conf</string>
    <string>/etc/pf.conf</string>
    <string>/Library/Preferences/SystemConfiguration/NetworkInterfaces.plist</string>
    <string>/Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist</string>
</array>

顺便说一句，我们必须在 macOS 恢复模式下通过$ csrutil disable 启用对系统文件的更改才能对上述 plist 文件进行更改。 （在系统文件进行必要的更改后应该$ csrutil enable）