fw-rule
..
一个关于防火墙策略的问题:
手册里有这么一句话: “整个系统的所有策略规则有特定的排列顺序。在流量进入系统时,系统会对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理。”
我的理解: 防火墙的策略优先级高的应该设置为匹配范围小的, 优先级低的设置为匹配范围广的.
然后我在17年的赛题看到关于两个关于防火墙的题目及参考答案(拓扑图就是防火墙一端为internet, 一端为交换机)
题目:
关于策略方面的答案:
第3题配置了id 1,2 的策略可以理解, 第4题配置NAT后设置的策略我有点不能理解(红线部分):
- id为2的策略已经把所有(Any)流量匹配到了, 行为是拒绝
- id为3的策略匹配范围更小, 优先级却在id2后面, 被id2拒绝后id3还有作用吗?
我尝试实践下我的理论:
我的拓扑为: 我的PC(192.168.1.2, 安全域:trust)—防火墙—–其他PC(192.168.10.1, 安全域:untrust)
路由,网关都配置好后如果没有配置策略是不能ping通的, 然后我配置了一条允许trust通往untrust的策略
可以ping通
把拒绝所有流量的优先级调高一点,
没有任何反应
也就是说第一跳拒绝所有流量的策略确实阻拦了所有流量, 所有第二条策略就没有用了.
# 相关文章
1.G002
2.G001
3.How to learn English?
4.ctf-linux-cmd.md
5.Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写
6.ctfhub.md
7.Laravel笔记
8.sql盲注笔记
1.G002
2.G001
3.How to learn English?
4.ctf-linux-cmd.md
5.Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写
6.ctfhub.md
7.Laravel笔记
8.sql盲注笔记