防火墙是一款状态防火墙,只需要在流量的入口设置规则,应答流量如果匹配了状态表,就会放行无须再去匹配相应的规则。接口安全规则末尾有一条默认拒绝的规则,如果入站流量没有匹配到前面的规则,则默认规则会拒绝该流量。
案例拓扑
系统分配网卡完成后,网口e1 有一条访问防火墙配置界面的允许规则。
网口e2、e3规则为空
以e3为例 如图所示
使用pc3 ping pfsense e3网口,显示超时
查看防火墙日志,显示pc3的ping包被缺省的安全规则拒绝
实验1 设置安全规则,允许e3接口被192.168.10.0/24网段的客户端ping通
点击save 保存
点击 Apply Changes 使规则生效
再次测试
查看防火墙状态表
实验2 pc1 telnet pc2 的80端口
pc2 启用80端口
pc1 telnet pc2 80端口
防火墙日志显示该访问被拒绝
配置安全规则,并启用记录访问日志
由于pc1 访问pc2的数据包是通过e3网口入站,所以需要在LAN口设置安全规则
测试
查看防火墙日志
查看防火墙状态表
总结,pfsense 属于状态化防火墙,只需要在流量的入口配置安全规则,匹配成功后会形成状态表,这样应答流量只需要匹配状态表即可。与其他防火墙类似,最末尾的默认安全规则会拒绝所有流量。
© 版权声明
文章版权归作者所有,未经允许请勿转载。如内容涉嫌侵权,请在本页底部进入<联系我们>进行举报投诉!
THE END
暂无评论内容