pfSense book配置防火墻的規(guī)則是什么

本篇文章為大家展示了pfSense book配置防火墻的規(guī)則是什么，內(nèi)容簡(jiǎn)明扼要并且容易理解，絕對(duì)能使你眼前一亮，通過(guò)這篇文章的詳細(xì)介紹希望你能有所收獲。

配置防火墻規(guī)則

在防火墻>規(guī)則策略下配置防火墻規(guī)則時(shí)，有許多選項(xiàng)可用于控制流量的匹配和控制方式。 本節(jié)列出了大部分選項(xiàng)，因?yàn)閜fsense book是以pfsense2.31來(lái)進(jìn)行示例的，與現(xiàn)在pfsense2.41可能有些許不同。

動(dòng)作

該選項(xiàng)指定規(guī)則是否通過(guò)、阻止或拒絕流量。

通過(guò): 符合此規(guī)則的數(shù)據(jù)包將被允許通過(guò)防火墻。 如果為規(guī)則啟用了狀態(tài)跟蹤，則會(huì)創(chuàng)建一個(gè)允許相關(guān)返回流量回傳的狀態(tài)表?xiàng)l目。

阻止: 符合此規(guī)則的數(shù)據(jù)包將被丟棄。

拒絕: 匹配這個(gè)規(guī)則的數(shù)據(jù)包將被丟棄，對(duì)于支持的協(xié)議，一條消息將被發(fā)送回始發(fā)者，表明連接被拒絕。

禁用

要禁用規(guī)則而不將其從規(guī)則列表中刪除，請(qǐng)選中此框。 它仍將顯示在防火墻規(guī)則頁(yè)面中，但該規(guī)則將顯示為灰色以提示其禁用狀態(tài)。

接口 

“接口”下拉菜單指定接收由此規(guī)則控制的流量的接口。 請(qǐng)記住，在接口和組選項(xiàng)卡規(guī)則中，流量?jī)H在啟動(dòng)流量的接口上被過(guò)濾。 從局域網(wǎng)發(fā)起的流量指向Internet或防火墻上的任何其他接口由LAN規(guī)則集過(guò)濾。

TCP/IP 版本

提示規(guī)則應(yīng)用于IPv4，IPv6或同時(shí)應(yīng)用IPv4 + IPv6流量。 這些規(guī)則將只匹配正確協(xié)議的數(shù)據(jù)包并采取動(dòng)作。 可以使用包含這兩種IP地址的別名，并且該規(guī)則將僅匹配來(lái)自正確協(xié)議的地址。

協(xié)議

規(guī)則將匹配的協(xié)議。 這些選項(xiàng)大部分都是不言自明的。 TCP / UDP將同時(shí)匹配TCP和UDP流量。 指定ICMP將顯示一個(gè)額外的下拉框來(lái)選擇ICMP類型。 其他幾個(gè)常見(jiàn)的協(xié)議也是可用的。

注意

這個(gè)字段默認(rèn)為新的規(guī)則的TCP，因?yàn)樗且粋€(gè)通用的默認(rèn)值，它將顯示該協(xié)議的預(yù)期字段。 要使規(guī)則適用于任何協(xié)議，請(qǐng)將此字段更改為any。 創(chuàng)建新規(guī)則最常見(jiàn)的錯(cuò)誤之一是意外創(chuàng)建TCP規(guī)則，然后無(wú)法傳遞其他非TCP流量，如ping，DNS等。

ICMP 類型

選擇ICMP作為協(xié)議時(shí)，該下拉列表包含所有可能的ICMP類型。 通過(guò)ICMP時(shí)，最好的做法是只在可行的時(shí)候通過(guò)所需的類型。 最常見(jiàn)的用例是只傳遞一種回應(yīng)請(qǐng)求，允許ICMP ping通。

提示

從歷史上看，ICMP的聲譽(yù)很差，但通常是有益的。 在允許ICMP時(shí)，允許任何ICMP類型通常是可以接受的。

源地址

該字段指定將匹配此規(guī)則的源IP地址，子網(wǎng)或別名。

源地址的下拉框允許幾種不同的預(yù)定義類型的源地址：

Any: 匹配任何地址。

單個(gè)主機(jī)或別名:匹配一個(gè)IP地址或別名。 當(dāng)它處于活動(dòng)狀態(tài)時(shí)，可以在“源地址”字段中鍵入一個(gè)別名。

網(wǎng)絡(luò):使用IP地址和子網(wǎng)掩碼來(lái)匹配一個(gè)地址范圍。

PPPoE客戶端: 如果啟用了PPPoE服務(wù)器，則匹配來(lái)自PPPoE服務(wù)器的客戶端地址范圍的流量。

L2TP客戶端: 如果啟用了L2TP服務(wù)器，則將匹配來(lái)自L2TP服務(wù)器的客戶端地址范圍流量。

接口網(wǎng)絡(luò):防火墻上的每個(gè)接口都有此列表中的條目。 這種源類型準(zhǔn)確指定了該接口的子網(wǎng)，包括與定義的接口子網(wǎng)不同的任何IP別名VIP子網(wǎng)。

接口地址:防火墻上的每個(gè)接口都有此列表中的條目。這些源類型指定在該接口上配置的IP地址。

警告

源網(wǎng)絡(luò)或目的網(wǎng)絡(luò)的WAN Net選項(xiàng)僅表示W(wǎng)AN接口的子網(wǎng)。 這并不意味著“互聯(lián)網(wǎng)”或任何遠(yuǎn)程主機(jī)。

對(duì)于匹配TCP和或UDP的規(guī)則，也可以通過(guò)點(diǎn)擊 顯示高級(jí)設(shè)置指定源端口。 源端口隱藏在“顯示高級(jí)”按鈕后面，因?yàn)橥ǔＴ炊丝诒仨毐３衷O(shè)置為任意端口，因?yàn)門CP和UDP連接源于臨時(shí)端口范圍內(nèi)的隨機(jī)端口（在1024到65535之間，所使用的確切范圍取決于連接的操作系統(tǒng)和操作系統(tǒng)版本）。 源端口幾乎不會(huì)與目標(biāo)端口相同，也不應(yīng)該像這樣配置，除非正在使用的應(yīng)用程序已知使用這種非典型行為。 將源端口定義為從1024到65535的范圍也是安全的。

選擇反轉(zhuǎn)匹配將取消匹配，以便除源值之外的所有通信都將觸發(fā)規(guī)則。

目標(biāo)地址

該字段指定將匹配此規(guī)則的目標(biāo)IP地址，子網(wǎng)或別名。

對(duì)于指定TCP和或UDP的規(guī)則，此處還指定了目標(biāo)端口，端口范圍或別名。 與源不同，在許多情況下配置目的端口是必需的，因?yàn)樗仁褂萌魏味丝诟踩⑶彝ǔ；趨f(xié)議預(yù)先知道目的端口。 下拉列表中提供了許多常用端口值，或者選擇（其他）手動(dòng)輸入值或使用端口別名。

提示

要指定連續(xù)范圍的端口，請(qǐng)?jiān)凇?strong>從”部分輸入較低的端口，在“到”部分輸入較高的端口值。

日志

此框決定是否將符合此規(guī)則的數(shù)據(jù)包記錄到防火墻日志中。 

描述

在這里輸入描述以供參考。 這是可選的，不影響規(guī)則的功能。 最好的做法是輸入描述規(guī)則目的的文字。 最大長(zhǎng)度是52個(gè)字符。

高級(jí)選項(xiàng)

頁(yè)面的這一部分已經(jīng)隱藏了不太可能被需要或者具有對(duì)新用戶混淆的功能的選項(xiàng)。 單擊顯示高級(jí)選項(xiàng)。 如果頁(yè)面的這一部分中的選項(xiàng)已經(jīng)設(shè)置，則將來(lái)在加載規(guī)則時(shí)會(huì)出現(xiàn)。

源操作系統(tǒng)

pf和pfSense更獨(dú)特的功能之一就是能夠通過(guò)對(duì)連接的操作系統(tǒng)進(jìn)行過(guò)濾。 對(duì)于TCP規(guī)則，pf啟用被動(dòng)操作系統(tǒng)指紋（“p0f”），允許規(guī)則根據(jù)啟動(dòng)TCP連接的操作系統(tǒng)進(jìn)行匹配。 pf的pf功能通過(guò)將啟動(dòng)TCP連接的TCP SYN數(shù)據(jù)包的特征與指紋文件進(jìn)行比較來(lái)確定正在使用的操作系統(tǒng)。 請(qǐng)注意，可以將操作系統(tǒng)的指紋更改為另一個(gè)操作系統(tǒng)，尤其是對(duì)于開(kāi)放源代碼操作系統(tǒng)，如BSD和Linux。 這并不容易，但是如果一個(gè)網(wǎng)絡(luò)包含技術(shù)熟練的用戶，并且具有對(duì)系統(tǒng)的管理員或根級(jí)訪問(wèn)權(quán)限，那么這是可能的。

