[Pfsync](https://man.openbsd.org/pfsync.4) est un protocole permettant le transfert et la synchronisation de la table d'états utilisée par PacketFilter entre plusieurs firewalls. Son fonctionnement par défaut met en place une diffusion multicast des changements de table sur une interface donnée, permettant aux noeuds du même cluster de mettre à jour leur table en conséquence. Généralement utilisé de concert avec [CARP](/HowtoOpenBSD/CARP) cela permet un fail-over transparent entre plusieurs firewalls.
> **Attention, Pfsync ne dispose d'aucun mécanisme d'authentification, ce qui expose les noeuds de votre cluster au spoofing de packets, et à la création d'états falsifiés permettant à un tier d'outre-passer totalement le jeu de règles pf. Ce protocole est à mettre en place uniquement dans un réseau de confiance.**
La configuration de pfsync consiste simplement à créer une pseudo-interface puis à lier celle-ci avec l'interface physique de notre choix. Dans un souci de sécurité il est important de ne pas utiliser une interface existante afin d'isoler les trafics.
Dans un premier temps, il est possible de choisir entre une synchronisation par diffusion multicast ou une synchronisation peer-to-peer (p2p). Par défaut pfsync diffuse tous les paquets de synchronisation vers l'addresse multicast ```224.0.0.240```.
