pfsense系列之三防火墙规则

防火墙是一款状态防火墙，只需要在流量的入口设置规则，应答流量如果匹配了状态表，就会放行无须再去匹配相应的规则。接口安全规则末尾有一条默认拒绝的规则，如果入站流量没有匹配到前面的规则，则默认规则会拒绝该流量。

案例拓扑

系统分配网卡完成后，网口e1 有一条访问防火墙配置界面的允许规则。

网口e2、e3规则为空

以e3为例 如图所示

使用pc3 ping pfsense e3网口,显示超时

查看防火墙日志，显示pc3的ping包被缺省的安全规则拒绝

实验1 设置安全规则，允许e3接口被192.168.10.0/24网段的客户端ping通

点击save 保存

点击 Apply Changes 使规则生效

再次测试

查看防火墙状态表

实验2 pc1 telnet pc2 的80端口

pc2 启用80端口

pc1 telnet pc2 80端口

防火墙日志显示该访问被拒绝

配置安全规则，并启用记录访问日志

因为pc1 访问pc2的数据包是通过e3网口入站，所以需要在LAN口设置安全规则

测试

查看防火墙日志

查看防火墙状态表

总结，pfsense 属于状态化防火墙，只需要在流量的入口配置安全规则，匹配成功后会形成状态表，这样应答流量只需要匹配状态表即可。与其他防火墙类似，最末尾的默认安全规则会拒绝所有流量。