區(qū)分服務(wù)代碼點(diǎn)

區(qū)分服務(wù)代碼點(diǎn)是應(yīng)用程序在數(shù)據(jù)包內(nèi)部指示如何在路徑沿著路徑轉(zhuǎn)發(fā)時(shí)更喜歡路由器來(lái)處理其流量的一種方式。這最常見(jiàn)的用途是服務(wù)質(zhì)量或流量×××的目的。冗長(zhǎng)的名稱通?？s寫(xiě)為Diffserv Code Point或簡(jiǎn)寫(xiě)為DSCP，有時(shí)也稱為TOS字段。

生成數(shù)據(jù)包的程序或設(shè)備（例如Asterisk通過(guò)它的tos_sip和tos_audioconfiguration參數(shù)）將設(shè)置數(shù)據(jù)包中的DSCP字段，然后由防火墻和其他臨時(shí)路由器來(lái)匹配，排隊(duì)或作用于數(shù)據(jù)包。

要在防火墻中匹配這些參數(shù)，請(qǐng)使用與始發(fā)設(shè)備設(shè)置的值匹配的“區(qū)分服務(wù)代碼點(diǎn)”下拉條目。有很多選項(xiàng)，每個(gè)都有特定的通行類型的特殊含義。請(qǐng)查閱相關(guān)設(shè)備的文檔以獲取有關(guān)信息。

DSCP的缺點(diǎn)是它假定路由器支持或在現(xiàn)場(chǎng)采取行動(dòng)，這可能是也可能不是。不同的路由器可能會(huì)以無(wú)意或不匹配的方式處理相同的DSCP值。更糟糕的是，有些路由器在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)會(huì)完全清除數(shù)據(jù)包中的DSCP字段。此外，pf匹配流量的方式，必須在創(chuàng)建狀態(tài)的連接的第一個(gè)數(shù)據(jù)包上設(shè)置DSCP值，因?yàn)槊總€(gè)數(shù)據(jù)包在創(chuàng)建狀態(tài)后都不會(huì)被單獨(dú)檢查。

注意

該選項(xiàng)只讀取和匹配DSCP值。 它不會(huì)在數(shù)據(jù)包中設(shè)置值。

IP 選項(xiàng)

選中此框?qū)⒃试S具有定義的IP選項(xiàng)的數(shù)據(jù)包通過(guò)。 默認(rèn)情況下，pf會(huì)阻止所有設(shè)置了IP選項(xiàng)的數(shù)據(jù)包，以阻止操作系統(tǒng)指紋等。 選中此框可傳遞包含IP選項(xiàng)的IGMP或其他多播通信。

禁用應(yīng)答

防火墻在默認(rèn)情況下將應(yīng)答關(guān)鍵字添加到WAN類型接口上的規(guī)則，以確保進(jìn)入WAN的流量也將通過(guò)同一個(gè)WAN離開(kāi)。 在某些情況下，這種行為是不受歡迎的，例如某些流量通過(guò)WAN接口上的單獨(dú)防火墻/路由器進(jìn)行路由時(shí)。 在這些情況下，請(qǐng)選中此選項(xiàng)以僅對(duì)符合此規(guī)則的流量禁用應(yīng)答，而不是全局禁用應(yīng)答。

Tag and Tagged

Tag和Tagged字段與浮動(dòng)規(guī)則一起使用非常有用，因此防火墻可以在進(jìn)入接口時(shí)使用特定字符串標(biāo)記數(shù)據(jù)包，然后使用浮動(dòng)規(guī)則在匹配的數(shù)據(jù)包上執(zhí)行不同的操作。

最大狀態(tài)條目

此選項(xiàng)限制此規(guī)則允許的最大連接數(shù)（總數(shù)）。 如果更多連接符合連接限制時(shí)的此規(guī)則，則此規(guī)則將在規(guī)則執(zhí)行中跳過(guò)。 如果以后的規(guī)則匹配，則流量將應(yīng)用該規(guī)則的操作，否則將觸發(fā)默認(rèn)的拒絕規(guī)則。 一旦該規(guī)則允許的連接數(shù)量下降到低于此連接限制，流量可以再次匹配此規(guī)則。

源主機(jī)最大數(shù)量

此選項(xiàng)指定可為此規(guī)則同時(shí)連接多少個(gè)源IP地址。 每個(gè)源IP地址允許不限數(shù)量的連接，但允許的不同源IP地址的總數(shù)限制為該值。

最大連接數(shù)

要根據(jù)每個(gè)主機(jī)的連接限制訪問(wèn)，請(qǐng)使用此設(shè)置。 該值可以將規(guī)則限制為每個(gè)源主機(jī)的特定連接數(shù)（例如10），而不是特定的全局連接總數(shù)。 該選項(xiàng)控制每個(gè)主機(jī)匹配規(guī)則的完全建立的（完成的握手）連接的數(shù)量。 此選項(xiàng)僅適用于TCP連接。

每個(gè)主機(jī)最大狀態(tài)記錄

此設(shè)置與上述建立的計(jì)數(shù)類似，但僅檢查狀態(tài)條目，而不是跟蹤是否成功建立連接。

最大連接數(shù)/每秒

這種速率限制方法有助于確保較高的TCP連接速率不會(huì)使服務(wù)器或防火墻上的狀態(tài)表過(guò)載。 例如，可以限制傳入郵件服務(wù)器的連接，減少垃圾郵件過(guò)載的負(fù)擔(dān)。 它也可以用于出站流量規(guī)則來(lái)設(shè)置限制，防止任何單個(gè)機(jī)器加載防火墻上的狀態(tài)表或進(jìn)行太多快速連接，這是病毒常見(jiàn)的行為。 可以為該規(guī)則配置連接數(shù)量和該時(shí)間段的秒數(shù)。 在給定的時(shí)間范圍內(nèi)超過(guò)指定連接數(shù)的任何IP地址將被防火墻阻止一個(gè)小時(shí)。 此選項(xiàng)僅適用于TCP連接。

狀態(tài)超時(shí)（秒）

使用此字段，可以定義匹配此規(guī)則的流量的狀態(tài)超時(shí)，覆蓋默認(rèn)狀態(tài)超時(shí)。 當(dāng)連接閑置了這段時(shí)間時(shí)，任何不活動(dòng)的連接都將被關(guān)閉。 默認(rèn)狀態(tài)超時(shí)取決于正在使用的防火墻優(yōu)化算法。 

注意

此選項(xiàng)僅控制入站方向的流量，所以它本身并不是很有用。 匹配連接的出站流量仍將具有默認(rèn)狀態(tài)超時(shí)。 要正確使用此設(shè)置，需要在具有類似狀態(tài)超時(shí)設(shè)置的流量占用的出站路徑中使用匹配的浮動(dòng)規(guī)則。

TCP 標(biāo)識(shí)

默認(rèn)情況下，TCP的新傳遞規(guī)則只檢查要設(shè)置的TCP SYN標(biāo)識(shí)，不包括可能的SYN和ACK集合。 為了解決更復(fù)雜的情況，例如解決非對(duì)稱路由或其他非傳統(tǒng)的流量組合，請(qǐng)使用這組控件來(lái)更改標(biāo)識(shí)與防火墻規(guī)則匹配的方式。

第一行控制哪些標(biāo)識(shí)必須設(shè)置為匹配規(guī)則。 第二行定義將在數(shù)據(jù)包上查詢的標(biāo)識(shí)列表以查找匹配。

最常用的標(biāo)志的含義是:

要允許設(shè)置了任何標(biāo)志的TCP，請(qǐng)選中任何標(biāo)志。

狀態(tài)類型

在pfSense中有三種狀態(tài)跟蹤選項(xiàng)，可以按規(guī)則指定：

不同步XML-RPC

選中此框可防止此規(guī)則通過(guò)XMLRPC同步到其他高可用性集群成員。 這包含在高可用性中。 這不會(huì)阻止輔助節(jié)點(diǎn)上的規(guī)則被主節(jié)點(diǎn)覆蓋。

