日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

ipfw規(guī)則( 三 )

云知道


ipfw add 100 allow ip from { x or not y or z } to any
只有擴(kuò)號(hào)內(nèi)一種模式被允許 。要小心,有一些內(nèi)核對(duì)擴(kuò)號(hào)有特殊的含義,所以明智的辦法就是放一個(gè)斜杠“”在他們前面來(lái)杜絕這種情況 。
一個(gè)規(guī)則的軀干通常必須有來(lái)源和目的地址,關(guān)鍵字"any"可用在不同的地方標(biāo)示,滿足的條件是任意的 。
規(guī)則的軀干有下列格式:
[proto from src to dst] [options]
第一部分(protocol from src(源) to dst(目的))是用ipfw1兼容的 。在ipfw2,任何匹配模式(包括MAC地址,IPv4 protocols,,地址和端口)可以在選項(xiàng)部分被指定 。
規(guī)則部分有以下含義:
proto: protocol | { protocol or ... }
一個(gè)IPv4 協(xié)議(或一個(gè),或多個(gè))由號(hào)碼或名字指定(察看/etc/protocols) 。ip或所有的關(guān)鍵字意味著將匹配所有的協(xié)議 。
src and dst: ip-address | { ip-address or ... } [ports]
一個(gè)單獨(dú)的ip地址,一個(gè)或包含多個(gè)的,由端口設(shè)置決定他們的走向 。
ip-address:
一個(gè)指定的地址(或地址設(shè)置)在下列方法的其中一個(gè)里由非操作項(xiàng)控制 。
any 匹配任何ip 。
me 匹配系統(tǒng)接口的任何ip 。在數(shù)據(jù)包被分析的時(shí)候,會(huì)查詢ip列表的 。
numeric-ip | hostname
匹配一個(gè)單獨(dú)的ip地址或主機(jī)名,主機(jī)名也可以添加防火墻列表的 。
addr/masklen
匹配所有的ip地址或主機(jī)名(帶掩瑪?shù)膇p段)例如,1.2.3.4/25,將匹配所有的ip從1.2.3.0到1.2.3.127 。
addr/masklen{num,num,...}
還有一種如下例:1.2.3.4/24{128,35,55,89},此規(guī)則則匹配以下ip地址:
1.2.3.128 1.2.3.35 1.2.3.55 1.2.3.89 .
這種格式是特殊用于處理單獨(dú)規(guī)則里面少量的地址 。
ports: [not] {port | port-port} [,...]
支持端口號(hào)的協(xié)議(例如:TCP and UDP),隨意的端口號(hào)可以被指定,一個(gè),多個(gè),胡哦這是一個(gè)范圍,用“,”隔開(不能有空格),并且一個(gè)隨意的沒有具體的項(xiàng) ?!?”符號(hào)指定帶邊界的范圍 。
服務(wù)器(from /etc/services)的名字可以用數(shù)字的端口值代替 。端口的長(zhǎng)度被限制到30,或一個(gè)范圍內(nèi),盡管這個(gè)范圍在規(guī)則里很大 。
""可以劈開用"-"在shell里的沖突(有的服務(wù)器有自己的定義) 。
ipfw add count tcp from any ftp-data-ftp to any
一個(gè)非零的包的碎片(也就是不是第一段的)將不匹配規(guī)則規(guī)則 ??搓P(guān)于碎片設(shè)置的詳細(xì)資料 。
RULE OPTIONS (匹配模式)
附加的匹配模式可以被用在規(guī)則里面 。0或者其他所謂的設(shè)置都可以出現(xiàn)在規(guī)則里,前置由非操作數(shù)和可能的區(qū)域里的組決定 。
以下匹配模式可以使用:
bridged
指匹配過渡的數(shù)據(jù)包 。
dst-ip ip address
匹配ip包,看誰(shuí)的目的地址是清單里的其中一個(gè) 。
dst-port source ports
匹配ip包,看誰(shuí)的目的端口是清單里的其中一個(gè) 。
established
匹配那些有RST or ACK bits設(shè)置的TCP包 。
frag 匹配那些片斷或者不是第一段的ip數(shù)據(jù)包,注意,這些包不具備下一個(gè)協(xié)議頭(e.g. TCP, UDP),所以這些玄想不能被匹配 。
gid group
匹配所有被組(組可以是指定的名字或數(shù)字)承認(rèn)的TCP or UDP包 。
icmptypes types
匹配所有的列在ICMP類表里的ICMP包 。列表可以是一個(gè)指定的范圍,或者是逗號(hào)隔開的個(gè)別類型 。這里支持的ICMP類型有:
echo reply (0), destination unreachable (3), source quench (4),
redirect (5), echo request (8) , router advertisement (9), router
solicitation (10), time-to-live exceeded (11), IP header bad
(12), timestamp request (13), timestamp reply (14), information
request (15), information reply (16), address mask request (17)
and address mask reply (18) .
in | out
分別的匹配進(jìn)出的包,進(jìn)和出是互斥的(實(shí)際上,出就是執(zhí)行不進(jìn)) 。
ipid id
匹配IP包里的Id值 。
iplen len

推薦閱讀