零零社区|百姓的网上家园-互动交流平台!(0.0)=^_^=(00社区) › 门户 ›I T› UNIX / Linux › 查看内容

如何设定防火墙IP Firewall

2013-4-8 13:48| 发布者: 123456000000| 查看: 34| 评论: 0

摘要: ipFirewall可以有效的增进系统的安全，但是除非你对IPFirewall有相当的了解，否则你可能把你的机器弄的无法上网路。警告!!绝对不要从远端连线设定IPFW，一定要从console!! 不然设定错误，你的连线可能会被中断!! 你 ...

ip Firewall 可以有效的增进系统的安全，但是除非你对 IP Firewall 有
相当的了解，否则你可能把你的机器弄的无法上网路。

警告 !!  绝对不要从远端连线设定 IPFW，一定要从 console !!
         不然设定错误，你的连线可能会被中断 !!

你必须在 kernel config file 中加入 options IPFIREWALL 及 options
IPFIREWALL_VERBOSE，再重新编译 kernel。

在你开始以前，请先 man ipfw。

1. 编辑 /etc/sysconfig，把 firewall=NO 改成 firewall=YES
2. 修改 /etc/rc.firewall
   你可以参照里面的□例，如果看不懂的话，请 man ipfw
   以下是一个简单的例子：

echo "IP Firewall Rules ...."
# true to enable, false to disable

if true; then
        # basic information
        net="140.113.139.0"
        mask="255.255.255.0"
        mask_b="255.255.0.0"
        myip="140.113.139.1"

        # flush all rules
        # FreeBSD-2.2 1996/Sep 以後的版本，请使用 ipfw -f flush (见後 PS)
        /sbin/ipfw flush

        # Allow all connections at last
        # IPFW default rule : "65535 deny all from any to any"
        /sbin/ipfw add 65000 pass all from any to any

        # Allow all connections (the latest match 65000) 本行最後才 match !
        /sbin/ipfw add 65000 pass all from any to any

        # Allow all localhost connections (first match) 本行最先 match !
        /sbin/ipfw add 1000 pass all from 127.0.0.1 to 127.0.0.1
        /sbin/ipfw add 1010 pass all from ${myip} to a

        # Friendly sites (fully access rights)
        # 这些 host 最好用 IP，或是要纪录在 /etc/hosts 中
        /sbin/ipfw add 1100 pass all from Friend1 to any
        /sbin/ipfw add 1120 pass all from Server to any
        /sbin/ipfw add 1130 pass all from FreeBSD.csie.nctu.edu.tw to any

        # deny everything (asshole host)
        /sbin/ipfw add 2000 deny all from 123.123.123.123:${mask} to any

        # deny remote syslogging to get ride of security PRoblem
        /sbin/ipfw add 3000 deny udp from any to any 514

        # deny users out of campus from doing "rusers", "rwall"
        /sbin/ipfw add 4000 pass udp from ${net}:${mask_b} to any 1034,1035
        /sbin/ipfw add 4010 deny udp from any to any 1034,1035

        # deny most hosts from tcpspray me
        /sbin/ipfw add 5000 deny tcp from any to any 9
        /sbin/ipfw add 5010 deny udp from any to any 9
fi

3. 执行 sh /etc/rc.firewall，然後测试各种网路连线看看

後记：
IPFW 一启动後，内定是『拒绝所有连线』!!!
(IPFW 内定 rule : 65535 deny all from any to any)
这点要特别注意，因此如果你下了 ipfw flush 指令，你立刻跟网路隔绝，
连 localhost 也无法连接。
因此通常我们会在最後一个 rule (如 65534) 允许所有连线，然後把 deny
的 rules 都放在前面。

如果你在系统启动之後修改了 /etc/rc.firewall，只要用
sh /etc/rc.firewall 就可以载入新的 rules。
如果你在远端控制，要注意新加的 rule 不要把自己给 ban 掉了啊。

PS. 在 1996/Sep 以後的 ipfw 在执行 ipfw flush 时会询问使用者以求
    确认 (因为 ipfw flush 会导致连线中断)，因此你在撰写 /etc/
    rc.firewall 时请使用 ipfw -f flush。
    你可以打 ipfw -h 看看你的 ipfw 有没有支援 -f 的选项

路过

雷人

握手

鲜花

鸡蛋

收藏分享邀请

		自动登录	找回密码
密码			立即注册

如何设定防火墙IP Firewall

相关阅读

最新评论

相关分类