Аналог mangle в OpenBSD

pf это не iptables во-первых.

Я не специалист ни по pf, ни по mangle (ни разу не пользовался ни тем ни тем), но судя по найденному - pf умеет делать разные трансляции айпи-адресов и портов, и не умеет менять другие части заголовков пакетов.

pf это не iptables во-первых.

ичо?

Я не специалист ни по pf, ни по mangle (ни разу не пользовался ни тем ни тем), но судя по найденному - pf умеет делать разные трансляции айпи-адресов и портов, и не умеет менять другие части заголовков пакетов.

Я хочу менять не только заголовок. Через iptables можно пакеты вообще насиловать как угодно. Я хочу такое же в OpenBSD провернуть и при этом не просрать всю производительность на переброс пакетов в юзерспейс и обратно.

Сначала скажи, что ты пытаешься конкретно добиться.

У меня есть плагин для netfilter: ядерный модуль и соответствующая либа для xtables. Эта штука делает небольшую обфускацию трафика, который попадает в её таргет (iptables -t mangle -I OUTPUT/POSTROUTING <порты, адреса> -j MYTHING). Я хочу портировать это всё в OpenBSD с минимальной кровью.

Вообще, почитав доки, у меня сложилось впечатление, что расширяемость в дизайне pf не заложена в принципе, и тут придётся патчить ведро. Я не ошибся?

В лоб скорее всего не выйдет. Ядерные модули выкинули на мороз много лет назад. Может быть как-нибудь через tun/tap.

Может быть как-нибудь через tun/tap.

Я хочу такое же в OpenBSD провернуть и при этом не просрать всю производительность на переброс пакетов в юзерспейс и обратно.

нет. Просто нет.