允许Samba连接*仅*来自内部LAN（PF防火墙）？

有一个只有1个NIC的FreeBSD 11.1-RELEASE机器，服务于Samba共享 PF防火墙 上 相同 服务器。

我需要允许连接 只要 来自内部网络连接的客户端（/ 24）。

目前这似乎有效：

# Default deny policy
block in log all

# allow Samba connections only from internal IPs
pass in quick on $ext_if inet proto tcp from $ext_if:network to $ext_if:network port {135, 137, 138, 139, 445}
pass in quick on $ext_if inet proto udp from $ext_if:network to $ext_if:network port {135, 137, 138, 139, 445}

这些是否合适且足够了？

是否有更好，更惯用的方式允许仅使用PF防火墙从内部LAN进行Samba连接？

为你的pf-sense安装添加另一个接口。或者如果支持VLAN的交换机可用，它将为您提供额外的虚拟接口。

你将你的samba共享放在第二个接口上给它一个新的子网（类似于10.10.10.0 / 24）任何东西都可以工作你只需要它与你想要控制的局域网用户不同的子网。

现在为用户可以访问第二个LAN子网的用户设置规则。或者具体来说，用户可以通过ip访问您的samba共享。

编辑：在PF（过滤）中执行此操作： 在默认块规则之后＆gt;

现在必须通过防火墙明确地传递流量，否则它将被默认的拒绝策略删除。这是源/目标端口，源/目标地址和协议等数据包标准发挥作用的地方。每当允许流量通过防火墙时，应该将规则写为尽可能具有限制性。这是为了确保允许预期的流量和仅预期的流量通过。

“＃将dc0上的流量从本地网络192.168.0.0/24传递到OpenBSD”

“＃machine的IP地址为192.168.0.1。另外，在dc0上传递返回流量。”

将dc0从192.168.0.0/24传入192.168.0.1

将dc0从192.168.0.1传递到192.168.0.0/24

“#Pass TCP流入OpenBSD机器上运行的Web服务器。”

从任何出口端口www传入出口proto tcp

使用你的界面名称，添加你的子网，你应该好，去使用IP规则。它会让这更容易。

我只在你的帖子中看到两个传递规则，我相信你需要一个输入/输出同时使用tcp和udp。