MacOS 配置pf（Pocket Filter）防火墙

Mac自带的防火墙粒度太粗，可以使用pf来做精细的控制。

1. 修改pf配置文件
可以新建一个，或者备份原本的配置文件然后修改/etc/pf.conf。

#把原来的内容都注释掉

#自定义规则
#定义允许访问的IP
allowed_ips = "{192.168.x.x, 192.168.x.x}"
#定义允许访问的端口
allowed_ports = "{22, 5900, 3306 }"

#block 22 ips
blocked_22_ips = "{192.168.x.x}

#跳过本地回环接口
set skip on lo0

#阻止特定的ip访问特定端口
block in quick proto tcp from $blocked_22_ips to any port 22

#允许特定ip访问特定端口
pass in quick proto tcp from $allowed_ips to any port $allowed_ports

#阻止所有其他入站流量
block in all
#允许所有出站流量
pass out all


#对于pf的规则优先级，网上和AI众说纷纭。尝试后发现，如果没有quick关键字，后面的规则会覆盖前面的规则。如果有quick关键字，则该规则立刻生效。
#所以可以尽量使用quick来确保符合期望

2. 启动pf

sudo pfctl -e

sudo pfctl -f /etc/pf.conf

 

3. 记得关闭自带的防火墙