PF: Блокировать все, кроме одного правила межсетевого экрана подсети?

Question

PF: Блокировать все, кроме одного правила межсетевого экрана подсети?

Я пытаюсь сделать что-то, что, на мой взгляд, будет относительно простым: заблокировать весь трафик на тестовом сервере, кроме подсети моей компании.

Я пробовал что-то вроде этого (111.111.0.0 - мой заполнитель для этого примера), но, кажется, работает только блок:

block in all
pass in from 111.111.0.0
pass in on en0 from 111.111.0.0
pass in all from 111.111.0.0

Кажется, что ни один из этих проходных строк не работает (я знаю, что некоторые из них могут вызвать синтаксическую ошибку, так как я просто беру все строки, которые я закомментировал во время тестирования).

Это менее просто, чем я предполагал? Я что-то упускаю из виду?

2

freebsd filter pf block packet

Источник

ballofpopculture 09 май '14 в 13:56

2 ответа

Решение

Если вы хотите проверить диапазон IP-адресов от имени подсети, воспользуйтесь следующей ссылкой калькулятора IP.

https://www.calculator.net/ip-subnet-calculator.html?cclass=any&amp;csubnet=24&amp;cip=111.90.100.200&amp;ctype=ipv4&amp;printit=0&amp;x=90&amp;y=14

Например, если ваш IP-адрес 111.90.100.200 и вам нужен диапазон от 111.90.100.1 до 111.90.100.254, вам нужно написать свой IP следующим образом: 111.90.100.0/24 или 111.90.100.200/24 .

Для получения дополнительных диапазонов воспользуйтесь ссылкой на калькулятор IP.

0

Источник

Syed Faizan Ahmed 20 фев '23 в 11:08

Другие вопросы по тегам freebsd filter pf block packet

pete 09 май '14 в 14:02 2014-05-09 14:02 · Accepted Answer · 2014-05-09 14:02

Потому что он указывает один ip, вам нужно написать его с подсетью:

pass in from 111.111.0.0/16

man pf.conf Следует перечислить несколько методов определения диапазонов и блоков. Примечание, будьте осторожны, чтобы убедиться, что нет drop quick вид правил выше вашего pass и никаких правил ниже, которые могут случайно совпадать и блокировать ваши пакеты.