翻译人:chinaunix的lsstarboy
ipfw是下的一个用户界面,它用来控制ipfw防火墙和流量整形。BSD爱好者乐园 `$F(Y�n�e)k
BSD爱好者乐园�L�V3`�d&K�L�f
BSD爱好者乐园#`�u7Y8z!A r.t�Q
ipfw的配置,也叫做规则集,它是由一系列的规则组成的,这些规则的编号是从1到65535。通过ipfw的数据包可以来自协议的许多各个的地方(这主要依赖于数据包的来源和目的,某些数据包很可多次经过)。数据包在通过防火墙的时候,要和防火墙规则集逐条对比。如果发现匹配的规则,则执行相应规则的动作。BSD爱好者乐园�h8S'G&T�Y�E�@�w/H&h,p'p�B
BSD爱好者乐园+^�T7T0T7x�I�W"x q�M
在特定的规则动作和系统设置下,数据包在匹配完一个规则后,可能在某些规则之后重新进入防火墙。
�j(T"F�]�~4P�u�E/K�Y�I�N
@,V�i)T�R 一个ipfw规则集总是包含一个默认的规则(编号为65535),这个默认规则匹配所有的数据包,不能修改或。根据配置的不同,这个默认规则或者是拒绝所以数据包通过,或者是允许所有数据包通过。BSD爱好者乐园3W�W�^;r�h;e#p
BSD爱好者乐园�M1t�Q�D�l�P
如果规则集中存在一个或多个包含有keep-state(状态保持)或limit(限制)的规则,那么ipfw就表现为状态保持。例如:当这种规则匹配
了一个数据包时,ipfw将创建一个动态规则,让后来的,同这个数据包的地址和端口参数严格一致的数据包,与这个动态规则相匹配。
�@�U"f�~�d�T8A�}�kBSD爱好者乐园�d;~4B4P3z�L
这些动态规则,都有一个有限的生存期。生存期在第一次遇到check-state、keep-state或者是limit规则时被检查。这些动态规则的
典型应用,是用来保证合法的数据包在通过时开启防火墙。查看下面的“状态防火墙”和“示例”章节,获取更多关于状态保持的信息。
�[�_�@�T8r�q%O�[BSD爱好者乐园2e�d�O3r�E9E
包括动态规则在内的所有规则,都有几个相关的计数器:一个包计数器,一个字节计数器,一个记录计数器和一个用来提示最后匹配时间的时间戳。这些计数器都可以被ipfw命令显示和清零。BSD爱好者乐园�@�M,c�a�Y)H
阅读(358) | 评论(0) | 转发(0) |
