pfSense book配置防火墙的规则是什么_好文资源

本篇文章为大家展示了pfSense book配置防火墙的规则是什么，内容简明扼要并且容易理解，绝对能使你眼前一亮，通过这篇文章的详细介绍希望你能有所收获。在防火墙>规则策略下配置防火墙规则时，有许多选项可用于控制流量的匹配和控制方式。本节列出了大部分选项，因为pfsense book是以pfsense2.31来进行示例的，与现在pfsense2.41可能有些许不同。该选项指定规则是否

通过

、

阻止

或

拒绝

流量。

通过:

符合此规则的数据包将被允许通过防火墙。如果为规则启用了状态跟踪，则会创建一个允许相关返回流量回传的状态表条目。

阻止:

符合此规则的数据包将被丢弃。

拒绝:

匹配这个规则的数据包将被丢弃，对于支持的协议，一条消息将被发送回始发者，表明连接被拒绝。要禁用规则而不将其从规则列表中删除，请选中此框。它仍将显示在防火墙规则页面中，但该规则将显示为灰色以提示其禁用状态。“接口”下拉菜单指定接收由此规则控制的流量的接口。请记住，在接口和组选项卡规则中，流量仅在启动流量的接口上被过滤。从局域网发起的流量指向Internet或防火墙上的任何其他接口由LAN规则集过滤。提示规则应用于IPv4，IPv6或同时应用IPv4 + IPv6流量。这些规则将只匹配正确协议的数据包并采取动作。可以使用包含这两种IP地址的别名，并且该规则将仅匹配来自正确协议的地址。规则将匹配的协议。这些选项大部分都是不言自明的。 TCP / UDP将同时匹配TCP和UDP流量。指定ICMP将显示一个额外的下拉框来选择ICMP类型。其他几个常见的协议也是可用的。注意这个字段默认为新的规则的TCP，因为它是一个通用的默认值，它将显示该协议的预期字段。要使规则适用于任何协议，请将此字段更改为

any

。创建新规则最常见的错误之一是意外创建TCP规则，然后无法传递其他非TCP流量，如ping，DNS等。选择ICMP作为协议时，该下拉列表包含所有可能的ICMP类型。通过ICMP时，最好的做法是只在可行的时候通过所需的类型。最常见的用例是只传递一种回应请求，允许ICMP ping通。提示从历史上看，ICMP的声誉很差，但通常是有益的。在允许ICMP时，允许任何ICMP类型通常是可以接受的。该字段指定将匹配此规则的源IP地址，子网或别名。源地址的下拉框允许几种不同的预定义类型的源地址：

Any

:匹配任何地址。

单个主机或别名

:匹配一个IP地址或别名。当它处于活动状态时，可以在“源地址”字段中键入一个别名。

网络

:使用IP地址和子网掩码来匹配一个地址范围。

PPPoE客户端

:如果启用了PPPoE服务器，则匹配来自PPPoE服务器的客户端地址范围的流量。

L2TP客户端

:如果启用了L2TP服务器，则将匹配来自L2TP服务器的客户端地址范围流量。

接口网络

:防火墙上的每个接口都有此列表中的条目。这种源类型准确指定了该接口的子网，包括与定义的接口子网不同的任何IP别名VIP子网。

接口地址

:防火墙上的每个接口都有此列表中的条目。这些源类型指定在该接口上配置的IP地址。警告源网络或目的网络的WAN Net选项仅表示WAN接口的子网。这并不意味着“互联网”或任何远程主机。对于匹配TCP和或UDP的规则，也可以通过点击

显示高级

设置指定源端口。源端口隐藏在“

显示高级

”按钮后面，因为通常源端口必须保持设置为任意端口，因为TCP和UDP连接源于临时端口范围内的随机端口（在1024到65535之间，所使用的确切范围取决于连接的操作系统和操作系统版本）。源端口几乎不会与目标端口相同，也不应该像这样配置，除非正在使用的应用程序已知使用这种非典型行为。将源端口定义为从1024到65535的范围也是安全的。选择

反转匹配

将取消匹配，以便除源值之外的所有通信都将触发规则。该字段指定将匹配此规则的目标IP地址，子网或别名。对于指定TCP和或UDP的规则，此处还指定了目标端口，端口范围或别名。与源不同，在许多情况下配置目的端口是必需的，因为它比使用任何端口更安全，并且通常基于协议预先知道目的端口。下拉列表中提供了许多常用端口值，或者选择（其他）手动输入值或使用端口别名。

