OPNSense 防火牆計畫規則不起作用

有一個預設規則“從防火牆主機本身放出任何東西”你可以查看漂浮的防火牆規則。

您的規則只是告訴在特定時間間隔允許流量。此外，您已將其配置為“第一場比賽”。防火牆按照您的規則工作如下：

1. 檢查您套用規則的條件（您的情況下的計畫、來源、目的地和網關）
2. 如果滿足條件，則允許流量並停止處理規則
3. 如果不符合條件，則繼續處理規則
4. 最終它將處理“從防火牆主機本身放出任何內容”允許流量

因此，您的防火牆永遠不會阻止流量，只會「再次」允許。

若要解決此問題，請將時間表變更為有 2 個間隔： 00:00 to 21:29和21:46 to 23:59。也將防火牆規則操作變更為block或reject。

這樣就會有一個規則來阻止流量。

因此，我添加一個答案不是為了與 Eduardo 競爭，Eduardo 很好地回答了這個問題，而是為了用正確的格式解釋選項。

因此，正如我們所討論的，帶有時間表的規則僅噹噹前時間在時間表定義的時間內才會啟動。時間表不關心阻止或允許。

另請注意，您有一個預設允許規則，允許所有流量 ( ALLOW From Any To Any on Any Port using Any Protocol at Any Time)。如果您想要變更流量的處理方式，則只能使用封鎖規則來執行此操作，並且它必須列在預設規則之前。任何類型的允許規則都不能改變處理發生的方式，因為一切都是允許的。無論哪個規則處理流量，最終結果都會是相同的。

有兩種方法可以做你想做的事。

這是愛德華多的建議。如果您可以將兩個時間跨度放在一個時間表中，那麼這是一個很好的方法。漂亮又乾淨。

Block From <VMSubnet> To Any on Any Port using Any Protocol at 00:00:00 - 21:29:59 or 21:45:00 - 23:59:59
ALLOW From Any To Any on Any Port using Any Protocol at Any Time

• 如果流量來自非虛擬機器 IP，則允許（預設規則）
• 如果流量在 22:50 來自虛擬機器 IP，則會被封鎖（計畫規則）
• 如果流量在 21:35 來自虛擬機器 IP，則允許（預設規則）

另一種方法是新增一條阻止規則，該規則始終阻止來自虛擬機器的所有流量，以及一條允許規則，在計劃的視窗期間允許該流量。在這種情況下，您的日程安排將是 21:30-21:45。

Allow From <VMSubnet> To Any on Any Port using Any Protocol at 21:30:00 - 21:45:00    
Block From <VMSubnet> To Any on Any Port using Any Protocol at Any Time
ALLOW From Any To Any on Any Port using Any Protocol at Any Time

• 如果流量來自非虛擬機器 IP，則允許（預設規則）
• 如果流量在 21:31 來自虛擬機器 IP，則允許（計劃規則）
• 如果流量在 22:15 來自虛擬機器 IP，則會被封鎖（封鎖規則）

希望這有助於澄清它。