VLAN優(yōu)先級(jí)（匹配和設(shè)置）

802.1p（也稱為IEEE P802.1p或優(yōu)先級(jí)代碼點(diǎn)）是一種匹配和標(biāo)記具有特定服務(wù)質(zhì)量?jī)?yōu)先級(jí)的數(shù)據(jù)包的方法。 與DSCP不同，802.1p在第2層使用VLAN運(yùn)行。 但是，與DSCP一樣，上游路由器也必須支持802.1p才能有用。

本節(jié)有兩個(gè)選項(xiàng)。 第一個(gè)將匹配一個(gè)802.1p字段，以便防火墻可以對(duì)其執(zhí)行操作。 第二個(gè)將通過(guò)這個(gè)防火墻將一個(gè)802.1p標(biāo)簽注入到一個(gè)數(shù)據(jù)包中。 某些ISP可能需要在某些地區(qū)（如法國(guó)）設(shè)置802.1p標(biāo)記，以正確處理隔離VLAN上的語(yǔ)音/視頻/數(shù)據(jù)，以確保質(zhì)量。

802.1p有8個(gè)優(yōu)先級(jí)，每個(gè)在GUI中都有一個(gè)雙字母代碼。 從最低優(yōu)先到最高順序是：

時(shí)間表

此選項(xiàng)配置一個(gè)時(shí)間表，指定規(guī)則生效的日期和時(shí)間。 選擇“None”意味著規(guī)則將始終啟用。

網(wǎng)關(guān)

此選項(xiàng)將配置網(wǎng)關(guān)或網(wǎng)關(guān)組以供符合此規(guī)則的流量使用， 這包括在策略路由中。

進(jìn)/出管道（限制器）

這些選擇列表定義了限制器對(duì)進(jìn)入該接口（In）的流量應(yīng)用帶寬限制并離開(kāi)該接口（Out）。 

Ack隊(duì)列/隊(duì)列

這些選項(xiàng)定義將哪個(gè)ALTQ流量×××器隊(duì)列應(yīng)用于進(jìn)入和退出此接口的流量。 

浮動(dòng)規(guī)則

浮動(dòng)規(guī)則是一種特殊類型的高級(jí)規(guī)則，可以執(zhí)行復(fù)雜的操作，這些操作在接口或組選項(xiàng)卡上都不可行。 浮動(dòng)規(guī)則可以在入站，出站或兩個(gè)方向上的多個(gè)接口上運(yùn)行。 入站和出站過(guò)濾的使用使設(shè)計(jì)規(guī)則更加復(fù)雜，并容易出現(xiàn)用戶錯(cuò)誤，但是在特定的應(yīng)用程序中它們是可取的。

大多數(shù)防火墻配置永遠(yuǎn)不會(huì)有浮動(dòng)規(guī)則，或者只有流量×××器才具有浮動(dòng)規(guī)則。

注意事項(xiàng)

浮動(dòng)規(guī)則比其他規(guī)則更強(qiáng)大，但也更混亂，更容易做出可能有短暫的或中斷連接的意外后果。

浮動(dòng)規(guī)則，入方向，應(yīng)用于多個(gè)廣域網(wǎng)，不會(huì)得到應(yīng)答，因?yàn)樗麄円矔?huì)在各個(gè)接口上添加規(guī)則，所以同樣的問(wèn)題存在接口組這里：流量將始終與默認(rèn)網(wǎng)關(guān)退出WAN ，而不是從輸入的WAN中正確地返回。

鑒于許多用戶對(duì)浮動(dòng)規(guī)則相對(duì)陌生，在維護(hù)防火墻時(shí)，他們可能不認(rèn)為需要查看規(guī)則。因此，他們可能會(huì)更難以管理，因?yàn)樗赡懿皇窃谝粋€(gè)明顯的地方尋找規(guī)則。

根據(jù)入站和出站方向考慮數(shù)據(jù)包的來(lái)源和目的地時(shí)要小心。例如，WAN上出站方向的規(guī)則將具有防火墻的本地源（NAT之后）和遠(yuǎn)程目標(biāo)。

潛在的用途

浮動(dòng)規(guī)則最常見(jiàn)的用途是ALTQ流量×××。浮動(dòng)選項(xiàng)卡規(guī)則是唯一可以匹配和排隊(duì)流量而不顯式傳遞流量的規(guī)則類型。

另一種使用浮動(dòng)規(guī)則的方法是控制從防火墻本身流出的流量。浮動(dòng)規(guī)則可以防止防火墻到達(dá)特定的IP地址，端口等。

其他常見(jiàn)用途是確保沒(méi)有流量可以從其他路徑退出到安全網(wǎng)絡(luò)，而不管其他接口上存在什么規(guī)則。通過(guò)阻止除了經(jīng)批準(zhǔn)的位置以外的所有安全網(wǎng)絡(luò)向外的安全網(wǎng)絡(luò)，通過(guò)一些其他不希望的路徑意外地允許通信的可能性減小。同樣，它們可以用來(lái)防止專用網(wǎng)絡(luò)的流量離開(kāi)WAN接口，以防止×××流量泄漏。

正如前面在接口規(guī)則中提到的，它們還可以有效地為非對(duì)稱路由制定狀態(tài)超時(shí)，標(biāo)記或匹配操作“no state” 規(guī)則和 “sloppy state” 規(guī)則。

處理任務(wù)

在入站方向上，浮動(dòng)規(guī)則基本上與接口或組規(guī)則相同，只不過(guò)它們首先被處理。 然而，在出站方向，事情會(huì)變得更加混亂。

防火墻規(guī)則是在NAT規(guī)則之后進(jìn)行處理的，因此，如果在該接口上的出站NAT處于活動(dòng)狀態(tài)，則WAN上出站方向的規(guī)則永遠(yuǎn)不會(huì)匹配本地/專用IP地址源。 到達(dá)規(guī)則時(shí)，數(shù)據(jù)包的源地址現(xiàn)在是WAN接口的IP地址。 在大多數(shù)情況下，這可以通過(guò)使用匹配選項(xiàng)來(lái)標(biāo)記局域網(wǎng)上的數(shù)據(jù)包，然后在防火墻出口處匹配該標(biāo)記。

浮動(dòng)規(guī)則在接口組規(guī)則和接口規(guī)則之前進(jìn)行處理，因此也必須予以考慮。

匹配動(dòng)作

匹配動(dòng)作對(duì)于浮動(dòng)規(guī)則是獨(dú)一無(wú)二的。 具有匹配動(dòng)作的規(guī)則不會(huì)傳遞或阻止數(shù)據(jù)包，而只是為了將流量分配給隊(duì)列或限制器進(jìn)行流量×××。 匹配規(guī)則在啟用快速的情況下無(wú)效。

快速

快速控制當(dāng)規(guī)則匹配時(shí)規(guī)則處理是否停止。 快速行為將自動(dòng)添加到所有接口選項(xiàng)卡規(guī)則中，但在浮動(dòng)規(guī)則上是可選的。 如果沒(méi)有快速檢查，則只有在沒(méi)有其他規(guī)則匹配流量的情況下，規(guī)則才會(huì)生效。 它把“第一場(chǎng)比賽勝利”的行為逆轉(zhuǎn)為“最后一場(chǎng)勝利”。

使用這種機(jī)制，可以制定一個(gè)默認(rèn)的排序行為，只有在沒(méi)有其他規(guī)則匹配的情況下才能生效，類似于廣域網(wǎng)上的默認(rèn)阻止規(guī)則。

在大多數(shù)情況下，我們建議有快速選擇。 有一些特定的情況下離開(kāi)快速取消選中是必要的，但他們是少之又少。 對(duì)于大多數(shù)情況下，他們沒(méi)有快速選擇的唯一規(guī)則是匹配規(guī)則流量×××規(guī)則。

接口

浮動(dòng)規(guī)則的接口選擇與普通接口規(guī)則不同：它是一個(gè)多選框，因此可以選擇一個(gè)，多個(gè)或所有可能的接口。 按住Ctrl的同時(shí)單擊接口以逐個(gè)選擇它們，或者使用其他組合的單擊/拖動(dòng)或按住Shift鍵單擊以選擇多個(gè)接口。

方向

浮動(dòng)規(guī)則不僅限于入口方向，如接口規(guī)則。 他們也可以通過(guò)在這里選擇，或在兩個(gè)方向選擇任何方向的行動(dòng)出站方向。 方向也是可用的。

