浮动规则可以在任何方向和任一或多个接口应用防火墙规则。浮动规则必须在防火墙>规则的浮动标签上进行定义。
许多防火墙不需要任何浮动规则,也可能只有流量整形器。 如果选择使用浮动规则,则可以使一些复杂的过滤方案更容易实现,比在逻辑上跟踪GUI更容易。 浮动规则的高级/低级别选项可以在普通的每个接口规则中找到。
浮动规则:
从防火墙自身过滤的流量
过滤出站方向的流量(其他选项卡仅限入站处理)
可以规则应用于多个接口
以“最后匹配”的方式应用过滤,而不是“第一个匹配”(快速)的方式来过滤规则
应用流量整形来匹配流量,但不影响其进行通过/阻止的操作
浮动规则会排在其他接口上的规则之前被解析。 因此,如果数据包匹配浮动规则,并且快速选项在该规则中处于活动状态,pfSense将不会尝试根据任何其他组或接口选项卡上的任何规则过滤该数据包。
使用“队列”操作的规则不能使用快速选项。
本文出自 “pfsense交流” 博客,请务必保留此出处http://fxn2025.blog.51cto.com/24757/1962473
原文地址:http://fxn2025.blog.51cto.com/24757/1962473
