FreeBSD handbook中文版 10 安全|数据恢复|北亚数据恢复中心电话:4006-505-808


	您当前的位置:首页>>技术中心>>数据恢复文章>>正文

FreeBSD handbook中文版 10 安全

作者: 来源: 日期:2007-6-19 11:28:55 点击次数：

# ipfw zero 4500
这儿的4500 是你希望继续日志的数据链记录。
先前的FreeBSD 版本已经包含了IPFIREWALL_ACCT 选项。现在，现在把它作为防火墙代
码已经变得很陈旧了。
10.7.4 配置IPFW
IPFW 的配置可以通过使用ipfw 工具来完成。这个命令的语法看起来很复杂，但一旦
你理解个它的结构就会变得很简单。
当前，这个工具可以使用四种不同的命令：addition/deletion, listing, flushing 和clearing。
Addition/deletion 被用来建构控制数据包如何被接受，拒绝，和日志的控制规则。Listing 被
用来检查你规则设置的内容和数据包记数器。Flushing 被用来删除所有记录链的记录。
Clearing 被用来对一个或多个记数记录进行清零。
10.7.4.1 改变IPFW 的规则
这种形式的命令语法是：
ipfw [-N] command [index] action [log] protocol addresses [options]
第33 页FreeBSD 使用手册
当使用这种形式的命令时，会有一个正确的标记：
-N
在输出中解决地址和服务的名称。
给出的命令可以被缩短到最短的独特形式。正确的命令是这样的：
add
添加一个记录到firewall/accounting 规则列表
delete
从firewall/accounting 规则列表中删除一个记录
先前使用的IPFW 可以分离firewall 和accounting 记录。现在的版本提供了与每个防
火墙记录数据包accounting。
如果提供一个索引值，它会被放置在数据链中的一个指定点的记录。否则，记录会被放
置在超过上次数据链记录的索引值100 的数据链的结尾（这不包括默认的策略，一般是
65535，deny）。
如果内核编译进IPFIREWALL_VERBOSE，日志选项会把匹配规则输出到系统控制台。
正确的指令是:
reject
阻止数据包，然后发送一个ICMP 主机或无法到达数据包端口给数据源。
allow
通过数据包。（别名：pass and accept）
deny
阻止数据包。数据源没有得到ICMP 消息的通报。
count
升级数据包记数器，但不允许/阻止以这个规则为基础的数据包。会继续对下一个数据
链记录进行搜索。
第34 页FreeBSD 使用手册
每个动作会通过加上一个简短明确的前缀来验证。
可能被指定的协议是：
all
匹配所有的IP 数据包
icmp
匹配ICMP 数据包
tcp
匹配TCP 数据包
udp
匹配UDP 数据包
地址的规则：
from address/mask [ port] to address/mask [ port] [via interface]
你可以只指定与支持端口的协议相关联的端口(UDP 和TCP)。
所通过的路径是可选择的，可以指定一个本地IP 接口的IP 地址或域名，或是一个只与
来自这个接口的数据包匹配的接口名（如：ed0）.接口单位数目可以用一个可选择的通配符
来表示。例如，ppp*将匹配所有内核PPP 接口。
指定一个address/mask的语法：
address
或
address/ mask-bits
或
address: mask-pattern
第35 页FreeBSD 使用手册
一个正确的主机名可以被指定用来代替IP 地址。mask-bits是一个十进制的数，可以
用来表示地址将被设置成多少位。例如，指定192.216.222.1/24 将创建一个允许与在C 类
子网中所有的地址相匹配的地址范围。（在这个例子中是，192.216.222）。mask-pattern
是一个将与给定的地址想逻辑联系的IP 地址。任何关键字都可以被用来指定“任何IP 地址”。
指定将被阻止的端口号码：
port [, port [, port [...]]]
指定一个简单的端口或端口列表，
port- port
指定一个端口范围。你也可以结合一个简单的列表范围，但范围必须先被指定。
可用的选项是：
frag
匹配数据包中第一个片段。
in
匹配进入的数据包
out
匹配输出的数据包
ipoptions spec
匹配IP 头包含用逗号分割的用spec指定的选项列表。IP 选项的支持列表是：ssrr (严