出方向?qū)τ谶^(guò)濾來(lái)自防火墻本身的流量，用于匹配嘗試退出接口的其他不合需要的流量，或者用于完全配置“sloppy state”規(guī)則，“no state”規(guī)則或者備用狀態(tài)超時(shí)是有用的。

標(biāo)記和匹配

使用“Tag 和 Tagged”字段，可以使用接口選項(xiàng)卡規(guī)則標(biāo)記連接，然后在浮動(dòng)規(guī)則的出站方向上進(jìn)行匹配。 這是對(duì)來(lái)自特定內(nèi)部主機(jī)的WAN出站通信采取行動(dòng)的有效方法，否則，由于NAT屏蔽了源地址，因此無(wú)法進(jìn)行匹配。 它也可以被類似地用于應(yīng)用在到達(dá)防火墻的專門標(biāo)記的流量上的×××出站。

例如，在LAN規(guī)則中，使用Tag字段中的短字符串來(lái)標(biāo)記來(lái)自10.3.0.56源的數(shù)據(jù)包。 然后在浮動(dòng)規(guī)則上，快速出站到廣域網(wǎng)上，使用Tagged為相同的字符串來(lái)處理由LAN規(guī)則匹配的流量。

使用其他公共IP地址的方法

部署額外的公共IP地址的方法取決于如何委派地址，分配的大小以及特定網(wǎng)絡(luò)環(huán)境的目標(biāo)。 例如，要通過(guò)NAT使用其他公有IP地址，防火墻將需要虛擬IP地址。

直接為主機(jī)分配公共IP地址有兩種選擇：路由公共IP子網(wǎng)和橋接。

選擇路由，橋接和NAT

額外的公有IP地址可以通過(guò)直接在使用它們的系統(tǒng)上分配或使用NAT來(lái)使用。 可用的選項(xiàng)取決于ISP如何分配地址。

額外的靜態(tài)IP地址

使用附加靜態(tài)公共IP地址的方法因分配類型而異。 這里描述了每種常見(jiàn)的情況。

WAN上的單個(gè)IP子網(wǎng)

對(duì)于WAN上的單個(gè)公共IP子網(wǎng)，其中一個(gè)公共IP地址將位于上游路由器上，通常屬于ISP，另一個(gè)IP地址將作為pfSense上的WAN IP地址。 其余的IP地址可以用于NAT，橋接或兩者的組合。

要在NAT中使用地址，請(qǐng)?zhí)砑哟鞟RP，IP別名或CARP類型虛擬IP地址。

要將公共IP地址直接分配給防火墻后面的主機(jī)，必須將這些主機(jī)的專用接口橋接到WAN。 與橋接一起使用時(shí)，直接分配了公網(wǎng)IP地址的主機(jī)必須使用與防火墻廣域網(wǎng)（即上游ISP路由器）相同的默認(rèn)網(wǎng)關(guān)。 如果具有公有IP地址的主機(jī)需要發(fā)起到防火墻其它接口后面的主機(jī)的連接，則會(huì)產(chǎn)生困難，因?yàn)镮SP網(wǎng)關(guān)不會(huì)將內(nèi)部子網(wǎng)的通信路由回防火墻。

下圖顯示了使用多個(gè)公用IP地址并結(jié)合使用NAT和橋接的示例。

多個(gè)公用IP地址使用單個(gè)IP子網(wǎng)

具有較大LAN IP子網(wǎng)的小型WAN IP子網(wǎng)

一些ISP將分配一個(gè)小的IP子網(wǎng)作為“WAN端”分配，有時(shí)稱為傳輸或互連網(wǎng)絡(luò)，并將更大的“內(nèi)部”子網(wǎng)路由到防火墻。通常這是在WAN側(cè)的一個(gè)/ 30和在防火墻內(nèi)的一個(gè)/ 29或更大的子網(wǎng)。服務(wù)提供商路由器被分配/ 30的一端，通常是最低的IP地址，防火墻被分配較高的IP地址。然后提供程序?qū)⒌诙€(gè)子網(wǎng)路由到防火墻的WAN IP地址。額外的IP子網(wǎng)可以被路由的LAN或OPT接口上的防火墻使用，公網(wǎng)IP地址直接分配給主機(jī)，NAT使用其他類型的VIP，或者兩者的組合。由于IP地址被路由到防火墻，因此不需要ARP，因此VIP條目不需要用于NAT。

由于pfSense是本地網(wǎng)段上的網(wǎng)關(guān)，從公共本地子網(wǎng)主機(jī)到局域網(wǎng)的路由比使用單個(gè)公有IP子網(wǎng)時(shí)所需的橋接場(chǎng)景要容易得多。下圖使用兩個(gè)IP子網(wǎng)的多個(gè)公用IP地址顯示了一個(gè)將路由的IP子網(wǎng)和NAT組合在一起的示例。路由公共IP地址在路由公共IP地址和網(wǎng)絡(luò)地址轉(zhuǎn)換中包含NAT。

使用兩個(gè)IP子網(wǎng)的多個(gè)公用IP地址

如果防火墻是使用CARP的高可用性群集的一部分，則WAN側(cè)子網(wǎng)將需要為/ 29，因此每個(gè)防火墻都有自己的WAN IP地址和CARP VIP。 提供商將在這種類型的配置中將較大的內(nèi)部子網(wǎng)路由到WAN CARP VIP。 內(nèi)部IP子網(wǎng)必須路由到一個(gè)始終可用的IP地址，而不管哪個(gè)防火墻已經(jīng)啟動(dòng)，并且可用于CARP的最小子網(wǎng)是/ 29。 CARP的這種設(shè)置與上述相同，OPT1網(wǎng)關(guān)是CARP VIP，而提供商路由到CARP VIP，而不是WAN IP地址。 CARP涵蓋了高可用性。

多個(gè)IP子網(wǎng)

在其他情況下，一個(gè)站點(diǎn)可能被分配來(lái)自ISP的多個(gè)IP子網(wǎng)。通常當(dāng)發(fā)生這種情況時(shí)，站點(diǎn)以前面描述的兩種安排之一開(kāi)始，隨后在請(qǐng)求額外的IP地址時(shí)，該站點(diǎn)被提供了額外的IP子網(wǎng)。理想情況下，這個(gè)額外的子網(wǎng)將被ISP路由到防火墻，或者在單個(gè)防火墻的情況下被路由到WAN IP地址，或者在使用HA的時(shí)候被路由到CARP VIP。如果提供商拒絕將IP子網(wǎng)路由到防火墻，而是將其路由到其路由器，并使用子網(wǎng)中的一個(gè)IP地址作為網(wǎng)關(guān)IP地址，則防火墻將需要使用代理ARP VIP，IP別名VIP，或IP別名和CARP VIP的組合用于其他子網(wǎng)。如果可能的話，提供者應(yīng)該將IP子網(wǎng)路由到防火墻，因?yàn)闊o(wú)論防火墻是否被使用，它都可以更容易地工作。它還消除了在附加子網(wǎng)中增加3個(gè)IP地址的需要，一個(gè)用于網(wǎng)絡(luò)和廣播地址，一個(gè)用于網(wǎng)關(guān)IP地址。通過(guò)路由子網(wǎng)，整個(gè)子網(wǎng)可與NAT組合使用。

在將IP子網(wǎng)路由到防火墻的情況下，具有較大LAN IP子網(wǎng)的小型廣域網(wǎng)IP子網(wǎng)中描述的場(chǎng)景適用于額外的內(nèi)部子網(wǎng)。子網(wǎng)可以分配給一個(gè)新的OPT接口，與NAT一起使用，或者兩者結(jié)合使用。

通過(guò)DHCP的其他IP地址

一些ISP需要通過(guò)DHCP獲得額外的IP地址。 這不是獲取多個(gè)公網(wǎng)IP地址的好方法，必須避免在任何嚴(yán)重的網(wǎng)絡(luò)中使用。 業(yè)務(wù)級(jí)連接不應(yīng)該要求這樣做。 pfSense是少數(shù)可以在任何容量下使用DHCP的附加IP地址的防火墻之一。 這提供了有限的靈活性

橋接

如果來(lái)自DHCP的附加IP地址必須直接分配給將要使用它們的系統(tǒng)，橋接是唯一的選擇。 這些系統(tǒng)使用與WAN橋接的OPT接口，并且系統(tǒng)必須配置為使用DHCP獲取其地址。

