主页 / unix / 问题 / 722232
Accepted
gertvdijk
Asked: 2022-10-25 06:28:29 +0800 CST

FreeBSD:PF/pf.conf 接口之间的转发规则

  • 772

我想在 FreeBSD 12.3 上设置一个简单的转发规则(不是端口转发!),它根据接收接口和外出接口进行过滤。IP 网络不应成为规则的一部分,因为它就像所有类型 IP 的路由器一样。路由网络将由路由守护程序(带有 OSPF 的 BIRD)动态设置。

在使用 PF 的 FreeBSD 中,我只能按照man 5 pf.confifspec为每个过滤规则 ( [ "on" ifspec ])设置一个:

     pf-rule        = action [ ( "in" | "out" ) ]
              [ "log" [ "(" logopts ")"] ] [ "quick" ]
              [ "on" ifspec ] [ route ] [ af ] [ protospec ]
              hosts [ filteropt-list ]

我希望输入接口和输出接口的组合匹配。我怎样才能做到这一点?

在使用nft/nftables 的 Linux 中,我会这样做:

define iface_site2site = { "tun0", "tun1", "tun9" }
[...]
  chain forward {
    type filter hook forward priority 0;
    policy drop;

    iifname $iface_site2site oifname $iface_site2site accept \
      comment "Freely forward packets between site-to-site links, firewalled at final destination."
  }
[...]

在 Linux 中使用iptables我会这样做:

iptables -A [...] --in-interface tun+ --out-interface tun+ -j ACCEPT

如何在 FreeBSD 上进行上述操作?

只是要清楚; 我不是在寻找端口转发或 NAT 规则。

freebsd

1 个回答

  1. Best Answer

    在 FreeBSD 上的单一规则中似乎不可能做到这一点。因此,我们可以使用一条match规则来标记这些接口上的入站流量,然后使用两条pass规则,一条 forin和一条 for out,然后只允许流量在被标记为这样的情况下流出。

    根据 FreeBSD 12.3 上的 man pf.conf(5) :

    tag <string>
      Packets matching this rule will be tagged with the specified
      string.  The tag acts as an internal marker that can be used to
      identify these packets later on.  This can be used, for example, to
      provide trust between interfaces and to determine if packets have
      been processed by translation rules.  Tags are "sticky", meaning
      that the packet will be tagged even if the rule is not the last
      matching rule. [...]

    它很好地提到了问题的用例(“在接口之间提供信任”)。?

    FreeBSD 的tags 类似于markLinux 的 netfilter 中的 s。

    例子:

    site_to_site_links = "{" tun0 tun1 tun9 "}"

[...]

block log all

# Allow forwarding freely between the site-to-site interfaces
# (not to self); traffic firewalled at final destination.
match in on $site_to_site_links from any to any tag S2S no state
pass in quick on $site_to_site_links to ! self no state
pass out quick on $site_to_site_links tagged S2S no state

    请注意,流量也需要passed in,除非它的目的地是它自己,否则我们可能会绕过其他传入的防火墙规则。

    附加调试提示:启用pflogpflog_enable="YES"在 中设置rc.conf)并用于tcpdump -e -n -i pflog0查看被阻止的内容。该-e选项显示匹配哪个规则以导致数据包被阻止。

    • 0

相关问题