Ipfirewall (即IPFW)是一个FreeBSD操作系统下的IP数据包过滤和通信记录工具。IPFW作为一个独立的运行时刻可装载模块,就包含在基本的 FreeBSD安装包中。在rc.conf中含有语句“firewall_enable=YES”时,系统会动态地装载内核模块。
第一步:为IPFW而编译FreeBSD内核
这一步是可选的。如果你不想启用NAT功能,你就没有必要将IPFW编译到FreeBSD内核中。然而一些老的版本可能没有编译IPFW。下面我们介绍将IPFW编译进入内核中去的方法。
如果你得到如下的一个错误消息:“ipfw: getsockopt(IP_FW_GET): Protocol not available ”,即协议不可使用,那你就必须编译内核的源代码。
另一个可选项是打开默认的内核配置文件/usr/src/sys/i386/conf,并找到IPFIREWALL选项:
# grep IPFIREWALL /usr/src/sys/i386/conf |
第二步:编译并安装带有IPFW的定制内核
首先是复制默认的内核文件:
# cd /usr/src/sys/i386/conf
# cp GENERIC IPFWKERNEL |
然后增加IPFW支持:
添加下面的指令:
options IPFIREWALL # required for IPFW options IPFIREWALL_DEFAULT_TO_ACCEPT #default allow all
options IPFIREWALL_VERBOSE # optional; logging
options IPFIREWALL_VERBOSE_LIMIT=10 # optional; don't get too many log entries
options IPDIVERT # needed for natd |
保存并关闭文件。编译内核,键入如下的命令:
# cd /usr/src
# make buildkernel KERNCONF=IPFWKERNEL |
安装新的内核:
# make installkernel KERNCONF=IPFWKERNEL |
现在重新启动系统:
第三步:启用IPFW
首先打开/etc/rc.conf文件:
然后,添加如下的设置:
firewall_enable="YES"
firewall_script="YES"
firewall_script="/usr/local/etc/ipfw.rules" |
保存并关闭文件。
第四步:编写防火墙规则脚本
你需要将防火墙规则放到一个被称为/usr/local/etc/ipfw.rule的脚本中:
# vi /usr/local/etc/ipfw.rule |
添加如下的代码:
IPF="ipfw -q add"
ipfw -q -f flush
#loopback
$IPF 10 allow all from any to any via lo0
$IPF 20 deny all from any to 127.0.0.0/8
$IPF 30 deny all from 127.0.0.0/8 to any
$IPF 40 deny tcp from any to any frag
# statefull
$IPF 50 check-state
$IPF 60 allow tcp from any to any established
$IPF 70 allow all from any to any out keep-state
$IPF 80 allow icmp from any to any
# open port ftp (21,22), ssh (22), mail (25)
# http (80), dns (53) etc
$IPF 110 allow tcp from any to any 21 in
$IPF 120 allow tcp from any to any 21 out
$IPF 130 allow tcp from any to any 22 in
$IPF 140 allow tcp from any to any 22 out
$IPF 150 allow tcp from any to any 25 in
$IPF 160 allow tcp from any to any 25 out
$IPF 170 allow udp from any to any 53 in
$IPF 175 allow tcp from any to any 53 in
$IPF 180 allow udp from any to any 53 out
$IPF 185 allow tcp from any to any 53 out
$IPF 200 allow tcp from any to any 80 in
$IPF 210 allow tcp from any to any 80 out
# deny and log everything
$IPF 500 deny log all from any to any |
保存并关闭文件。
第五步:启动防火墙
你可以重新启动服务器,或者通过在命令行输入如下的命令,可以重新加载这些规则:
# sh /usr/local/etc/ipfw.rules |
如果要依次列示所有的规则,需要键入下面的命令:
阅读(630) | 评论(0) | 转发(0) |