偽多WAN

讓防火墻將這些DHCP地址作為租約提取的唯一選擇是偽多WAN部署。 每個(gè)公共IP地址安裝一個(gè)網(wǎng)絡(luò)接口，并為每個(gè)DHCP配置一個(gè)。 將所有接口插入防火墻與調(diào)制解調(diào)器或路由器之間的交換機(jī)。 由于防火墻將有多個(gè)接口共享同一個(gè)廣播域，因此在系統(tǒng)>高級(jí)設(shè)置，網(wǎng)絡(luò)設(shè)置頁(yè)面選擇“抑制ARP報(bào)文”，可以消除系統(tǒng)日志中的ARP告警，這種配置方式是正常的。

以這種方式分配的多個(gè)公有IP地址的唯一用途是用于端口轉(zhuǎn)發(fā)。 端口轉(zhuǎn)發(fā)可以在每個(gè)WAN接口上使用，由ISP DHCP服務(wù)器使用分配給該接口的IP地址。 出站NAT到OPT WAN將不起作用，因?yàn)槊總€(gè)WAN必須具有唯一的網(wǎng)關(guān)IP地址才能將流量正確地引導(dǎo)出該WAN。 這將在多個(gè)WAN連接中進(jìn)一步討論。

虛擬IP地址

pfSense允許通過(guò)虛擬IP（VIP）將多個(gè)IP地址與NAT或本地服務(wù)結(jié)合使用。

在pfSense中有四種類型的虛擬IP地址：IP別名，CARP，代理ARP和其他。 每個(gè)在不同的情況下都很有用。 在大多數(shù)情況下，pfSense將需要回答對(duì)VIP的ARP請(qǐng)求，這意味著必須使用IP別名，代理ARP或CARP。 在不需要ARP的情況下，例如當(dāng)服務(wù)提供商將其他公共IP地址路由到防火墻上的WAN IP地址時(shí)，請(qǐng)使用其他類型的VIP。

無(wú)論防火墻規(guī)則配置如何，pfSense都不會(huì)響應(yīng)代理ARP和其他類型VIP的ping。 使用代理ARP和其他VIP，NAT必須存在于防火墻上，將流量轉(zhuǎn)發(fā)到內(nèi)部主機(jī)才能運(yùn)行。 

IP 別名

IP別名與接口上的任何其他IP地址一樣工作，例如實(shí)際的接口IP地址。他們將響應(yīng)第2層（ARP），并可以用作防火墻上服務(wù)的綁定地址。它們也可以用來(lái)處理同一接口上的多個(gè)子網(wǎng)。 pfSense將響應(yīng)IP別名上的ping，防火墻上綁定到所有接口的服務(wù)也將響應(yīng)IP別名VIP，除非使用VIP將這些端口轉(zhuǎn)發(fā)到其他設(shè)備（例如1：1 NAT）。

IP別名VIP可以使用本地主機(jī)作為其接口，使用路由地址塊中的IP地址綁定服務(wù)，而無(wú)需專門將IP地址分配給接口。這對(duì)HA和CARP場(chǎng)景是非常有用的，這樣當(dāng)子網(wǎng)只存在于防火墻內(nèi)時(shí)（例如NAT或防火墻），IP地址不需要由CARP設(shè)置消耗（每個(gè)節(jié)點(diǎn)一個(gè)IP，其余則為CARP VIP）諸如×××之類的服務(wù)）。

IP別名本身不會(huì)同步到XMLRPC配置同步對(duì)等體，因?yàn)檫@會(huì)導(dǎo)致IP地址沖突。 IP 別名 VIP使用CARP VIP“接口”作為例外。那些不會(huì)導(dǎo)致沖突，所以他們會(huì)同步。另一個(gè)例外是綁定到本地主機(jī)的IP別名VIP作為其接口。因?yàn)檫@些在防火墻本身以外是不活躍的，所以不會(huì)有沖突的機(jī)會(huì)，所以它們也會(huì)同步。

代理ARP

代理ARP VIP功能嚴(yán)格在第2層，為指定的IP地址或IP地址的CIDR范圍提供ARP應(yīng)答。 這允許pfSense接受針對(duì)共享子網(wǎng)內(nèi)這些地址的流量。 例如，pfSense可以根據(jù)其NAT配置將流量發(fā)送到WAN子網(wǎng)內(nèi)的其他地址。 地址或地址范圍未分配給pfSense上的任何接口，因?yàn)樗鼈儾恍枰?這意味著pfSense本身沒(méi)有任何服務(wù)可以響應(yīng)這些IP地址。

代理ARP VIP不會(huì)同步到XML-RPC配置同步對(duì)等點(diǎn)，因?yàn)檫@樣做會(huì)導(dǎo)致IP地址沖突。

CARP

CARP VIP主要用于利用CARP的高可用性冗余部署。 每個(gè)CARP VIP都有自己獨(dú)特的MAC地址，這些MAC地址來(lái)源于他們的VHID，即使在高可用性部署之外，這也是有用的。

參考

CARP VIP也可以用于單個(gè)防火墻。 這通常是在pfSense部署最終轉(zhuǎn)換為HA群集節(jié)點(diǎn)或具有唯一MAC地址的情況下完成的。 在極少數(shù)情況下，供應(yīng)商要求廣域網(wǎng)段上的每個(gè)唯一IP地址具有不同的MAC地址，而CARP VIP則提供這些地址。

其他

其他類型的VIP定義了額外的IP地址，以便在ARP請(qǐng)求IP地址不需要時(shí)使用。 添加其他類型VIP的唯一功能是使該地址在NAT配置下拉選擇器中可用。 當(dāng)防火墻具有路由到其WAN IP地址，IP別名或CARP VIP的公共IP模塊時(shí)，這很方便。

基于時(shí)間的規(guī)則

基于時(shí)間的規(guī)則允許防火墻規(guī)則在指定的日期和/或時(shí)間范圍內(nèi)激活。 基于時(shí)間的規(guī)則與任何其他規(guī)則的功能相同，除非它們?cè)谟?jì)劃時(shí)間以外的規(guī)則集中不存在。

基于時(shí)間的規(guī)則邏輯

在處理基于時(shí)間的規(guī)則時(shí)，計(jì)劃會(huì)確定何時(shí)應(yīng)用防火墻規(guī)則中指定的操作。 如果當(dāng)前時(shí)間或日期未被計(jì)劃覆蓋，則防火墻的行為就好像規(guī)則不存在一樣。 例如，如果在其下面存在單獨(dú)的阻止規(guī)則，則在星期六通過(guò)流量的規(guī)則將僅在其他日期阻止。 規(guī)則從上到下進(jìn)行處理，與其他防火墻規(guī)則相同。 使用第一個(gè)匹配項(xiàng)，一旦找到匹配項(xiàng)，如果規(guī)則在計(jì)劃中，則執(zhí)行該操作，并且不執(zhí)行其他規(guī)則。

提示

請(qǐng)記住，在使用時(shí)間表時(shí)，規(guī)則在預(yù)定時(shí)間以外無(wú)效。 由于當(dāng)前時(shí)間不在預(yù)定時(shí)間內(nèi)，因此規(guī)則將不會(huì)顛倒過(guò)來(lái)。 此行為可能會(huì)導(dǎo)致客戶在計(jì)劃中超出定義的時(shí)間范圍之外的意外訪問(wèn)。

為基于時(shí)間的規(guī)則配置時(shí)間表

時(shí)間表必須先定義，然后才能用于防火墻規(guī)則。 時(shí)間表在防火墻>時(shí)間表下定義，每個(gè)時(shí)間表可以包含多個(gè)時(shí)間范圍。 在下面的例子中，一個(gè)公司想要在工作時(shí)間拒絕對(duì)HTTP的訪問(wèn)，其他時(shí)間則可以正常訪問(wèn)網(wǎng)絡(luò)。

定義時(shí)間表

添加時(shí)間表:

• 導(dǎo)航到防火墻 >時(shí)間計(jì)劃

• 單擊 調(diào)出時(shí)間表編輯頁(yè)面，如下圖添加時(shí)間范圍。

• 輸入一個(gè)時(shí)間表名稱。 這是出現(xiàn)在選擇列表中用于防火墻規(guī)則的名稱。 就像別名一樣，這個(gè)名字只能包含字母和數(shù)字，不能包含空格。 例如：BusinessHours

  輸入此時(shí)間表的說(shuō)明，例如  Normal Business Hours

• 定義一個(gè)或多個(gè)時(shí)間范圍:

