Chinaunix首页 | 论坛 | 博客
  • 博客访问: 299511
  • 博文数量: 64
  • 博客积分: 1770
  • 博客等级: 上尉
  • 技术积分: 588
  • 用 户 组: 普通用户
  • 注册时间: 2006-01-26 18:19
文章分类

全部博文(64)

文章存档

2019年(1)

2014年(1)

2012年(1)

2011年(8)

2010年(19)

2009年(1)

2008年(1)

2007年(12)

2006年(20)

分类: BSD

2006-08-23 22:54:30

  • ipfw过滤规则

      IPFIREWALL的过滤规则是由ipfw命令来设置的,例如下面的规则允许所有127.0.0.1的数据传输。

    # /sbin/ipfw add 1000 pass all from 127.0.0.1 to 127.0.0.1

      ipfw命令中,首先指定对这个规则的处理方式,ipfw add为向内核中的过滤规则中添加,此外,ipfw delete用于删除一条规则,ipfw list用于显示当前定义的所有过滤规则,ipfw flush将清除所有的过滤规则,而ipfw file用于从文件file中读取定义的过滤规则。

      此外,ipfw定义的规则都有自己的序号,其序号可以在处理方式之后指定,如ipfw delete 1000 就是删除第1000条过滤规则,内核中可以同时支持65535条过滤规则。有时可以不使用规则的序号,那么ipfw 就处理当前规则,而处理过一次规则之后,就立即将当前规则序号增加100,这样就对于添加过滤规则时十分方便,不必指定序号,ipfw add将每隔100添加一条过滤规则。

      每个过滤规则中,要首先给出这条规则的处理指令,allow指令(或者使用同义词pass, permit,accept)为许可某类数据包通过;deny指令(或同义词drop)为不允许某类数据包通过,将该类数据包丢弃; reject指令与deny指令有所不同,但它不是简单的将数据包丢弃,而是在丢弃原有数据包的同时,回应ICMP host unreachable,通知发送计算机不能通过它与目的计算机进行通信,这样就免得发起连接请求的计算机一直发送连接请求,造成不必要的数据流量。使用count指令能对该类数据包进行简单记数,这个功能主要用于对网络使用进行记帐。log指令用于将连接发送到系统的日志记录中。

      其中count和log指令与其他指令不同,其他指令都是对数据包进行处理的指令,因此每个数据包只要匹配这个指令,就立即将数据包或转发,或丢弃,不再进行其他处理,而count和log只是记录指令,只是将记录下这个数据包,而数据包本身还将继续受到其他过滤规则的处理。

      过滤规则的第二部分是规定数据包的协议类型,指定规则是用于处理哪种数据包的,FreeBSD可以处理TCP,UCP,ICMP 类型的数据,以及在/etc/protocols文件中定义的其他数据包的类型,上例中使用all ,匹配所有类型的数据包。对于TCP或UDP,还可以在后面定义地址时指定应用的端口号(可以使用数字或/etc/services 中定义端口名字),进一步增加过滤能力。

      过滤规则的第三部分是规定过滤规则适用的地址范围,这可以通过指定源和目的计算机的IP地址范围或数据包通过的网络界面来进行指定。

      

  • 用from规定数据包的来源地址,可以是主机地址或网络;

      

  • 用to规定数据包的目的地址,可以是主机地址或网络;

      

  • 用in或out规定数据包是流向本机,还是向外发送的;

      

  • 用via、recv、xmit规定数据包经过、接收、发送的网络介面,rece可以是接收本地发送的数据包,而xmit一定是向外发送,因此应该和out选项合用;

      例如:屏蔽任何来自192.168.1.5的数据的指令为:

    # ipfw add deny all from 192.168.1.5

      而许可来自192.168.1.0网络上的远程登录的指令为:

    # ipfw add allow tcp from 192.168.1.0/24 telnet

      应用过滤规则的顺序是按照过滤规则的序号,从小到大进行匹配,一旦一个数据包匹配一个过滤规则,就立即按照该规则转发或丢弃,不再需要继续考虑以下的规则(count和log规则除外)。因此在前面的例子中,192.168.1.5 就不能使用telnet连接,因为首先碰到的是不允许的规则,如果两个命令次序相反,则它就能够进行telnet连接。

      最后一条过滤规则,第65535条规则,缺省被设为”deny all from any to any”时,为不允许对任何连接,此时在没有定义其他规则之前,不允许所有的网络连接。但是编译内核时使用IPFIREWALL_DEFAULT_TO_ACCEPT 选项,就能将这条规则改为”allow all from any to any”,允许转发不符合其他规则的所有数据。这两种不同的设置属于两种不同的考虑方式,一种适用于安全性要求较高的系统中,缺省情况不允许外界连接,另一种主要限制部分节点的访问,缺省情况允许任意网络连接,普通系统使用这样的设置更多些。

  • 阅读(1221) | 评论(1) | 转发(0) |
    给主人留下些什么吧!~~