PF에서 $ext_if, $int_if, $localnet 설정

tag-icon tag-icon networking security freebsd firewall pf
PF에서 $ext_if, $int_if, $localnet 설정

저는 현재 FreeBSD에서 PF의 기본에 익숙해지려고 노력하고 있습니다.

가장 기본적인 예를 설정하려고합니다.PF 장FreeBSD 매뉴얼에는 간단한 무차별 대입 규칙이 나와 있습니다:

block quick from <bruteforce>
pass inet proto tcp from any to $localnet port $tcp_services \
    flags S/SA keep state \
    (max-src-conn 100, max-src-conn-rate 15/5, \
    overload <bruteforce> flush global)

어떤 차이가 있습니까? 다음과 같이 설정하십시오.

block quick from <bruteforce>
pass quick proto tcp to port $tcp_services \
    flags S/SA keep state \
    (max-src-conn 100, max-src-conn-rate 15/5, \
    overload <bruteforce> flush global)

이 작업을 수행하는 동안 설정을 수행하겠습니다. $localnet이 경우에는 다음과 같이 수행됩니다.

ext_if = "xl0"  # macro for external interface - use tun0 for PPPoE
int_if = "xl1"  # macro for internal interface
localnet = $int_if:network

이는 외부 인터페이스와 내부 인터페이스를 구별하는 방법에 대한 기본적인 이해가 부족하다는 것을 보여줍니다.

내 경우에는 을 실행하면 and를 ifconfig얻습니다 vtnet0.lo0pflog0

그래서 예시처럼 2개의 인터페이스가 없고, 제 시스템은 인터넷과 로컬 네트워크 사이에 방화벽으로 설정되어 있지 않습니다.

인터페이스가 하나만 있는 경우 이것이 외부 인터페이스입니까, 아니면 내부 인터페이스입니까? 내 경우에는 문서의 예제를 어떻게 사용합니까?

답변1

NIC가 하나만 있는 경우 PF를 "호스트 방화벽"으로 사용합니다. 내부 네트워크가 없습니다. NAT, 전달 등이 필요하지 않습니다. 들어오는 서비스와 유효한 나가는 트래픽을 허용하세요.

관련 정보