• 通過(guò)選擇特定月份和日期來(lái)設(shè)置月份，或者通過(guò)單擊每周重復(fù)計(jì)劃的星期幾標(biāo)題來(lái)設(shè)置月份。

• 選擇一個(gè)開(kāi)始時(shí)間和停止時(shí)間，控制在選定日期內(nèi)該規(guī)則處于活動(dòng)狀態(tài)。 時(shí)間不能在任何一天過(guò)午夜。 一整天是0點(diǎn)到23點(diǎn)59分。

• 為此特定范圍輸入可選的時(shí)間范圍說(shuō)明，例如 Work Week

• 單擊  添加時(shí)間以將選項(xiàng)添加為范圍

• 重復(fù)月份，時(shí)間,   添加另外的時(shí)間范圍

• 單擊保存

時(shí)間安排可以適用于特定日期，例如2016年9月2日，或周一至周三的某幾天。 要選擇下一年的任何一天，請(qǐng)從下拉列表中選擇月份，然后點(diǎn)擊日歷上的特定日期或日期編號(hào)。 要選擇星期幾，請(qǐng)?jiān)诹袠?biāo)題中單擊其名稱。

對(duì)于這個(gè)例子，點(diǎn)擊星期一，星期二，星期三，星期四和星期五。 這將使計(jì)劃在任何周一到周五都有效，無(wú)論月份如何。 現(xiàn)在選擇時(shí)間表為24小時(shí)制。 這個(gè)例子的業(yè)務(wù)時(shí)間是9點(diǎn)到17點(diǎn)（下午5點(diǎn)）。 所有時(shí)間都以當(dāng)?shù)貢r(shí)區(qū)為準(zhǔn)。

添加一個(gè)時(shí)間范圍

一旦定義了時(shí)間范圍，它將出現(xiàn)在時(shí)間表編輯頁(yè)面底部的列表中，如下圖所示。

添加時(shí)間范圍

為了擴(kuò)大這個(gè)設(shè)置，星期六可能會(huì)有半天的時(shí)間來(lái)定義，或者商店周一晚些時(shí)候開(kāi)放。 在這種情況下，請(qǐng)為相同的天數(shù)定義一個(gè)時(shí)間范圍，然后為每天的另一個(gè)范圍定義不同的時(shí)間范圍。 這個(gè)時(shí)間范圍的集合將是完整的時(shí)間表。

一旦時(shí)間表?xiàng)l目被保存，瀏覽器將返回到時(shí)間計(jì)劃列表，如下圖所示。 此時(shí)間表現(xiàn)在可用于防火墻規(guī)則。

添加后的時(shí)間計(jì)劃列表

在防火墻規(guī)則中使用時(shí)間表

要使用此時(shí)間表創(chuàng)建防火墻規(guī)則，請(qǐng)?jiān)谒璧慕涌谏蟿?chuàng)建新規(guī)則。對(duì)于此示例，添加一個(gè)規(guī)則，以拒絕局域網(wǎng)接口上的TCP通信從LAN子網(wǎng)到HTTP端口上的任何目標(biāo)。 在規(guī)則的高級(jí)選項(xiàng)中，找到“時(shí)間計(jì)劃”設(shè)置，然后選擇“BusinessHours”計(jì)劃，如圖選擇防火墻規(guī)則的計(jì)劃。

在防火墻規(guī)則中使用時(shí)間表

保存規(guī)則后，日程安排將顯示在防火墻規(guī)則列表中，同時(shí)顯示日程安排的活動(dòng)狀態(tài)。 如下圖所示，這是一個(gè)拒絕規(guī)則，調(diào)度列指示規(guī)則當(dāng)前處于活動(dòng)阻止?fàn)顟B(tài)，因?yàn)樗谂哦ǚ秶鷥?nèi)的某個(gè)時(shí)間正在被查看。 如果鼠標(biāo)光標(biāo)懸停在日程安排狀態(tài)指示器上，則防火墻會(huì)顯示一個(gè)工具提示，顯示當(dāng)前規(guī)則將如何運(yùn)行。 由于這是在BusinessHours時(shí)間表中定義的時(shí)間內(nèi)查看的，因此將會(huì)顯示“匹配此規(guī)則的流量正在被拒絕”。 如果在這個(gè)規(guī)則之后有一個(gè)通行規(guī)則將匹配從LAN網(wǎng)絡(luò)的端口80上的通信量，那么它將被允許在規(guī)定的時(shí)間之外。

防火墻規(guī)則列表與時(shí)間表

現(xiàn)在規(guī)則已經(jīng)定義，在計(jì)劃時(shí)間的內(nèi)部和外部進(jìn)行測(cè)試，以確保所需的管理行為已經(jīng)生效。

提示

默認(rèn)情況下，當(dāng)時(shí)間表到期時(shí)，狀態(tài)將被清除，以進(jìn)行預(yù)定規(guī)則允許的活動(dòng)連接。 這將關(guān)閉規(guī)則允許的任何人在活動(dòng)時(shí)的訪問(wèn)權(quán)限。 要使這些連接保持打開(kāi)狀態(tài)，請(qǐng)選中“系統(tǒng)”>“高級(jí)設(shè)置”>"附帶組件"下的“當(dāng)時(shí)間計(jì)劃表到期時(shí)不要終止連接”。

查看防火墻日志

防火墻為配置為記錄的每個(gè)規(guī)則以及默認(rèn)拒絕規(guī)則創(chuàng)建日志條目。 有幾種方法可以查看這些日志條目，每個(gè)日志條目具有不同級(jí)別的細(xì)節(jié)。 沒(méi)有“最佳”方法，因?yàn)樗Q于防火墻管理員的偏好和技能水平，盡管使用GUI是最簡(jiǎn)單的方法。

提示

默認(rèn)拒絕規(guī)則和其他內(nèi)部規(guī)則的記錄行為可以使用系統(tǒng)狀態(tài)>系統(tǒng)日志下的設(shè)置標(biāo)簽進(jìn)行控制。 

像pfSense中的其他日志一樣，防火墻日志只使用二進(jìn)制循環(huán)日志格式clog保留一定數(shù)量的記錄。 如果組織的需求需要長(zhǎng)時(shí)間記錄防火墻日志，請(qǐng)參閱系統(tǒng)日志章節(jié)以獲取有關(guān)將這些日志條目復(fù)制到系統(tǒng)日志服務(wù)器的信息。

在WebGUI中查看

防火墻日志在WebGUI的“系統(tǒng)狀態(tài)”>“系統(tǒng)日志”“防火墻”選項(xiàng)卡上顯示。日志可以被看作是一個(gè)解析日志，這更容易閱讀，或作為一個(gè)原始日志，其中包含更多的細(xì)節(jié)。 還有一個(gè)設(shè)置可以正向或反向顯示這些條目。 如果顯示的日志條目的順序未知，請(qǐng)檢查第一行和最后一行的時(shí)間戳，或者檢查更改日志設(shè)置以獲取有關(guān)如何查看和更改這些設(shè)置的信息。

解析后的WebGUI日志分為6個(gè)列：Action，Time，Interface，Source，Destination和Protocol。

從WebGUI中查看日志條目

Action圖標(biāo)是一個(gè)鏈接，它將查找并顯示導(dǎo)致日志條目的規(guī)則。 通常情況下，這是“默認(rèn)拒絕規(guī)則”，但是在排除規(guī)則問(wèn)題時(shí)，可以幫助縮小嫌疑人的范圍。

提示

在“系統(tǒng)狀態(tài)”>“系統(tǒng)日志”下的“設(shè)置”選項(xiàng)卡上，可以將此規(guī)則說(shuō)明配置為直接顯示在日志條目中。 防火墻可以在單獨(dú)的列或單獨(dú)的行中顯示說(shuō)明。 

源和目標(biāo)IP地址旁邊是。 點(diǎn)擊此圖標(biāo)后，防火墻將對(duì)IP地址執(zhí)行DNS查找。 如果地址有一個(gè)有效的主機(jī)名，它將顯示在頁(yè)面上該地址的所有實(shí)例的IP地址下。

TCP數(shù)據(jù)包的日志條目將附加信息附加到顯示數(shù)據(jù)包中存在TCP標(biāo)志的協(xié)議字段。 這些標(biāo)志表示各種連接狀態(tài)或數(shù)據(jù)包屬性。 常見(jiàn)的標(biāo)志包括：

