我正在嘗試做一些我認為相對簡單的事情:阻止所有到測試伺服器的流量,除了我公司的子網路。
我已經嘗試過這些方法(111.111.0.0 是本範例的佔位符),但似乎只有該區塊有效:
block in all
pass in from 111.111.0.0
pass in on en0 from 111.111.0.0
pass in all from 111.111.0.0
這些傳遞的行似乎都不起作用(我知道其中一些可能會引發語法錯誤,因為我只是抓住了測試時註解掉的所有行)。
這沒有我想像的那麼簡單嗎?我錯過了一些明顯的東西嗎?
答案1
因為它指定的是單一ip,所以需要將其與子網路一起寫入:
pass in from 111.111.0.0/16
man pf.conf應該列出一些定義範圍和區塊的方法。旁注,注意確保沒有drop quick任何規則多於你的pass,沒有規則以下這可能會意外匹配並阻止您的資料包。
答案2
如果您想檢查代表子網路的 IP 範圍,請使用下列 IP 計算器連結。
例如,如果您的 IP 是111.90.100.200你想要的範圍是111.90.100.1 - 111.90.100.254那你需要這樣寫你的IP111.90.100.0/24或者111.90.100.200/24。
如需了解更多範圍,請使用 IP 計算器的連結。