Регрессия в способе расчета хэшей привела к тому, что правила, содержащие синтаксис диапазона адресов (x.x.x.x - y.y.y.y), которые отличаются только задействованными диапазонами адресов, были автоматически удалены как дубликаты. На самом деле в pf загружается только первое из таких правил. Диапазоны, выраженные с использованием синтаксиса адреса[/маски-биты], не были затронуты.
Некоторые ключевые слова, представляющие действия, выполняемые в соответствии с правилом сопоставления пакетов, например «log», «return tll» или «dnpipe», могут страдать от той же проблемы. Маловероятно, что у пользователей есть такие конфигурации, поскольку эти правила всегда будут избыточными. Затронутые правила игнорируются, что может привести к неожиданному поведению, включая чрезмерную или недостаточную блокировку.
Показать оригинальное описание (EN)
A regression in the way hashes were calculated caused rules containing the address range syntax (x.x.x.x - y.y.y.y) that only differ in the address range(s) involved to be silently dropped as duplicates. Only the first of such rules is actually loaded into pf. Ranges expressed using the address[/mask-bits] syntax were not affected. Some keywords representing actions taken on a packet-matching rule, such as 'log', 'return tll', or 'dnpipe', may suffer from the same issue. It is unlikely that users have such configurations, as these rules would always be redundant. Affected rules are silently ignored, which can lead to unexpected behaviour including over- and underblocking.