從日志視圖添加防火墻規(guī)則（簡(jiǎn)單規(guī)則）

簡(jiǎn)單規(guī)則使得從防火墻日志視圖快速添加防火墻規(guī)則變得簡(jiǎn)單。

源IP地址旁邊的圖標(biāo)會(huì)在該接口上添加該IP地址的阻止規(guī)則。 更確切地說(shuō)，它會(huì)創(chuàng)建或添加一個(gè)包含從Easy Rule添加的IP地址的別名，并在選定的接口上阻止它們。

目標(biāo)IP地址旁邊的圖標(biāo)與阻止操作類似，但會(huì)添加更精確的傳遞規(guī)則。 此通過(guò)規(guī)則允許接口上的流量，但它必須匹配相同的協(xié)議，源IP地址，目標(biāo)IP地址和目標(biāo)端口。

在shell中使用easyrule命令添加防火墻簡(jiǎn)單規(guī)則

easyrule可用于從shell提示符添加防火墻規(guī)則。 當(dāng)easyrule命令不帶參數(shù)運(yùn)行時(shí)，會(huì)打印一條用法消息來(lái)解釋其語(yǔ)法。

它使用別名或指定協(xié)議，源和目標(biāo)的精確傳遞規(guī)則添加阻止規(guī)則的方式與GUI版本類似。 例如，要添加阻止規(guī)則，請(qǐng)運(yùn)行：

# easyrule block wan 1.2.3.4

通過(guò)規(guī)則必須更加精確：

# easyrule pass wan tcp 1.2.3.4 192.168.0.4 80

從控制臺(tái)菜單查看

可以使用控制臺(tái)菜單中的選項(xiàng)10從filter.log文件實(shí)時(shí)查看和跟蹤原始日志。 一個(gè)簡(jiǎn)單的例子就是如上圖所示的日志條目：從WebGUI中查看的示例日志條目：

Aug  3 08:59:02 master filterlog: 5,16777216,,1000000103,igb1,match,block,in,4,0x10,,128,0,0,none,17,udp,328,198.51.100.1,198.51.100.2,67,68,308

這顯示規(guī)則ID 1000000103被匹配，導(dǎo)致對(duì)igb1接口的阻止動(dòng)作。 源和目標(biāo)IP地址顯示在日志條目末尾附近，其后是源和目標(biāo)端口。 來(lái)自其他協(xié)議的數(shù)據(jù)包可能會(huì)顯示更多的數(shù)據(jù)。

從Shell查看

從SSH或從控制臺(tái)使用shell時(shí)，有許多選項(xiàng)可用于查看過(guò)濾器日志。

直接查看clog文件的內(nèi)容時(shí)，日志條目可能相當(dāng)復(fù)雜且冗長(zhǎng)。

查看日志文件的當(dāng)前內(nèi)容

過(guò)濾日志包含在二進(jìn)制循環(huán)日志中，因此傳統(tǒng)工具（如cat，grep等）不能直接在文件上使用。 日志必須與阻止程序一起讀回，然后可以通過(guò)另一個(gè)程序傳送。

要查看日志文件的全部?jī)?nèi)容，請(qǐng)運(yùn)行以下命令：

# clog /var/log/filter.log

要限制日志輸出到最后幾行，通過(guò)尾部管道:

#  clog /var/log/filter.log | tail

在實(shí)時(shí)日志輸出之后

要“跟隨”日志文件的輸出，使用-f參數(shù)來(lái)阻止。 對(duì)于在UNIX系統(tǒng)上用于正常日志文件的用戶，這相當(dāng)于tail -f：

# clog -f /var/log/filter.log

這將輸出日志文件的全部?jī)?nèi)容，但不會(huì)在之后退出。 它將等待更多的條目，并在發(fā)生時(shí)進(jìn)行打印。 這個(gè)輸出也可以根據(jù)需要傳送給其他命令。

在shell中查看解析的日志輸出

有一個(gè)用PHP編寫(xiě)的簡(jiǎn)單日志解析器，可以從shell中使用它來(lái)生成減少的輸出，而不是完整的原始日志。 要查看當(dāng)前日志的解析內(nèi)容，請(qǐng)運(yùn)行：

# clog /var/log/filter.log | filterparser.php

日志條目每行輸出一個(gè)：

Aug  3 08:59:02 block igb1 UDP 198.51.100.1:67 198.51.100.2:68

找到導(dǎo)致日志條目的規(guī)則

查看其中一種原始日志格式時(shí)，顯示條目的ID號(hào)碼。 這個(gè)規(guī)則號(hào)可以用來(lái)找到引起匹配的規(guī)則。 在以下示例中，標(biāo)識(shí)為1000000103的規(guī)則是：

# pfctl -vvsr | grep 1000000103
@5(1000000103) block drop in log inet all label "Default deny rule IPv4"

如上面的輸出所示，這是IPv4的默認(rèn)拒絕規(guī)則。

為什么會(huì)阻止合法連接的日志條目？

有時(shí)日志條目存在，雖然標(biāo)有“默認(rèn)拒絕”規(guī)則，但看起來(lái)好像它們屬于合法連接。最常見(jiàn)的例子是看到一個(gè)涉及Web服務(wù)器的連接被阻止。

當(dāng)連接的狀態(tài)被移除或者在可接受的窗口時(shí)間之外收到ACK時(shí)，通常關(guān)閉連接的TCP FIN數(shù)據(jù)包到達(dá)時(shí)，可能會(huì)發(fā)生這種情況。發(fā)生這種情況的原因是，有時(shí)數(shù)據(jù)包將丟失或延遲，因?yàn)榉阑饓σ殃P(guān)閉連接，所以重新傳輸將被阻止。

這些日志條目是無(wú)害的，并不表示實(shí)際阻止的連接。所有有狀態(tài)的防火墻都這樣做，盡管有些日志消息不會(huì)為被阻止的流量生成日志消息，即使所有被阻止的流量都被記錄了。

即使所有防火墻接口上都存在“全部允許”樣式規(guī)則，此行為也會(huì)出現(xiàn)，因?yàn)門CP連接的規(guī)則設(shè)置為“全部允許”僅允許TCP SYN數(shù)據(jù)包創(chuàng)建狀態(tài)。所有其他的TCP流量將是狀態(tài)表中現(xiàn)有狀態(tài)的一部分，或者是具有欺騙性或其他無(wú)效的TCP標(biāo)志的數(shù)據(jù)包。

當(dāng)網(wǎng)絡(luò)上存在非對(duì)稱路由時(shí)，可以指出問(wèn)題的一個(gè)特殊變化。在這些情況下，日志條目將顯示TCP：SA（SYN + ACK）數(shù)據(jù)包被阻止，而不是FIN或RST。

如何阻止訪問(wèn)網(wǎng)站？

我們經(jīng)常被問(wèn)到的問(wèn)題是“如何阻止對(duì)網(wǎng)站的訪問(wèn)？”，或者更準(zhǔn)確地說(shuō)：“如何阻止訪問(wèn)Facebook？”并不總是一個(gè)容易回答的問(wèn)題。 有幾種可能的策略來(lái)完成這個(gè)目標(biāo)，有些在本書(shū)的其他地方討論過(guò)。

使用DNS

如果內(nèi)置的DNS解析器或轉(zhuǎn)發(fā)器處于活動(dòng)狀態(tài)，則可以在該處輸入覆蓋，以將不需要的網(wǎng)站解析為無(wú)效的IP地址，如127.0.0.1。

使用防火墻規(guī)則

如果網(wǎng)站很少更改IP地址，則可以使用包含其IP地址的別名來(lái)阻止訪問(wèn)，然后在防火墻規(guī)則中使用此別名。對(duì)于返回低TTL的站點(diǎn)，這不是一個(gè)可行的解決方案，并且將負(fù)載分散到許多服務(wù)器或數(shù)據(jù)中心，例如Google和類似的非常大的站點(diǎn)。大多數(shù)中小型網(wǎng)站可以使用這種方法有效阻止，因?yàn)樗鼈兒苌俑腎P地址。

主機(jī)名也可以在網(wǎng)絡(luò)別名內(nèi)。主機(jī)名將被定期解析并根據(jù)需要進(jìn)行更新。這比手動(dòng)查找IP地址更有效，但如果站點(diǎn)以快速變化的方式返回DNS記錄，或者在每個(gè)查詢的服務(wù)器池中出現(xiàn)隨機(jī)化結(jié)果（這對(duì)于大型站點(diǎn)來(lái)說(shuō)都是常見(jiàn)的），那么這種方法仍然不足。