提示要指定连续范围的端口，请在“

从

”部分输入较低的端口，在“

到

”部分输入较高的端口值。此框决定是否将符合此规则的数据包记录到防火墙日志中。在这里输入描述以供参考。这是可选的，不影响规则的功能。最好的做法是输入描述规则目的的文字。最大长度是52个字符。页面的这一部分已经隐藏了不太可能被需要或者具有对新用户混淆的功能的选项。单击显示

高级选项

。如果页面的这一部分中的选项已经设置，则将来在加载规则时会出现。pf和pfSense更独特的功能之一就是能够通过对连接的操作系统进行过滤。对于TCP规则，pf启用被动操作系统指纹（“p0f”），允许规则根据启动TCP连接的操作系统进行匹配。 pf的pf功能通过将启动TCP连接的TCP SYN数据包的特征与指纹文件进行比较来确定正在使用的操作系统。请注意，可以将操作系统的指纹更改为另一个操作系统，尤其是对于开放源代开发云主机域名码操作系统，如BSD和Linux。这并不容易，但是如果一个网络包含技术熟练的用户，并且具有对系统的管理员或根级访问权限，那么这是可能的。区分服务代码点是应用程序在数据包内部指示如何在路径沿着路径转发时更喜欢路由器来处理其流量的一种方式。这最常见的用途是服务质量或流量的目的。冗长的名称通常缩写为Diffserv Code Point或简写为DSCP，有时也称为TOS字段。生成数据包的程序或设备（例如Asterisk通过它的tos_sip和tos_audioconfiguration参数）将设置数据包中的DSCP字段，然后由防火墙和其他临时路由器来匹配，排队或作用于数据包。要在防火墙中匹配这些参数，请使用与始发设备设置的值匹配的“区分服务代码点”下拉条目。有很多选项，每个都有特定的通行类型的特殊含义。请查阅相关设备的文档以获取有关信息。DSCP的缺点是它假定路由器支持或在现场采取行动，这可能是也可能不是。不同的路由器可能会以无意或不匹配的方式处理相同的DSCP值。更糟糕的是，有些路由器在转发数据包时会完全清除数据包中的DSCP字段。此外，pf匹配流量的开发云主机域名方式，必须在创建状态的连接的第一个数据包上设置DSCP值，因为每个数据包在创建状态后都不会被单独检查。注意该选项只读取和匹配DSCP值。它不会在数据包中设置值。选中此框将允许具有定义的IP选项的数据包通过。默认情况下，pf会阻止所有设置了IP选项的数据包，以阻止操作系统指纹等。选中此框可传递包含IP选项的IGMP或其他多播通信。防火墙在默认情况下将应答关键字添加到WAN类型接口上的规则，以确保进入WAN的流量也将通过同一个WAN离开。在某些情况下，这种行为是不受欢迎的，例如某些流量通过WAN接口上的单独防火墙/路由器进行路由时。在这些情况下，请选中此选项以仅对符合此规则的流量禁用应答，而不是全局禁用应答。Tag和Tagged字段与浮动规则一起使用非常有用，因此防火墙可以在进入接口时使用特定字符串标记数据包，然后使用浮动规则在匹配的数据包上执行不同的操作。此选项限制此规则允许的最大连接数（总数）。如果更多连接符合连接限制时的此规则，则此规则将在规则执行中跳过。如果以后的规则匹配，则流量将应用该规则的操作，否则将触发默认的拒绝规则。一旦该规则允许的连接数量下降到低于此连接限制，流量可以再次匹配此规则。此选项指定可为此规则同时连接多少个源IP地址。每个源IP地址允许不限数量的连接，但允许的不同源IP地址的总数限制为该值。要根据每个主机的连接限制访问，请使用此设置。该值可以将规则限制为每个源主机的特定连接数（例如10），而不是特定的全局连接总数。该选项控制每个主机匹配规则的完全建立的（完成的握手）连接的数量。此选项仅适用于TCP连接。此设置与上述建立的计数类似，但仅检查状态条目，而不是跟踪是否成功建立连接。这种速率限制方法有助于确保较高的TCP连接速率不会使服务器或防火墙上的状态表过载。例如，可以限制传入邮件服务器的连接，减少垃圾邮件过载的负担。它也可以用于出站流量规则来设置限制，防止任何单个机器加载防火墙上的状态表或进行太多快速连接，这是病毒常见的行为。可以为该规则配置连接数量和该时间段的秒数。在给定的时间范围内超过指定连接数的任何IP地址将被防火墙阻止一个小时。此选项仅适用于TCP连接。使用此字段，可以定义匹配此规则的流量的状态超时，覆盖默认状态超时。当连接闲置了这段时间时，任何不活动的连接都将被关闭。默认状态超时取决于正在使用的防火墙优化算法。注意此选项仅控制入站方向的流量，所以它本身并不是很有用。匹配连接的出站流量仍将具有默认状态超时。要正确使用此设置，需要在具有类似状态超时设置的流量占用的出站路径中使用匹配的浮动规则。默认情况下，TCP的新传递规则只检查要设置的TCP SYN标识，不包括可能的SYN和ACK集合。为了解决更复杂的情况，例如解决非对称路由或其他非传统的流量组合，请使用这组控件来更改标识与防火墙规则匹配的方式。第一行控制哪些标识必须设置为匹配规则。第二行定义将在数据包上查询的标识列表以查找匹配。最常用的标志的含义是:要允许设置了任何标志的TCP，请选中任何标志。在pfSense中有三种状态跟踪选项，可以按规则指定：Keep:

