什麼是Floating(浮動)規則?
官方解釋:(摘自https://www.netgate.com/docs/pfsense/firewall/floating-rules.html)
浮動規則
浮動規則是高級防火牆規則,可以在任何方向和任何或多個接口應用。浮動規則在“ 浮動”選項卡上的“防火牆>規則”下定義。許多防火牆不需要任何浮動規則,也可能只有流量×××器。對於那些選擇使用它們的人來說,他們可以使一些複雜的過濾方案更容易,但代價是在GUI中邏輯上更難以遵循。浮動規則提供了比普通的每個接口規則更多的高級/低級選項。
浮動規則可以:
- 過濾防火牆本身的流量
- 在出站方向過濾流量(所有其他選項卡僅爲入站處理)
- 將規則應用於多個接口
- 以“最後一場比賽勝利”的方式應用過濾而不是“第一場比賽獲勝”(快速)
- 應用流量×××以匹配流量但不影響其傳遞/阻止操作
- 多得多。
浮動規則在其他接口上的規則之前進行解析。因此,如果數據包與浮動規則匹配且該規則上的“快速”選項處於活動狀態,則pfSense將不會嘗試根據任何其他組或接口選項卡上的任何規則過濾該數據包。
使用“ 隊列”操作的規則不適用於快速檢查。
下面舉例說明Floating的作用:
假設現在有一臺pfsense防火牆LAN策略如下:
上圖網絡拓撲圖
上圖LAN口規則設置
PING檢測結果,目前不能PING通百度
上圖添加一條floaating 規則
正常ping通百度
通過這個小實驗說明浮動規則會在其他接口上的規則之前被解析。因此,如果數據包匹配浮動規則,並且快速選項在該規則中處於勾選狀態,pfSense將不會嘗試根據任何其他組或接口選項卡上的任何規則過濾該數據包。特別說明:勾選Quick規則會在其它接口規則執行之前被執行,floating被執行後停止處理
其它接口規則;不勾選Quik選項 floating規則被最後被執行。
floating規則詳細設置圖
當然Floating還有更多的使用方法,這裏只簡單說明,不足之處請見諒。