pfsense 封鎖非台灣地區 IP 連線 (台灣 IP 全列表)
如果你的公司或家庭內部的伺服器或任何服務並不需要給台灣以外的裝置連線。那麼其實可以將台灣地區以外的連線全部封鎖。這麼做可以減少八至九成以上的網路攻擊及試探。首先下載本文附件的台灣地區 IP 列表。然後前往「Firewall > Aliases」中建立一個台灣 IP 的別名。
在 Name 的地方輸入一個別名,例如「tw_ip」,Type 選擇「Network(s)」,其它保留預設不變。在最下方先隨便輸入一組 IP 位址,如「123.123.123.123」 / 線之後輸入「32」。
由於 pfsense 並不提供別名內容的匯入功能,我們必須透過上傳備份設定的方式來達成。所以接著來到「Diagnostics > Backup & Restore」將目前的設定值下載。
將下載來的設定備份 xml 檔案以文字編輯器開啟,搜尋剛剛建立的別名「tw_ip」或「123.123.123.123」。
將其下方 <address> 與 </address> 間的 123.123.123.123/32 選取並以先前下載的台灣地區 IP 列表的全部內容貼上取代。
很重要的一點!請將你的區域網路例如:192.168.1.0/24 加入到台灣地區 IP 列表的最後面。否則可能內網存取會有問題。
這樣還不夠,記得一定要把下方 <detail> 到 </detail> 這一行刪除。否則匯入不會成功。然後存檔。
接下來再次回到「Diagnostics > Backup & Restore」,將剛才修改過的備份設定上傳回復。此時 pfsense 會重新開機。
重新開機之後再回到「Firewall > Aliases」確認一下是否匯入成功。
最後前往「Firewall > Rules > WAN」新增一條規則。
[*]Action 選擇 Block
[*]Interface 選擇 WAN
[*]Address Family 選擇 IPv4
[*]Protocol 選擇 Any
[*]Source 選擇 Single host or alias 並在其後輸入「tw_ip」這個別名。並且千萬記得要勾選「Invert match」這個反向符合。未勾選之前的意思是「tw_ip」內的列表會符合這個條件;勾選後就變成「tw_ip」列表之外的,也就是台灣地區 IP 之外才符合此條件。
[*]其它的內容保留預設值
[*]儲存此規則
最後還有一個最需要注意的,這條規則必須放在預設規則之後,並且在其它的規則之前。(pfsense 的規則是越前面的權重越高)
註: 在此規則之後的才受到此規則的限制,在它前面的不受限制。可自行善加調整位置利用。
頁:
[1]