PF限制部分機器上網(wǎng)實驗

qdmacat

本周末閑來無事,口袋空空!^_^嘻嘻,買馬輸銀子了!!對了,差點忘記了,我還有一PF實驗沒有做的,草稿初步寫好,行那咱今天就調(diào)試一下!功能:就是用BSD系統(tǒng)+PF防火墻+NAT實現(xiàn)上網(wǎng),實現(xiàn)上網(wǎng)還不簡單,NO,理解錯了,這里有一個小小要求,做到權(quán)限控制,搞特權(quán)

,只能特殊人員上網(wǎng)!暈,沒辦法,領(lǐng)導(dǎo)要求!可不是我的主意哦!好了費話少說咱們開工:

int_if = "fxp0"   ###內(nèi)網(wǎng)
ext_if = "rl0"    ##外網(wǎng)
icmp_types = "echoreq"
router_ip = "{10.0.0.1,10.0.0.6, 10.0.0.8, 10.0.0.16, 10.0.0.20}   ###定義能上網(wǎng)的IP
set block-policy return
set loginterface $ext_if   ###記錄日志
scrub in all    ###流量整修
nat on $ext_if from $router_ip to any  ->  ($ext_if)   ###讓router_ip地址上網(wǎng)
block all     ###禁止所有數(shù)據(jù)包
pass quick on lo0 all  ###允許虛擬網(wǎng)絡(luò)接口
pass quick on tun0 all    ###adsl用戶這個可千萬別忘記了!要不然上不了網(wǎng)!呵呵

pass in on $int_if from $router_ip to any  keep state      ###允許內(nèi)網(wǎng)互訪
pass out on $int_if from any to $router_ip keep state
pass  out on $ext_if proto tcp all modulate state flags S/SA  ###允許數(shù)據(jù)包通過防火墻
pass  out on $ext_if proto { tcp, udp } all keep state


在pf.conf里加入以上規(guī)則,以上規(guī)則全部經(jīng)過一一調(diào)試!看看時間,喲,這不到了午飯時間,走吃飯嘍!

本文來自ChinaUnix博客，如果查看原文請點：http://blog.chinaunix.net/u/22713/showart_227761.html