15、精准配置网络安全规则:PF 防火墙设置与调试指南

于 2025-12-16 10:41:25 发布
阅读量4 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 掌握PF:构建安全网络 文章标签: PF防火墙 网络安全 规则配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/java5/article/details/156052866

精准配置网络安全规则:PF 防火墙设置与调试指南

1. 基础设置选项

1.1 skip 选项

skip 选项可将特定接口排除在所有 PF 处理之外,效果类似于针对该接口的全通过规则,例如 pass on $int_if 。常见的显式跳过示例是禁用回环接口的过滤,因为在大多数配置中,对回环接口进行过滤并不能增加多少安全性或便利性,可使用以下命令: 

set skip on lo0

默认情况下,skip 未设置,这意味着所有配置的接口都可能参与 PF 处理。在不需要进行过滤的接口上设置 skip,不仅能使规则集稍微简化,还能带来轻微的性能提升。

1.2 state - policy 选项

state - policy 选项指定 PF 如何将数据包与状态表进行匹配,可能的值为 floating 和 if - bound。二者区别在于创建状态表条目后,后续数据包的处理方式不同。
- floating(默认) :流量可以在所有接口上匹配状态,而不仅仅是创建状态的接口。
- if - bound :流量仅在创建状态的接口上匹配,其他接口或组上的流量不会匹配现有状态。

可以在每条规则的基础上覆盖状态策略,例如在默认 floating 状态策略的规则集中,可以使用以下规则: 

