日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

79 FreeBSD連載:設(shè)置和使用ipfilter( 三 )

云知道


這兩句設(shè)置用于過(guò)濾可能會(huì)帶來(lái)安全問(wèn)題的短數(shù)據(jù)包或具備路由信息的數(shù)據(jù)包 。
pass in on fxp0 allpass out on fxp0 allpass in on lo0 allpass out on lo0 allpass用于指定數(shù)據(jù)包可以通過(guò),out與in相反,標(biāo)識(shí)從網(wǎng)絡(luò)界面向網(wǎng)絡(luò)上或其他網(wǎng)絡(luò)界面發(fā)送的數(shù)據(jù)包,而on fxp0或on lo0標(biāo)識(shí)進(jìn)行處理的網(wǎng)絡(luò)界面 。這里的設(shè)置允許內(nèi)部網(wǎng)絡(luò)界面、loopback網(wǎng)絡(luò)界面可以自由發(fā)送和接收數(shù)據(jù)包 。
block in log on fxp1 allblock out log on fxp1 all為了安全起見(jiàn),除了明確指定可以發(fā)送和接收的數(shù)據(jù)包之外,屏蔽其余的外部網(wǎng)絡(luò)界面進(jìn)行數(shù)據(jù)發(fā)送和接收 。
block in log quick on fxp1 from 10.0.0.0/8 to anyblock in log quick on fxp1 from 192.168.0.0/16 to anyblock in log quick on fxp1 from 172.16.0.0/12 to anyblock in log quick on fxp1 from 127.0.0.0/8 to any上面的設(shè)置明確屏蔽具備內(nèi)部網(wǎng)絡(luò)地址的數(shù)據(jù)包被轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)去,由于ipfilter中地址轉(zhuǎn)換和包過(guò)濾是在同一個(gè)系統(tǒng)中完成的,因此不必?fù)?dān)心它們會(huì)發(fā)生沖突問(wèn)題 。
pass out log on fxp1 proto icmp all keep statepass out log on fxp1 proto tcp/udp from any to any keep stateproto用于指定不同的協(xié)議,通??梢栽O(shè)置為tcp, udp和icmp 。這兩行設(shè)置允許TCP, UDP, ICMP協(xié)議的數(shù)據(jù)包可以向外發(fā)送出去,keep state用于標(biāo)識(shí)建立TCP連接之后的數(shù)據(jù)包,或者ICMP、UDP的回應(yīng)數(shù)據(jù)包,以允許回應(yīng)數(shù)據(jù)包能發(fā)送回內(nèi)部網(wǎng)絡(luò) 。
pass in quick on fxp1 proto tcp from any to any port = ftp-data keep statepass in quick on fxp1 proto tcp from any port = ftp-data to any port > 1023 keep stateftp中將打開(kāi)額外的端口以進(jìn)行數(shù)據(jù)傳輸,這兩個(gè)設(shè)置允許對(duì)ftp數(shù)據(jù)端口的數(shù)據(jù)包能夠進(jìn)行轉(zhuǎn)發(fā) 。
block return-rst in log on fxp1 proto tcp from any to any flags S/SAblock return-icmp(net-unr) in log on fxp1 proto udp from any to any對(duì)于其他tcp連接請(qǐng)求,防火墻回應(yīng)一個(gè)RST數(shù)據(jù)包關(guān)閉連接,S/SA標(biāo)識(shí)TCP數(shù)據(jù)包的標(biāo)志,S為Syn,A為Ack,而S/SA表示對(duì)Syn和Ack中的Syn標(biāo)志進(jìn)行檢查,這類(lèi)數(shù)據(jù)包是用于設(shè)定連接的數(shù)據(jù)包 。對(duì)UDP請(qǐng)求,防火墻回應(yīng)網(wǎng)絡(luò)不可達(dá)到的ICMP包 。
上面的例子將屏蔽外部計(jì)算機(jī)發(fā)向網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)包,但允許內(nèi)部向外的發(fā)起網(wǎng)絡(luò)訪問(wèn) 。如果要允許外部網(wǎng)絡(luò)對(duì)內(nèi)的訪問(wèn),就必須增加其他pass in規(guī)則,以使得過(guò)濾規(guī)則能適應(yīng)更復(fù)雜的情況 。為了使上面的設(shè)置生效,必須將過(guò)濾規(guī)則加入到內(nèi)核中去,這需要使用ipf命令 。
# ipf -Fa# ipf -f/etc/ipf.conf首先使用-Fa標(biāo)志清除所有的過(guò)濾規(guī)則,然后將ipf.conf中的設(shè)置加入系統(tǒng)中 。此后,可以使用ipfstat來(lái)檢查ipfilter進(jìn)行過(guò)濾的各種統(tǒng)計(jì)信息 。
# ipfstat input packets:blocked 227 passed 116210 nomatch 68219 counted 0output packets:blocked 0 passed 74586 nomatch 20316 counted 0 input packets logged: blocked 227 passed 24883output packets logged: blocked 0 passed 17153 packets logged: input 0 output 0 log failures:input 25028 output 17139fragment state(in): kept 0 lost 0fragment state(out): kept 0 lost 0packet state(in): kept 1 lost 0packet state(out): kept 14 lost 8ICMP replIEs: 160 TCP RSTs sent: 9Result cache hits(in): 47523 (out): 53694IN Pullups succeeded: 0 failed: 0OUT Pullups succeeded: 0 failed: 0Fastroute successes: 0 failures: 0TCP cksum fails(in): 0 (out): 0Packet log flags set: (0x10000000) packets passed through filter雖然在規(guī)則中指定了log選項(xiàng),但是缺省時(shí)候syslogd并不會(huì)記錄ipfilter發(fā)送的信息 。符合規(guī)則的數(shù)據(jù)記錄并沒(méi)有真正被發(fā)送到系統(tǒng)日志記錄中,必須使用ipmon打開(kāi)記錄功能 。
# ipmon -s -n -x由于ipmon使用的是syslog的local0通道,缺省情況下local0通道并沒(méi)有打開(kāi),因此只有很少的錯(cuò)誤信息被發(fā)送到/var/log/messages文件中 。為了打開(kāi)local0通道,還需要改動(dòng)syslogd.conf,增加下面的設(shè)置,以記錄ipfilter的全部記錄 。

推薦閱讀