Файрвол pfSense - правила, алиасы и фильтрация трафика

Файрвол pfSense построен на основе pf (packet filter) из OpenBSD и выполняет фильтрацию трафика с сохранением состояния соединений (stateful filtering). Правила применяются к каждому сетевому интерфейсу отдельно и обрабатываются последовательно сверху вниз. Пакет обрабатывается первым совпавшим правилом - дальнейшая проверка правил для этого пакета не выполняется (принцип first match wins). Трафик, не совпавший ни с одним правилом, отбрасывается неявным правилом запрета (implicit deny).

Такая архитектура требует продуманного порядка следования правил: более специфичные правила необходимо размещать выше общих. Некорректный порядок правил - одна из наиболее частых причин проблем с доступом к сервисам.

Содержание раздела

• Правила файрвола - создание и управление правилами фильтрации, порядок обработки, действия, floating rules и отслеживание состояний
• Алиасы - группировка IP-адресов, сетей, портов и URL для упрощения управления правилами
• Расписания - применение правил файрвола по расписанию для временных ограничений доступа
• Лучшие практики - рекомендации по построению политики безопасности, организации набора правил и мониторингу