另一個(gè)選擇是找到所有網(wǎng)站的IP子網(wǎng)分配，為這些網(wǎng)絡(luò)創(chuàng)建一個(gè)別名，并阻止到這些目的地的流量。這對(duì)傳播大量IP空間的Facebook等網(wǎng)站特別有用，但被限制在幾個(gè)網(wǎng)絡(luò)塊中。使用ARIN等區(qū)域注冊(cè)網(wǎng)站可以幫助追蹤這些網(wǎng)絡(luò)。例如，在ARIN所覆蓋的地區(qū)，F(xiàn)acebook所使用的所有網(wǎng)絡(luò)都可以在http://whois.arin.net/rest/org/THEFA-3.html的“相關(guān)網(wǎng)絡(luò)”下找到。公司可能在不同地區(qū)有其他地址，所以請(qǐng)檢查其他地區(qū)網(wǎng)站，如RIPE，APNIC等。

作為手動(dòng)查找IP塊的替代方法，通過(guò)在其中一個(gè)IP地址上執(zhí)行whois查找來(lái)找到目標(biāo)公司的BGP自治系統(tǒng)（AS）編號(hào)，然后使用它查找所有的分配。例如，F(xiàn)acebook的AS號(hào)碼是AS32934:

# whois -h whois.radb.net -- '-i origin AS32934' | awk '/^route:/ {print $2;}' | sort | uniq

將該命令的結(jié)果復(fù)制到一個(gè)新的別名中，它將覆蓋當(dāng)前分配的所有網(wǎng)絡(luò)。 定期檢查結(jié)果是否有更新。

pfBlocker軟件包提供了在這方面很有用的機(jī)制，如DNSBL，地理IP地址阻止以及AS查找過(guò)程的自動(dòng)化。

使用代理

如果網(wǎng)絡(luò)流量通過(guò)代理服務(wù)器流動(dòng)，那么該代理服務(wù)器很可能被用來(lái)阻止訪問(wèn)這些網(wǎng)站。 例如，Squid有一個(gè)名為SquidGuard的插件，允許通過(guò)URL或其他類似的標(biāo)準(zhǔn)阻止網(wǎng)站。 

防止繞行限制

使用上述任何一種方法，都有很多方法來(lái)解決定義的塊。 最容易和最普遍的是使用任何數(shù)量的代理網(wǎng)站。 查找和阻止所有這些單獨(dú)和保持最新的名單是不可能的。 確保這些網(wǎng)站無(wú)法訪問(wèn)的最佳方法是使用能夠按類別阻止的外部代理或內(nèi)容過(guò)濾。

為了進(jìn)一步保持控制，請(qǐng)使用限制性出口規(guī)則集，并僅允許將流量發(fā)送到特定的服務(wù)或主機(jī)。 例如，只允許DNS訪問(wèn)防火墻或?qū)ｉT用于LAN客戶端的DNS服務(wù)器。 此外，如果網(wǎng)絡(luò)上正在使用代理，請(qǐng)確保不允許通過(guò)防火墻直接訪問(wèn)HTTP和HTTPS，并且只允許代理服務(wù)器或來(lái)自代理服務(wù)器的通信。

防火墻故障排查

本節(jié)提供了有關(guān)解決防火墻規(guī)則問(wèn)題的指導(dǎo)。

檢查防火墻日志

排除可疑阻止通信的第一步是檢查防火墻日志（系統(tǒng)狀態(tài)>系統(tǒng)日志“防火墻”選項(xiàng)卡）。

默認(rèn)情況下，pfSense將記錄所有丟棄的流量，并不會(huì)記錄任何通過(guò)的流量。 除非不使用日志記錄的規(guī)則集中存在阻止或拒絕規(guī)則，否則所有阻止的流量都將被記錄。 如果防火墻日志中沒(méi)有與所討論的流量匹配的日志條目為紅色，則pfSense不太可能丟失流量。

檢查狀態(tài)表

嘗試連接并立即在系統(tǒng)診斷>狀態(tài)中檢查狀態(tài)表，并在源或目標(biāo)上過(guò)濾以查看是否存在狀態(tài)。 如果存在狀態(tài)表項(xiàng)，則防火墻已通過(guò)流量。

如果所討論的規(guī)則是通過(guò)規(guī)則，則狀態(tài)表?xiàng)l目表示防火墻已經(jīng)通過(guò)了通信，問(wèn)題可能在其他地方，而不在防火墻上。

如果該規(guī)則是阻止規(guī)則并且存在狀態(tài)表項(xiàng)，則打開(kāi)的連接將不會(huì)被切斷。 要從新的阻止規(guī)則中看到即時(shí)的效果，必須重置狀態(tài)。 

查看規(guī)則參數(shù)

編輯有問(wèn)題的規(guī)則并查看每個(gè)字段的參數(shù)。 對(duì)于TCP和UDP通信，請(qǐng)記住源端口幾乎不會(huì)與目標(biāo)端口相同，通常應(yīng)該設(shè)置為any。

如果默認(rèn)的拒絕規(guī)則是阻止，制定一個(gè)新的通行證規(guī)則，將匹配允許的流量。 如果流量仍然被阻止，則在規(guī)則配置中可能還有一些需要額外處理的特殊方面的數(shù)據(jù)包。 例如，某些多點(diǎn)傳送流量可能需要啟用“允許IP選項(xiàng)”，或者日志條目可能是由于非對(duì)稱路由導(dǎo)致的，或者數(shù)據(jù)包可能具有無(wú)效的參數(shù)組合，例如內(nèi)部設(shè)置了“Do not Fragment”的分段數(shù)據(jù)包。

審查規(guī)則排序

請(qǐng)記住，對(duì)于接口選項(xiàng)卡規(guī)則，第一個(gè)匹配的規(guī)則會(huì)勝出 - 不會(huì)對(duì)更多規(guī)則進(jìn)行評(píng)估。

規(guī)則和接口

確保規(guī)則在正確的接口上按預(yù)期運(yùn)行。 流量只能通過(guò)在啟動(dòng)流量的接口上配置的規(guī)則集進(jìn)行過(guò)濾。 從局域網(wǎng)上的系統(tǒng)發(fā)往任何其他接口上的系統(tǒng)的流量?jī)H通過(guò)LAN規(guī)則進(jìn)行過(guò)濾。 所有其他接口也是如此。

啟用規(guī)則日志

確定哪個(gè)規(guī)則與所討論的流量相匹配。 規(guī)則列表中的命中計(jì)數(shù)器可以在一定程度上幫助解決這個(gè)問(wèn)題。 通過(guò)啟用通過(guò)規(guī)則登錄，防火墻日志將顯示一個(gè)單獨(dú)的條目，以確定哪個(gè)規(guī)則通過(guò)連接。

使用數(shù)據(jù)包捕獲進(jìn)行故障排除

數(shù)據(jù)包捕獲對(duì)于故障排除和調(diào)試流量問(wèn)題是非常寶貴的。 通過(guò)數(shù)據(jù)包捕獲，很容易判斷流量是否到達(dá)外部接口或離開(kāi)內(nèi)部接口以及許多其他用途。 

新規(guī)則不適用

如果新的規(guī)則似乎不適用，有幾個(gè)可能的解釋。

首先，如果規(guī)則是阻止規(guī)則，并且有一個(gè)狀態(tài)表項(xiàng)，打開(kāi)的連接將不會(huì)被切斷。

其次，規(guī)則集可能無(wú)法正確重新加載。 檢查系統(tǒng)狀態(tài)>過(guò)濾器重新加載以查看是否顯示錯(cuò)誤。 點(diǎn)擊頁(yè)面上的重置過(guò)濾按鈕來(lái)強(qiáng)制重新加載一個(gè)新的過(guò)濾器。 如果顯示錯(cuò)誤，請(qǐng)根據(jù)需要解決問(wèn)題。

如果上述原因都不能解決問(wèn)題，則可能是規(guī)則不匹配，所以請(qǐng)重新檢查流量和規(guī)則。

其他原因

防火墻規(guī)則，NAT，路由和網(wǎng)絡(luò)設(shè)計(jì)中還有其他一些缺陷可能會(huì)干擾連接。

上述內(nèi)容就是pfSense book配置防火墻的規(guī)則是什么，你們學(xué)到知識(shí)或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備，歡迎關(guān)注億速云行業(yè)資訊頻道。