选择后，防火墙将创建并维护允许通信的状态表条目。这是默认的，在大多数情况下是最好的选择。Sloppy State:

这是使用一种不太严格的手段来保持状态，用于非对称路由的场景。当防火墙只能看到连接的一半流量时，缺省状态保持的有效性检查将失败，流量将被阻止。防止某些类型***的pf机制在审查不严格的状态时不起作用。Synproxy:

此选项会导致pfSense代理传入的TCP连接。 TCP连接以三次握手开始。 TCP连接的第一个数据包是来自源的SYN，它从目的地引发SYN ACK响应，然后从源返回ACK以完成握手。正常情况下，防火墙后面的主机会自行处理，但是synproxy状态会让防火墙完成这个握手。这有助于防止一种类型的拒绝服务***，SYN泛滥。这通常仅用于WAN接口上的规则。目前这种***类型最好是在目标操作系统级别进行处理，因为每个现代操作系统都包含独立处理这种***的能力。由于防火墙无法知道后端主机支持哪些TCP扩展，因此在使用synproxy状态时，它将宣告不支持TCP扩展。这意味着使用synproxy状态创建的连接不会使用窗口缩放，SACK，也不会使用大多数情况下会导致性能显着下降的时间戳。将TCP端口打开到不能很好地处理网络滥用的主机时非常有用，其中最重要的性能不是问题。None:

这个选项不会保持这个规则的状态。这只是在一些高度专业化的高级场景下才需要的，本书没有涉及这些内容，因为它们非常罕见。注意在这里设置“None”只影响入站方向的流量，所以它本身并不是很有用，因为在出站方向上仍然会创建一个状态。它必须与出站方向上的浮动规则配对，该规则也具有相同的选项。选中此框可防止此规则通过XMLRPC同步到其他高可用性集群成员。这包含在高可用性中。这不会阻止辅助节点上的规则被主节点覆盖。802.1p（也称为IEEE P802.1p或优先级代码点）是一种匹配和标记具有特定服务质量优先级的数据包的方法。与DSCP不同，802.1p在第2层使用VLAN运行。但是，与DSCP一样，上游路由器也必须支持802.1p才能有用。本节有两个选项。第一个将匹配一个802.1p字段，以便防火墙可以对其执行操作。第二个将通过这个防火墙将一个802.1p标签注入到一个数据包中。某些ISP可能需要在某些地区（如法国）设置802.1p标记，以正确处理隔离VLAN上的语音/视频/数据，以确保质量。802.1p有8个优先级，每个在GUI中都有一个双字母代码。从最低优先到最高顺序是：此选项配置一个时间表，指定规则生效的日期和时间。选择“None”意味着规则将始终启用。此选项将配置网关或网关组以供符合此规则的流量使用，这包括在策略路由中。这些选择列表定义了限制器对进入该接口（In）的流量应用带宽限制并离开该接口（Out）。这些选项定义将哪个ALTQ流量器队列应用于进入和退出此接口的流量。浮动规则是一种特殊类型的高级规则，可以执行复杂的操作，这些操作在接口或组选项卡上都不可行。浮动规则可以在入站，出站或两个方向上的多个接口上运行。入站和出站过滤的使用使设计规则更加复杂，并容易出现用户错误，但是在特定的应用程序中它们是可取的。大多数防火墙配置永远不会有浮动规则，或者只有流量器才具有浮动规则。浮动规则比其他规则更强大，但也更混乱，更容易做出可能有短暂的或中断连接的意外后果。浮动规则，入方向，应用于多个广域网，不会得到应答，因为他们也会在各个接口上添加规则，所以同样的问题存在接口组这里：流量将始终与默认网关退出WAN ，而不是从输入的WAN中正确地返回。鉴于许多用户对浮动规则相对陌生，在维护防火墙时，他们可能不认为需要查看规则。因此，他们可能会更难以管理，因为它可能不是在一个明显的地方寻找规则。根据入站和出站方向考虑数据包的来源和目的地时要小心。例如，WAN上出站方向的规则将具有防火墙的本地源（NAT之后）和远程目标。浮动规则最常见的用途是ALTQ流量。浮动选项卡规则是唯一可以匹配和排队流量而不显式传递流量的规则类型。另一种使用浮动规则的方法是控制从防火墙本身流出的流量。浮动规则可以防止防火墙到达特定的IP地址，端口等。其他常见用途是确保没有流量可以从其他路径退出到安全网络，而不管其他接口上存在什么规则。通过阻止除了经批准的位置以外的所有安全网络向外的安全网络，通过一些其他不希望的路径意外地允许通信的可能性减小。同样，它们可以用来防止专用网络的流量离开WAN接口，以防止流量泄漏。正如前面在接口规则中提到的，它们还可以有效地为非对称路由制定状态超时，标记或匹配操作“no state”规则和 “sloppy state”规则。在入站方向上，浮动规则基本上与接口或组规则相同，只不过它们首先被处理。然而，在出站方向，事情会变得更加混乱。防火墙规则是在NAT规则之后进行处理的，因此，如果在该接口上的出站NAT处于活动状态，则WAN上出站方向的规则永远不会匹配本地/专用IP地址源。到达规则时，数据包的源地址现在是WAN接口的IP地址。在大多数情况下，这可以通过使用匹配选项来标记局域网上的数据包，然后在防火墙出口处匹配该标记。浮动规则在接口组规则和接口规则之前进行处理，因此也必须予以考虑。匹配动作对于浮动规则是独一无二的。具有匹配动作的规则不会传递或阻止数据包，而只是为了将流量分配给队列或限制器进行流量。匹配规则在启用

快速

的情况下无效。快速控制当规则匹配时规则处理是否停止。

快速

行为将自动添加到所有接口选项卡规则中，但在浮动规则上是可选的。如果没有快速检查，则只有在没有其他规则匹配流量的情况下，规则才会生效。它把“第一场比赛胜利”的行为逆转为“最后一场胜利”。

使用这种机制，可以制定一个默认的排序行为，只有在没有其他规则匹配的情况下才能生效，类似于广域网上的默认阻止规则。在大多数情况下，我们建议有快速选择。有一些特定的情况下离开快速取消选中是必要的，但他们是少之又少。对于大多数情况下，他们没有快速选择的唯一规则是匹配规则流量规则。

浮动规则的接口选择与普通接口规则不同：它是一个多选框，因此可以选择一个，多个或所有可能的接口。按住Ctrl的同时单击接口以逐个选择它们，或者使用其他组合的单击/拖动或按住Shift键单击以选择多个接口。浮动规则不仅限于入口方向，如接口规则。他们也可以通过在这里选择，或在两个方向选择任何方向的行动出站方向。方向也是可用的。

出

方向对于过滤来自防火墙本身的流量，用于匹配尝试退出接口的其他不合需要的流量，或者用于完全配置“sloppy state”规则，“no state”规则或者备用状态超时是有用的。使用“

Ta活动：慈云数据爆款香港服务器，CTG+CN2高速带宽、快速稳定、平均延迟10+ms 速度快，免备案，每月仅需19元！！点击查看g

和

Tagged

”字段，可以使用接口选项卡规则标记连接，然后在浮动规则的出站方向上进行匹配。这是对来自特定内部主机的WAN出站通信采取行动的有效方法，否则，由于NAT屏蔽了源地址，因此无法进行匹配。它也可以被类似地用于应用在到达防火墙的专门标记的流量上的出站。例如，在LAN规则中，使用

