pfSense的接口组不是一种可以分配的接口。接口组是将防火墙或 NAT 规则应用于公共选项卡上的一组接口。
一般情况下,底层操作系统中有多个接口,但所有这些接口的规则都在每个类型的单个选项卡上进行管理。如果防火墙上存在许多功能相似的接口,需要几乎相同的规则,则可以创建一个接口组来同时向所有接口添加规则。接口仍然可以有自己的单独规则,但这些规则是排在组规则之后进行处理。下面来介绍接口组的使用示例。
现有网络中,共有AP(管理AP设备上网)、LAN1(公司总部)、LAN2(公司分部)、MG(管理口)四个局域网接口,所使用的防火墙规则相同,为了减少规则编写数量,方便管理,采用接口组来进行设置。
创建接口组
导航到接口 > 分配,接口组选项卡,单击添加来创建一个新组。如下图所示,接口可以多选。
添加完成后如下图所示:
使用接口组
在使用接口组之前,每个接口在防火墙 > 规则策略下都有一个单独的选项卡来管理各个接口的规则。创建了接口组后,这里就会出现接口组的选项卡。
将原来每个接口相同的规则应用在接口组上,减少了规则的编写数量。对应接口上的相同规则就可以不用再进行设置了。如下图所示。
规则处理顺序
防火墙规则处理顺序为:浮动规则>接口组规则>接口的规则。
如果组选项卡上的规则与发起的连接匹配,则不会查询接口选项卡规则。同样,如果一个带有快速设置浮动规则匹配一个发起的连接,则不会查询接口组规则。
处理顺序也会阻止某些可能适合的规则组合。例如,如果组上存在通用阻止规则,则无法被特定接口上的规则覆盖。与传递规则相同,特定接口规则不能阻止通过组选项卡规则传递的流量。
WAN接口组
不建议使用多WAN接口组,除非你没有什么特殊要求,因为组规则不会得到与实际 WAN 选项卡规则相同的处理。例如,WAN 类型接口的选项卡上的规则接收reply-to,允许 pf 通过它进来的接口返回流量。而组选项卡规则不接收reply-to ,这实际上意味着组规则仅在具有默认网关的WAN接口上按计划运行。