用 IPFW 为 FreeBSD 操作系统建立防火墙-gslsok-ChinaUnix博客

高山流水的博客gslsok.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

gslsok

博客访问： 1466872
博文数量： 295
博客积分： 10051
博客等级：上将
技术积分： 3850
用户组：普通用户
注册时间： 2008-04-11 08:50

文章分类

全部博文（295）

服务器应用（5）

vpn（0）

samba（0）

mail（5）

ftp（0）

dns（0）

web（0）
英语学习（6）
人生感悟（4）

笑话（0）
网络技术（53）

网络协议（29）

网页制作（2）

字符编码（18）

Ros 软路由（1）
通信技术（1）
操作系统（120）

Sun Solaris（3）

freebsd（110）

linux（6）

windows（1）

dos（0）
编程开发（54）

java（54）
数据库（50）

Oracle（7）

Mysql（43）
IT资讯（1）
未分配的博文（1）

文章存档

2011年（1）

2009年（4）

2008年（290）

我的朋友

相关博文

用 IPFW 为 FreeBSD 操作系统建立防火墙

分类： BSD

2008-04-19 12:50:05

Ipfirewall （即IPFW）是一个FreeBSD操作系统下的IP数据包过滤和通信记录工具。IPFW作为一个独立的运行时刻可装载模块，就包含在基本的 FreeBSD安装包中。在rc.conf中含有语句“firewall_enable=YES”时，系统会动态地装载内核模块。

第一步：为IPFW而编译FreeBSD内核

这一步是可选的。如果你不想启用NAT功能，你就没有必要将IPFW编译到FreeBSD内核中。然而一些老的版本可能没有编译IPFW。下面我们介绍将IPFW编译进入内核中去的方法。

如果你得到如下的一个错误消息：“ipfw: getsockopt(IP_FW_GET): Protocol not available ”，即协议不可使用，那你就必须编译内核的源代码。

另一个可选项是打开默认的内核配置文件/usr/src/sys/i386/conf，并找到IPFIREWALL选项：

# grep IPFIREWALL /usr/src/sys/i386/conf

第二步：编译并安装带有IPFW的定制内核

首先是复制默认的内核文件：

# cd /usr/src/sys/i386/conf
# cp GENERIC IPFWKERNEL

然后增加IPFW支持：

# vi IPFWKERNEL

添加下面的指令：

options IPFIREWALL # required for IPFW

options IPFIREWALL_DEFAULT_TO_ACCEPT   #default allow all
options IPFIREWALL_VERBOSE # optional; logging
options IPFIREWALL_VERBOSE_LIMIT=10 # optional; don't get too many log entries
options IPDIVERT # needed for natd

保存并关闭文件。编译内核，键入如下的命令：

# cd /usr/src
# make buildkernel KERNCONF=IPFWKERNEL

安装新的内核：

# make installkernel KERNCONF=IPFWKERNEL

现在重新启动系统：

# reboot

第三步：启用IPFW

首先打开/etc/rc.conf文件：

# vi /etc/rc.conf

然后，添加如下的设置：

firewall_enable="YES"
firewall_script="YES"
firewall_script="/usr/local/etc/ipfw.rules"

保存并关闭文件。

第四步：编写防火墙规则脚本

你需要将防火墙规则放到一个被称为/usr/local/etc/ipfw.rule的脚本中：

# vi /usr/local/etc/ipfw.rule

添加如下的代码：

IPF="ipfw -q add"
ipfw -q -f flush

#loopback
$IPF 10 allow all from any to any via lo0
$IPF 20 deny all from any to 127.0.0.0/8
$IPF 30 deny all from 127.0.0.0/8 to any
$IPF 40 deny tcp from any to any frag

# statefull
$IPF 50 check-state
$IPF 60 allow tcp from any to any established
$IPF 70 allow all from any to any out keep-state
$IPF 80 allow icmp from any to any

# open port ftp (21,22), ssh (22), mail (25)
# http (80), dns (53) etc
$IPF 110 allow tcp from any to any 21 in
$IPF 120 allow tcp from any to any 21 out
$IPF 130 allow tcp from any to any 22 in
$IPF 140 allow tcp from any to any 22 out
$IPF 150 allow tcp from any to any 25 in
$IPF 160 allow tcp from any to any 25 out
$IPF 170 allow udp from any to any 53 in
$IPF 175 allow tcp from any to any 53 in
$IPF 180 allow udp from any to any 53 out
$IPF 185 allow tcp from any to any 53 out
$IPF 200 allow tcp from any to any 80 in
$IPF 210 allow tcp from any to any 80 out

# deny and log everything
$IPF 500 deny log all from any to any

保存并关闭文件。

第五步：启动防火墙

你可以重新启动服务器，或者通过在命令行输入如下的命令，可以重新加载这些规则：

# sh /usr/local/etc/ipfw.rules

如果要依次列示所有的规则，需要键入下面的命令：

# ipfw list

阅读(620) | 评论(0) | 转发(0) |

上一篇：FreeBSD Mysql 安装

下一篇：FreeBSD 下安装 MySQL+Apache+PHP 新手指南

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6