48、深入理解PF包过滤：规则、状态与安全防护

深入理解PF包过滤：规则、状态与安全防护

1. 端口范围操作

在进行端口范围设置时，可使用不同的操作符。若要将端口1000和2000包含在范围内，使用包含范围操作符 : ，注意冒号两边不能有空格，示例规则如下：

pass in on egress proto tcp from any to 192.0.2.12 port 1000:2000

若要允许所有小于1000和大于2000的端口流量，使用反向范围操作符 <> ：

pass in on egress proto tcp from any to 192.0.2.12 port 1000 <> 2000

范围操作能让你用很少的规则表达大量端口。

2. 完整规则集示例

以下是一个桌面机器的完整规则集，接口组 egress 连接到公共网络， inside 连接到私有网络：

u set skip on lo
v block
w pass in on egress from egress:network
x pass in on inside from inside:network
y pass in on egress proto tcp from any