防火牆概念問題

network

hsiang11 2018-02-26 12:11:29 ‧ 13166 瀏覽

分享至

一般來說0.0.0.0代表對外網路不限制
那這包含了內部網路的範圍嗎?
如果是包含那有沒有辦法設計出對外http;https不作限制
只限制對內的私有IP網段

after iT邦新手 5 級 ‧ 2018-02-27 08:50:19 檢舉

所謂的0.0.0.0/0其實就是代表any或者all的意思
舉例來說你的防火牆policy長這樣

from to src dst service
port1 wan all all 80,443

firewall的 routing table 長這樣
type network interface
connected 192.168.1.0/24 port1
static 0.0.0.0/24 wan

這樣的話實際上在這條policy 來說的話
代表是192.168.1.0/24 到internet 的80 443是可以通過的
所以所謂的all實際上是要看該zone 或者 port 可以到達那些地方決定的

關於第二點的話如果你的port1下面有兩個網段
可以將policy 改成這樣實際上就能達到目的了
firewall的 routing table 長這樣
type network interface
connected 192.168.1.0/24 port1
static 192.168.2.0/24 port1
static 0.0.0.0/24 wan

from to src dst service
port1 wan 192.168.1.0/24 all 80,443

編輯器自動把多個空白當做一個空白沒辦法排版抱歉摟

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

做工仔人!

iT邦大師 1 級 ‧ 2018-02-26 12:29:57

1.0.0.0.0代表對外網路 =>這個只講一半, 正確的應是: 0.0.0.0/0.0.0.0 => 這才是代表"全部"ipv4 的ip,就是一般代表外部ip .
2.限不限制:要看防火牆的設定, 如果防火牆上的設定是"deny" :就是不通(阻擋) , accpet :代表通.
3.一般防火牆的設定規則,最基礎的是:
來源ip(source)/subnetmask , 目的ip/subnetmask , 動作(accept/deny) , 服務port號,排程管理

樓主的需求要設二筆:
192.168.0.0/255.255.0.0 , 0.0.0.0/0.0.0.0 , accept , 80+443
192.168.0.0/255.255.0.0 , 0.0.0.0/0.0.0.0 , deny , all
而且順序不能錯.
因為防火牆規則是由上而下比對的.只要有比對到.就會依設定執行.