Назад | Перейти на главную страницу

PF: Заблокировать все, кроме одного правила брандмауэра подсети?

Я пытаюсь сделать что-то, что, как мне казалось, будет относительно простым: заблокировать весь трафик на тестовый сервер, кроме подсети моей компании.

Я пробовал что-то в этом роде (111.111.0.0 - мой заполнитель для этого примера), но, похоже, работает только блок:

block in all
pass in from 111.111.0.0
pass in on en0 from 111.111.0.0
pass in all from 111.111.0.0

Кажется, что ни одна из этих строк не работает (я знаю, что некоторые из них могут вызывать синтаксическую ошибку, поскольку я просто хватаю все строки, которые я закомментировал во время тестирования).

Это менее просто, чем я предполагал? Я упускаю что-то очевидное?

это потому, что он указывает один ip, вам нужно написать его с подсетью:

pass in from 111.111.0.0/16

man pf.conf следует перечислить несколько методов определения диапазонов и блоков. Примечание: убедитесь, что нет drop quick вид правил выше ваш pass, и никаких правил ниже которые могут случайно сопоставить и заблокировать ваши пакеты.