Я пытаюсь сделать то, что, как я думал, будет относительно просто: заблокировать весь трафик на тестовый сервер, за исключением подсети моей компании.
Я пробовал делать что-то подобное (111.111.0.0 — мой заполнитель для этого примера), но, похоже, работает только блок:
block in all
pass in from 111.111.0.0
pass in on en0 from 111.111.0.0
pass in all from 111.111.0.0
Ни одна из этих строк передачи, похоже, не работает (я знаю, что некоторые из них могут выдать синтаксическую ошибку, поскольку я просто беру все строки, которые я закомментировал во время тестирования).
Это не так просто, как я предполагал? Я упускаю что-то очевидное?
решение1
поскольку он указывает один IP-адрес, вам нужно написать его с подсетью:
pass in from 111.111.0.0/16
man pf.confследует перечислить несколько методов определения диапазонов и блоков.Примечание: позаботьтесь о том, чтобы не было drop quickникаких правил.вышеваш pass, и никаких правилнижекоторые могут случайно сопоставить и заблокировать ваши пакеты.
решение2
Если вы хотите проверить диапазон IP-адресов подсети, воспользуйтесь следующей ссылкой на калькулятор IP-адресов.
Например, если ваш IP-адрес111.90.100.200и вы хотите диапазон от111.90.100.1 - 111.90.100.254тогда вам нужно написать свой IP вот так111.90.100.0/24или111.90.100.200/24.
Для получения дополнительных диапазонов воспользуйтесь ссылкой на IP-калькулятор.