FreeBSD에서 WAN에서는 포트를 열지만 LAN에서는 열지 않는 방법은 무엇입니까?

Question

LAN 액세스 차단: pf.confLAN 서브넷이 무엇인지 알고 있으면 해당 서브넷의 트래픽을 선택적으로 차단할 수 있습니다. 귀하의 예를 사용하여 :

block in all
pass out all keep state

lan_subnet = "10.0.0.0/24"
block in quick proto tcp from $lan_subnet to any port 22
pass in proto tcp from any to any port 22

WAN 속도를 제한하지만 LAN은 제한하지 않음: 예를 들어, 포트 80 및 8080에서 인터넷의 트래픽 속도를 제한하지만 이러한 포트의 LAN 속도는 제한하지 않으려고 한다고 가정해 보겠습니다. 이 코드 조각은 LAN에서의 액세스를 허용하면서 악의적인 WAN 호스트를 추적하고 차단합니다.

table <http_abuse> persist
http_ports = "{ 80 8080 }"

pass in quick proto tcp from $lan_subnet to any port $http_ports
block in quick proto tcp from <http_abuse> to any port $http_ports

pass in proto tcp from any to any port $http_ports \
    flags S/SA keep state \
    (source-track rule, max-src-conn 50, max-src-conn-rate 25/2, \
     overload <http_abuse> flush)

보다 유연한 속도 제한 및 차단을 위해 다음과 같은 도구를 사용할 수 있습니다.sshguard, 에서 쉽게 구할 수 있습니다.포트 및 패키지.

Answer 1

LAN 액세스 차단: pf.confLAN 서브넷이 무엇인지 알고 있으면 해당 서브넷의 트래픽을 선택적으로 차단할 수 있습니다. 귀하의 예를 사용하여 :

block in all
pass out all keep state

lan_subnet = "10.0.0.0/24"
block in quick proto tcp from $lan_subnet to any port 22
pass in proto tcp from any to any port 22

WAN 속도를 제한하지만 LAN은 제한하지 않음: 예를 들어, 포트 80 및 8080에서 인터넷의 트래픽 속도를 제한하지만 이러한 포트의 LAN 속도는 제한하지 않으려고 한다고 가정해 보겠습니다. 이 코드 조각은 LAN에서의 액세스를 허용하면서 악의적인 WAN 호스트를 추적하고 차단합니다.

table <http_abuse> persist
http_ports = "{ 80 8080 }"

pass in quick proto tcp from $lan_subnet to any port $http_ports
block in quick proto tcp from <http_abuse> to any port $http_ports

pass in proto tcp from any to any port $http_ports \
    flags S/SA keep state \
    (source-track rule, max-src-conn 50, max-src-conn-rate 25/2, \
     overload <http_abuse> flush)

보다 유연한 속도 제한 및 차단을 위해 다음과 같은 도구를 사용할 수 있습니다.sshguard, 에서 쉽게 구할 수 있습니다.포트 및 패키지.

FreeBSD에서 WAN에서는 포트를 열지만 LAN에서는 열지 않는 방법은 무엇입니까?

답변1

관련 정보