pfSense 开源免费防火墙（ Firewall ）添加一条规则（ Rules ）可以阻断 TCP RST 网络攻击（ Attack ），

[jingyue]

 pfSense 防火墙，添加一条规则，可以阻断 TCP RST  网络攻击，


【 状态 / 仪表大厅 】——>【 防火墙 】——>【 规则策略 】——>【 LAN 】——>【 添加 】（ 将规则添加到列表顶部 ），


< 编辑防火墙规则 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~1~~~~~~~

动作：阻止
接口：LAN
地址簇：IPv4 ，或者选 IPv4+IPv6 也可以，
协议：TCP

< 源 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~2~~~~~~

源：Any

< 目标 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~3~~~~~~

目标：Any

< 额外选项 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~4~~~~~~~~

日志：勾选  < 记录该规则处理的数据包 >

描述：Block_TCP_RST_Attack

<  高级选项  >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~5~~~~~~~~~

源操作系统：Any

TCP 标识～～～～～～～～～

                 设置：RST
                 排除：RST

提示：

在 < 设置 > 那一行，用鼠标点击对应 < RST > 的白色方框，出现一个"对号"即可，

在 < 排除 > 那一行，用鼠标点击对应 < RST > 的白色方框，出现一个"对号"即可，

注意其他   FIN， SYN ，PSH， ACK， URG， ECE， CWR，对应的空白方框要保持空白，


状态类型：None ，或者选择 Keep 也可以，


< 规则信息 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~None~~~~~~~~~~~


规则信息这一栏没有需要设置的内容，


在这里单击 < 保存 > 按钮，

然后鼠标单击 < 应用更改 > 按钮，出现：" 已成功应用更改。防火墙规则正在后台重新加载 "，


整个设置到此结束，


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~End~~~~~~~~~~~~~~~~~~~~~~~~~~~~

[jingyue]

（  接 续  ）前一页，


屏蔽效果如何？查看防火墙 < 日志 > 记录可知，

【 状态  】——>【 系统日志 】——>【 防火墙 】——>【 动态视图 】，


pfSense 防火墙，可以在 < 终端 > 内用命令查看被防火墙拦截下来的入站 TCP RST 数据报的次数：

< 终端命令 >  root 权限，

# pfctl -s all | grep "Block_TCP_RST_Attack"

典型输出：

block drop in log quick on em1 inet proto tcp all flags R/R label "USER_RULE: Block_TCP_RST_Attack"  xxxxxxx xxxxxxxx

USER_RULE: Block_TCP_RST_Attack id:xxxxxxxxxx   53    5    200    5   200   0    0    0

其中 53  对应被 pf 防火墙拦截下来的准备入站的 TCP RST 数据包的数目，

- Data fields explained:

  1. 53: Number of packets matched by this rule.
  2. 5: Number of rules matched, indicating how many times this rule was evaluated.
  3. 200: Total bytes transferred, reflecting the total size of blocked packets.
  4. 5: Average transfer rate in packets per second.
  5. 200: Maximum transfer rate indicating peak packets blocked.
  6. 0: Active state table entries, indicating no active connections under this rule.
  7. 0: Maximum current connections under this rule.
  8. 0: Indicates unmatched packets.

- 数据字段解释如下：
  1. 53：匹配的数据包数量。此处表示有 53 个数据包被此规则匹配。
  2. 5：匹配的规则数量。可能表示此规则被评估（被触发）记录的次数。
  3. 200：传输的字节数量。如果这个规则阻止了某些数据包，此数值将反映那些数据包的字节总数。
  4. 5：每秒钟的平均传输速率。这可能表示每秒内匹配到的平均数据包数。
  5. 200：最大传输速率，这里指的是在此规则下的最大数据包数。
  6. 0：当前的状态表项数目，表示没有活跃的连接在该规则下。
  7. 0：当前连接数的最大值，表明没有连接在该规则下。
  8. 0：表示不匹配的数量，即未被此规则处理的数据包数。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~_END_~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

[jingyue]

pfSense 防火墙介绍（ 官方 ）


pfSense® 软件是一款免费、开源的定制 FreeBSD 发行版，专为防火墙和路由器设计，完全通过网页界面进行管理。除了作为强大且灵活的防火墙和路由平台外，它还包含大量相关功能和包系统，允许在不增加臃肿和潜在安全漏洞的情况下进一步扩展。

pfSense 项目由 Rubicon Communications， LLC（ Netgate ）托管和开发。

pfSense 项目的源代码是开源的，并采用 Apache 2.0 开源许可证发布。

官方网站 https://www.pfsense.org/


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



# pfSense 防火墙介绍（ 网络 ）


pfSense 是一个基于 FreeBSD 的开源防火墙和路由器软件，广泛用于创建高性能的网络安全解决方案。它提供多种功能，包括状态监测、防火墙规则、VPN 支持和流量管理等，适用于小型企业到大型企业的网络安全需求。

# pfSense 的主要特点

- 开源与灵活性：pfSense 是免费开源的，用户可以根据具体需求进行修改和扩展。
- 用户友好的界面：提供 Web 图形用户界面，便于管理和配置。
- 全面的支持功能：包括防火墙、VPN、流量整形、负载均衡和入侵检测等。
- 强大的社区支持：拥有活跃的开发者和用户社区，提供丰富的文档和支持。


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

[jingyue]

引用： 中国长城防火墙 GFW 通过注入伪造的 TCP RST+ACK 数据包来破坏 TCP 端口 443 上的连接

原文链接：

https://gfw.report/blog/gfw_unconditional_rst_20250820/zh/

2025年8月20日中国防火长城GFW对443端口实施无条件封禁的分析

1. 引言

2025 年 8 月 20 日北京时间（UTC+8）约 00:34 至 01:48 间，中国国家防火墙（GFW）出现异常行为：对所有指向 TCP 443 端口的连接无条件注入伪造的 TCP RST+ACK 包，导致连接中断。该事件引发了中国与世界其他地区之间的大规模互联网连通性故障（来源1 与 来源2）。

本报告记录了我们对这一短暂但广泛的封禁事件的测量与分析。主要发现如下：

    无条件的 RST+ACK 注入仅发生在 TCP 443 端口，未见于其他常见端口（如 22、80、8443）。
    该无条件注入同时扰乱了出入境中国双方向的连接，但触发机制不对称：从中国境内向境外发起的连接，客户端的 SYN 包与服务器的 SYN+ACK 包各自触发三个 RST+ACK包；从境外向中国境内发起的连接，只有服务器返回的 SYN+ACK 会触发 RST+ACK，客户端发送的 SYN 不会触发注入。
    负责注入的设备指纹与已知 GFW 设备不匹配，因此此次事件要么由新的 GFW 设备造成，要么是由已知设备以一种新的或误配置的状态运行造成的。

需注意的是，本次事件持续时间较短（约 74 分钟），对我们的测量和分析带来一定限制。我们鼓励社区成员分享各自的观测与分析，以共同完善对该事件的理解。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~_完整内容参见原文链接_~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~