以上為允許www和ftp進入,并且允許對ftp數據端口的數據進行轉發(fā) block in quick on fxp0 all 禁止其他的連接進入。使用IPFILTER設置小型企業(yè)防火墻系統(tǒng)( 二 )。" />

日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

使用IPFILTER設置小型企業(yè)防火墻系統(tǒng)( 二 )

云知道


pass in quick on fxp0 proto tcp from any to any port 30000 >< 50001 flags S/SA keep state
以上為允許www和ftp進入,并且允許對ftp數據端口的數據進行轉發(fā)

block in quick on fxp0 all
禁止其他的連接進入fxp0

block in log quick on fxp0 proto icmp from any to any icmp-type redir
block in log quick on fxp0 proto icmp from any to any
block in log quick on fxp0 proto icmp from any to any icmp-type echo
以上為禁止別人ping我得網絡

block return-rst in log on fxp0 proto tcp from any to any flags S/SA
block return-icmp(net-unr) in log on fxp0 proto udp from any to any
以上對其他tcp請求,防火墻回應一個RST數據包關閉連接 。對UDP請求,防火墻回應網絡不可達到的ICMP包 。
或者在/etc/sysctl.conf中加入:
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
能夠有效地避免端口掃描

3、然后編輯/etc/rc.conf,加入一下命令,讓ipfilter和ipnat在系統(tǒng)啟動的時候可以自動加載:
ipfilter_enables=”YES”
ipf –C –f /etc/ipf.rules
ipfilter_flags=”-E”

ipnat_enable=”YES”
ipnat_program=”/sbin/ipnat –CF -f”
ipnat_rules=”/etc/ipnat.rules”

ipmon_enable=”YES”
ipmon_flags=”-D /var/log/ipfilter.log”
4、在/usr/log/建立文件ipfilter.log,并更改其屬性為755,這樣你的防火墻日志就記錄到/var/log/ipfilter.log文件中,可以隨時對其進行查看 。

四、設置FTP服務器,使其支持被動連接(pasv)
1.Proftpd:編輯你的proftpd的配置文件proftpd.conf,加入一下內容:
MasqueradeAddress x.x.x.x
PassivePorts 30001 50000
2.Pure-ftpd:編輯你的FTP配置文件,加入一下內容:
PassivePortRange 30001 50000
ForcePassiveIP x.x.x.x
3.Serv-U:
a、在serv-U的”本地服務器”―――”設置”―――”高級”―――”PASV端口范圍”輸入30001 50000
b、在serv-U的”域”―――”你自己建立的域”―――”設置”―――”高級”選中”允許被動模式傳送”,” 使用IP”輸入:x.x.x.x

推薦閱讀