Tag

字段中的短字符串来标记来自10.3.0.56源的数据包。然后在浮动规则上，快速出站到广域网上，使用

Tagged

为相同的字符串来处理由LAN规则匹配的流量。部署额外的公共IP地址的方法取决于如何委派地址，分配的大小以及特定网络环境的目标。例如，要通过NAT使用其他公有IP地址，防火墙将需要虚拟IP地址。直接为主机分配公共IP地址有两种选择：路由公共IP子网和桥接。额外的公有IP地址可以通过直接在使用它们的系统上分配或使用NAT来使用。可用的选项取决于ISP如何分配地址。使用附加静态公共IP地址的方法因分配类型而异。这里描述了每种常见的情况。对于WAN上的单个公共IP子网，其中一个公开发云主机域名共IP地址将位于上游路由器上，通常属于ISP，另一个IP地址将作为pfSense上的WAN IP地址。其余的IP地址可以用于NAT，桥接或两者的组合。要在NAT中使用地址，请添加代理ARP，IP别名或CARP类型虚拟IP地址。要将公共IP地址直接分配给防火墙后面的主机，必须将这些主机的专用接口桥接到WAN。与桥接一起使用时，直接分配了公网IP地址的主机必须使用与防火墙广域网（即上游ISP路由器）相同的默认网关。如果具有公有IP地址的主机需要发起到防火墙其它接口后面的主机的连接，则会产生困难，因为ISP网关不会将内部子网的通信路由回防火墙。下图显示了使用多个公用IP地址并结合使用NAT和桥接的示例。多个公用IP地址使用单个IP子网一些ISP将分配一个小的IP子网作为“WAN端”分配，有时称为传输或互连网络，并将更大的“内部”子网路由到防火墙。通常这是在WAN侧的一个/ 30和在防火墙内的一个/ 29或更大的子网。服务提供商路由器被分配/ 30的一端，通常是最低的IP地址，防火墙被分配较高的IP地址。然后提供程序将第二个子网路由到防火墙的WAN IP地址。额外的IP子网可以被路由的LAN或OPT接口上的防火墙使用，公网IP地址直接分配给主机，NAT使用其他类型的VIP，或者两者的组合。由于IP地址被路由到防火墙，因此不需要ARP，因此VIP条目不需要用于NAT。由于pfSense是本地网段上的网关，从公共本地子网主机到局域网的路由比使用单个公有IP子网时所需的桥接场景要容易得多。下图使用两个IP子网的多个公用IP地址显示了一个将路由的IP子网和NAT组合在一起的示例。路由公共IP地址在路由公共IP地址和网络地址转换中包含NAT。

使用两个IP子网的多个公用IP地址如果防火墙是使用CARP的高可用性群集的一部分，则WAN侧子网将需要为/ 29，因此每个防火墙都有自己的WAN IP地址和CARP VIP。提供商将在这种类型的配置中将较大的内部子网路由到WAN CARP VIP。内部IP子网必须路由到一个始终可用的IP地址，而不管哪个防火墙已经启动，并且可用于CARP的最小子网是/ 29。 CARP的这种设置与上述相同，OPT1网关是CARP VIP，而提供商路由到CARP VIP，而不是WAN IP地址。 CARP涵盖了高可用性。在其他情况下，一个站点可能被分配来自ISP的多个IP子网。通常当发生这种情况时，站点以前面描述的两种安排之一开始，随后在请求额外的IP地址时，该站点被提供了额外的IP子网。理想情况下，这个额外的子网将被ISP路由到防火墙，或者在单个防火墙的情况下被路由到WAN IP地址，或者在使用HA的时候被路由到CARP VIP。如果提供商拒绝将IP子网路由到防火墙，而是将其路由到其路由器，并使用子网中的一个IP地址作为网关IP地址，则防火墙将需要使用代理ARP VIP，IP别名VIP，或IP别名和CARP VIP的组合用于其他子网。如果可能的话，提供者应该将IP子网路由到防火墙，因为无论防火墙是否被使用，它都可以更容易地工作。它还消除了在附加子网中增加3个IP地址的需要，一个