PF: Bloquear tudo, mas uma regra de firewall de sub-rede?

2

Estou tentando fazer algo que achei que seria relativamente simples: bloquear todo o tráfego para um servidor de teste, além da sub-rede da minha empresa.

Eu tentei as coisas ao longo destas linhas (111.111.0.0 é o meu espaço reservado para este exemplo), mas apenas o bloco parece funcionar:

block in all
pass in from 111.111.0.0
pass in on en0 from 111.111.0.0
pass in all from 111.111.0.0

Nenhuma dessas linhas parece funcionar (eu sei que algumas delas podem lançar um erro de sintaxe, já que eu estou apenas pegando todas as linhas que eu comentei enquanto testava).

Isso é menos simples do que eu supus? Estou perdendo algo óbvio?

    
por ballofpopculture 09.05.2014 / 15:56

1 resposta

5

é porque ele está especificando um único ip, você precisa escrevê-lo com a sub-rede:

pass in from 111.111.0.0/16

man pf.conf deve listar alguns métodos para definir intervalos e blocos. Uma nota a parte, tenha cuidado para garantir que não haja drop quick de regras acima de seu pass e nenhuma regra abaixo que possa corresponder e bloquear acidentalmente seus pacotes.

    
por 09.05.2014 / 16:02