FreeBSD handbook中文版 10 安全|数据恢复|北亚数据恢复中心电话:4006-505-808


	您当前的位置:首页>>技术中心>>数据恢复文章>>正文

FreeBSD handbook中文版 10 安全

作者: 来源: 日期:2007-6-19 11:28:55 点击次数：

格源代码路由), lsrr (宽松源代码路由), rr (记录数据包路由),和ts (时间标记)。
established
匹配已经建立TCP 连接的部分数据包。你可以通过在数据链中通过放置一个建立的规则
来调整防火墙的性能。
setup
匹配试图建立一个TCP 连接的数据包。
第36 页FreeBSD 使用手册
tcpflags flags
匹配包含flags标记的用逗号分割的TCP 头。支持的标记是fin, syn, rst, psh, ack,
和urg。
icmptypes types
匹配在types列表中出现的ICMP 类型。列表可以用一个以逗号隔开的联合或分离的排
列形式。通常使用的ICMP 类型是：0 echo reply (ping reply), 3 destination unreachable, 5 redirect,
8 echo request (ping request), 和11 time exceeded
10.7.4.2 列出IPFW 规则
这种形式的命令的语法是：
ipfw [-a] [-t] [-N] l
当使用这种命令时，有三种正确的标记：
-a
当列条目时，显示计数器的值。这个选项是唯一可以看到计数器值的方法。
-t
显示每个数据链记录的最后匹配次数。定时的列表与用ipfw 工具输入的语法是不兼容
的。
-N
试图分解给定的地址和服务名称。
10.7.4.3 提高IPFW 规则
语法是：
ipfw flush
这将把防火墙链中的所有记录都删除，除了内核中指定的可修复的默认策略（索引
65535）。当提高规则时可以使用警告，默认的阻止策略将迫使你的系统断开网络，知道允许
记录被添加到链中。
第37 页FreeBSD 使用手册
10.7.4.4 刷新IPFW 数据包记数器
刷新一个或多个数据包记数器的方法：
ipfw zero [ index]
当使用不带索引值选项时，所有的数据包计数器将被刷新。如果一个索引被启用，那刷
新操作将只影响一个指定的数据链记录。
10.7.5 使用ipfw 命令的例子
这个命令会阻止所有从主机evil.crackers.org 到主机nice.people.org 的telnet 端
口的数据包：
# ipfw add deny tcp from evil.crackers.org to nice.people.org 23
下一个例子会阻止和日志任何从crackers.org 网络（c 类地址）记录到机器
nice.people.org 的TCP 传输（任何端口）。
# ipfw add deny log tcp from evil.crackers.org/24 to nice.people.org
如果你不要任何人发送X 会话给你的内部网络（C 类子网），下面的命令将会作必要的
过滤：
# ipfw add deny tcp from any to my.org/28 6000 setup
看看计算记录：
# ipfw -a list
或用一个简短的形式：
# ipfw -a l
你也可以看看上次相配的数据链记录：
# ipfw -at l
第38 页FreeBSD 使用手册
10.7.6 建构一个数据包过滤防火墙
注意：下面的建议仅仅是建议。每个防火墙的要求是不同的，我们不能告诉你如何建构
一个符合你特殊要求的防火墙。
当一开始设置你的防火墙时，除非你有一个可测试的设置，可以在一个可控的环境中配
置你的防火墙，否则强烈建议你使用命令的日志版本，和在内核中启用日志。这将允许你快
速地确定问题所在，以便不需要太久就可以修复。即使初始安装已经完成，还是建议你使用
日志来“阻止”有可能的攻击，或根据你的要求修改防火墙的规则。
注意：如果你使用接受命令的日志版本，它可以产生巨大的日志数据，所以巨大的
FTP/http 传输将使系统的性能大大下降。在数据包通过之前它会要求内核做更多的工作。
syslogd 将开始使用更多的处理时钟，以至有许多额外的日志被记录到磁盘上，不久就会填
满/var/log 分区。
你可以从/etc/rc.conf.local 或/etc/rc.conf 启用你的防火墙。相关的联机手册会解
释如何列出当前的防火墙配置。如果你不使用当前的配置，ipfw 列表将输出当前的规则设
置到一个文件rc.conf。如果你不使用/etc/rc.conf.local 或/etc/rc.conf 来启用防火墙，