什么是Floating(浮动)规则?
官方解释:(摘自https://www.netgate.com/docs/pfsense/firewall/floating-rules.html)
浮动规则
浮动规则是高级防火墙规则,可以在任何方向和任何或多个接口应用。浮动规则在“ 浮动”选项卡上的“防火墙>规则”下定义。许多防火墙不需要任何浮动规则,也可能只有流量×××器。对于那些选择使用它们的人来说,他们可以使一些复杂的过滤方案更容易,但代价是在GUI中逻辑上更难以遵循。浮动规则提供了比普通的每个接口规则更多的高级/低级选项。
浮动规则可以:
- 过滤防火墙本身的流量
- 在出站方向过滤流量(所有其他选项卡仅为入站处理)
- 将规则应用于多个接口
- 以“最后一场比赛胜利”的方式应用过滤而不是“第一场比赛获胜”(快速)
- 应用流量×××以匹配流量但不影响其传递/阻止操作
- 多得多。
浮动规则在其他接口上的规则之前进行解析。因此,如果数据包与浮动规则匹配且该规则上的“快速”选项处于活动状态,则pfSense将不会尝试根据任何其他组或接口选项卡上的任何规则过滤该数据包。
使用“ 队列”操作的规则不适用于快速检查。
下面举例说明Floating的作用:
假设现在有一台pfsense防火墙LAN策略如下:
上图网络拓扑图
上图LAN口规则设置
PING检测结果,目前不能PING通百度
上图添加一条floaating 规则
正常ping通百度
通过这个小实验说明浮动规则会在其他接口上的规则之前被解析。因此,如果数据包匹配浮动规则,并且快速选项在该规则中处于勾选状态,pfSense将不会尝试根据任何其他组或接口选项卡上的任何规则过滤该数据包。特别说明:勾选Quick规则会在其它接口规则执行之前被执行,floating被执行后停止处理
其它接口规则;不勾选Quik选项 floating规则被最后被执行。
floating规则详细设置图
当然Floating还有更多的使用方法,这里只简单说明,不足之处请见谅。