Ich versuche etwas zu tun, was ich für relativ einfach hielt: Den gesamten Datenverkehr zu einem Testserver mit Ausnahme des Subnetzes meiner Firma zu blockieren.
Ich habe Dinge in dieser Art ausprobiert (111.111.0.0 ist mein Platzhalter für dieses Beispiel), aber nur der Block scheint zu funktionieren:
block in all
pass in from 111.111.0.0
pass in on en0 from 111.111.0.0
pass in all from 111.111.0.0
Keine dieser Pass-In-Zeilen scheint zu funktionieren (ich weiß, dass einige davon einen Syntaxfehler verursachen könnten, da ich einfach alle Zeilen nehme, die ich beim Testen auskommentiert habe).
Ist das weniger einfach, als ich angenommen habe? Übersehe ich etwas Offensichtliches?
Antwort1
weil es sich um die Angabe einer einzelnen IP handelt, müssen Sie sie mit dem Subnetz schreiben:
pass in from 111.111.0.0/16
man pf.confsollte einige Methoden zum Definieren von Bereichen und Blöcken auflisten.Eine Randbemerkung: Achten Sie darauf, dass es keine drop quickRegeln gibtüberIhre pass, und keine Regelnuntendas könnte versehentlich mit Ihren Paketen übereinstimmen und diese blockieren.
Antwort2
Wenn Sie den IP-Bereich im Namen des Subnetzes überprüfen möchten, verwenden Sie bitte den folgenden Link zum IP-Rechner.
Wenn Ihre IP beispielsweise111.90.100.200und Sie möchten den Bereich von111.90.100.1 - 111.90.100.254dann müssen Sie Ihre IP wie folgt schreiben111.90.100.0/24oder111.90.100.200/24.
Für weitere Bereiche nutzen Sie bitte den Link zum IP-Rechner.