pass out on egress inet proto t
订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
编译防火墙的工具完全指南(工程师私藏手册曝光)
BreakVein的博客
12-14 994
掌握编译防火墙的工具,轻松构建定制化网络安全防护。适用于企业级防火墙开发安全策略部署,涵盖源码编译、规则配置及性能优化等核心方法。支持主流Linux系统,提升安全可控性,值得收藏。
学习黑客防火墙是啥
qq_41179365的博客
05-08 1190
定义——防火墙是一种在网络边界实施访问控制的软/硬件系统,通过检查数据包内容并基于预设策略决定“放行或拒绝”(Cisco工作位置——它依托 Linux Netfilter、BSD pf 等内核钩子或独立安全网关,位于五大数据包生命周期钩子(PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING)之一,确保即使管理进程宕机,既有规则仍在内核层面生效(Cisco类型演进——从早期的包过滤到状态检测代理/应用层、**下一代防火墙(NGFW)**乃至统一威胁管理 (UTM)
渗透测试 ( 1 ) --- 相关术语、必备 工具、导航、全流程总结、入侵网站思路
热门推荐
freeking101的博客
07-02 4万+
在学习某项技能的时,要用最快的时间摸索清楚最少必要知识 (MAKE)都有哪些? 然后迅速地掌握它们,这样就实现了 "快速入门",然后就可以开始动手实践,然后在实践中验证理论、加深理解,同时继续扩展学习。而学习黑客也是同样的道理,对于新手小白的第一课应该是以掌握基础的安全工具为主,这样在学习的同时可以进行实践,验证所学的知识,同时加以扩展,这样学习效率会大大提升.........................................................
【ESP32硬件避坑指南】:RC时间常数设置陷阱5种错误案例分析
[【ESP32硬件避坑指南】:RC时间常数设置陷阱5种错误案例分析](https://iotcircuithub.com/wp-content/uploads/2024/03/ESP32-RTC-Timer-control-Relay-P4.webp) # 1. ESP32硬件设计中的RC时间常数基础原理 在ESP...
告别误触发:STM32 COMP输出滤波配置的5级抑制策略参数调优指南
# STM32 COMP输出滤波的深度解析高鲁棒性设计实践 在现代嵌入式系统中,STM32微控制器的模拟比较器(COMP)已成为连接物理世界数字逻辑的关键桥梁。无论是工业控制中的过流保护、电池管理系统里的电压监控,...
MacOS防火墙安全策略对ESP32开发的影响及3种绕行策略
[MacOS下ESP32开发环境配置指南](https://opengraph.githubassets.com/9b6922592a47c036c53654272478c64b10140d860634f399219ed1c3b9520beb/micropython/micropython/issues/4843) # 1. MacOS安全机制ESP32开发...
USB端口过压保护实战指南:消费电子工业级设计的6大差异点
[USB端口过压保护实战指南:消费电子工业级设计的6大差异点](https://makingcircuits.com/wp-content/uploads/2021/10/surge-protector-computer-power-strip-circuit.jpg) # 1. USB端口过压保护的基础原理必要...
热插拔静电防护设计:TVS管在接口电路中的正确应用方式(ESD防护权威指南
本文系统探讨了接口电路中静电威胁的来源防护挑战,深入解析了TVS管的工作原理、核心参数及其在热插拔等复杂场景下的设计实践。通过分析USB、HDMI、RS-485和Ethernet等典型接口的防护需求,提出了基于多级保护、...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8848
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Feigong,针对各种情况自由变化的mysql注入脚本,In view of the different things freely change the mysql injection scrip
最新发布
12-17
下载前可以先看下教程 https://pan.quark.cn/s/90f2470d331b Feigong --非攻 rm... 最近有了新的体验...Feigong 2.0loading....
【空气质量预测】北京 36 站预处理数据 落地即用无套路!.zip
12-17
【空气质量预测】北京 36 站预处理数据 落地即用无套路!.zip
理光 MP7503 MP6503 MP9003 维修手册p
12-17
理光 MP7503 MP6503 MP9003 维修手册p
【电子测试设备】基于USB-TMC协议的SPD3000系列直流稳压电源固件升级方法:通过EasyPower软件实现.ugf文件更新操作指导
12-17
内容概要:本文介绍了鼎阳直流稳压电源SPD3000系列的固件升级方法,通过PC端管理软件EasyPower和USBTMC连接实现。升级过程包括:安装EasyPower软件并建立电源设备的USB连接,在软件界面中选择“版本”菜单下的“升级”选项,进入固件升级对话框后选择扩展名为.ugf的固件文件,确认后点击“升级”按钮开始更新。升级过程中需等待进度条完成,结束后重启设备即可正常使用。文中配有操作界面图示,详细展示了各步骤的操作位置和流程。; 适合人群:电子工程师、技术支持人员及具备基本仪器操作经验的实验室技术人员;适用于需要维护或更新SPD3000系列电源设备固件的专业用户。; 使用场景及目标:①当设备功能异常或需要新增功能时进行固件升级;②配合最新版EasyPower软件确保设备兼容性和稳定性;③提升设备性能或修复已知问题。; 阅读建议:在执行升级前请确保正确安装驱动和软件,并使用官方提供的.ugf格式固件文件,避免升级失败。操作过程中保持设备供电稳定,切勿中断升级流程,以防设备损坏。
米游社每日米游币自动化脚本
12-17
源码地址: https://pan.quark.cn/s/d1f41682e390 miyoubiAuto 米游社每日米游币自动化Python脚本(务必使用Python3) 8更新:更换cookie的获取地址 注意:禁止在B站、贴吧、或各大论坛大肆传播! 作者已退游,项目不维护了。 如果有能力的可以pr修复。 小引一波 推荐关注几个非常可爱有趣的女孩! 欢迎B站搜索: @嘉然今天吃什么 @向晚大魔王 @乃琳Queen @贝拉kira 第三方库 食用方法 下载源码 在Global.py中设置米游社Cookie 运行myb.py 本地第一次运行时会自动生产一个文件储存cookie,请勿删除 当前仅支持单个账号! 获取Cookie方法 浏览器无痕模式打开 http://user.mihoyo.com/ ,登录账号 按,打开,找到并点击 按刷新页面,按下图复制 Cookie: How to get mys cookie 当触发时,可尝试按关闭,然后再次刷新页面,最后复制 Cookie。 也可以使用另一种方法: 复制代码 浏览器无痕模式打开 http://user.mihoyo.com/ ,登录账号 按,打开,找到并点击 控制台粘贴代码并运行,获得类似的输出信息 部分即为所需复制的 Cookie,点击确定复制 部署方法--腾讯云函数版(推荐! ) 下载项目源码和压缩包 进入项目文件夹打开命令行执行以下命令 xxxxxxx为通过上面方式或取得米游社cookie 一定要用双引号包裹!! 例如: png 复制返回内容(包括括号) 例如: QQ截图20210505031552.png 登录腾讯云函数官网 选择函数服务-新建-自定义创建 函数名称随意-地区随意-运行环境Python3....
《CentOS服务器环境搭建实战项目在毕业设计方面的应用-从零部署到高可用Web服务》.docx
12-17
内容概要:本文围绕《CentOS服务器环境搭建实战项目在毕业设计方面的应用——从零部署到高可用Web服务》,系统讲解了如何基于CentOS Stream 9搭建可复现、可答辩、可扩展的服务端原型,涵盖基础设施即代码(IaC)、安全配置(SELinux/Firewalld)、高性能Web架构(Nginx + uWSGI + Flask)、HTTPS加密(Let’s Encrypt)及监控体系(Prometheus + Grafana)等核心技术。通过Ansible自动化部署、Flask应用开发Nginx反向代理配置,结合真实代码案例,帮助学生在4~6周内完成具备真实实验数据支撑的毕业设计。; 适合人群:计算机、软件工程、大数据、人工智能等专业的应届本科或研究生毕业生,具备Linux基础和基本编程能力者优先。; 使用场景及目标:①用于构建高并发博客、深度学习推理平台或边缘计算网关等毕业设计课题;②实现在论文中展示自动化部署、性能优化、安全加固和监控可视化等关键技术环节,提升答辩说服力学术可信度;③支持HTTPS、缓存加速、服务监控等功能集成,满足“可复现、可扩展”的科研要求。; 阅读建议:建议结合文中提供的目录结构、Ansible脚本、Flask应用代码和Nginx模板进行动手实践,重点关注IaC思想实验数据采集方法,并将关键配置截图和性能图表直接嵌入论文,增强论证真实性技术深度。
EI复现基于元模型优化算法的主从博弈多虚拟电厂动态定价和能量管理(Matlab代码实现)
12-17
【EI复现】基于元模型优化算法的主从博弈多虚拟电厂动态定价和能量管理(Matlab代码实现)
【Scrapy 爬虫 + 多平台】实战 15 类网站爬取,落地即用无套路!.zip
12-17
【Scrapy 爬虫 + 多平台】实战 15 类网站爬取,落地即用无套路!.zip
(45页PPT)德国宝沃汽车集团公关社会化媒体年度品牌传播策略方案45.pptx
12-17
(45页PPT)德国宝沃汽车集团公关社会化媒体年度品牌传播策略方案45.pptx
2025-2031全球中国矢量网络分析设备市场现状及未来发展趋势.pdf
12-17
2025-2031全球中国矢量网络分析设备市场现状及未来发展趋势.pdf
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值