日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

ipfw規(guī)則( 七 )

云知道


3:如果記錄整個(gè)網(wǎng)絡(luò)的日志,裝載ipfw的kld版本,她不像你想象的那么簡單 。介紹以下命令行:
kldload /modules/ipfw.ko &&
ipfw add 32000 allow ip from any to any

Along the same lines, doing an

ipfw flush

in similar surroundings is also a bad idea.

3:ipfw過濾器列表不可以被修改,如果系統(tǒng)的安全級(jí)別為3或更高(see init(8)for information on system security levels).

PACKET DIVERSION
一個(gè)轉(zhuǎn)向插座躍向指定的端口將接收到的所有包轉(zhuǎn)到那個(gè)端口 。如果沒有socket 被邦定到指定端口,或者內(nèi)核不支持,包將被丟棄 。

SYSCTL VARIABLES
內(nèi)核變量的設(shè)置將控制防火墻的行為和聯(lián)合模塊( dummynet, bridge ) 。這里一起介紹他們,包括他們的默認(rèn)值:

net.inet.ip.dummynet.expire: 1
一旦如果沒有了沒完的通信,就刪除動(dòng)態(tài)pipes/queue 。你可以停止這個(gè),將變量設(shè)置為0,這個(gè)情況下,僅在極限到頭的時(shí)候刪除pipes/queue 。

net.inet.ip.dummynet.hash_size: 64
動(dòng)態(tài)pipes/queue的默認(rèn)哈示表 。這個(gè)默認(rèn)值是當(dāng)沒有buckets 被指定當(dāng)配置pipe/queue時(shí) 。

net.inet.ip.dummynet.max_chain_len: 16
pipes/queues 在hash bucket里最大的目標(biāo)值 。max_chain_len*hash_size習(xí)慣用于測(cè)試將被關(guān)閉的,甚至net.inet.ip.dummynet.expire=0的空pipes/queues 的極限 。

net.inet.ip.dummynet.red_lookup_depth: 256

net.inet.ip.dummynet.red_avg_pkt_size: 512

net.inet.ip.dummynet.red_max_pkt_size: 1500
此參數(shù)是估算在使用RED法則的時(shí)候包丟失的幾率 。

net.inet.ip.fw.autoinc_step: 100
是在兩個(gè)規(guī)則號(hào)之間隨機(jī)產(chǎn)生的,次數(shù)值在范圍1..1000之間 。

net.inet.ip.fw.curr_dyn_buckets: net.inet.ip.fw.dyn_buckets
動(dòng)態(tài)規(guī)則的哈希表里的buckets當(dāng)前值(只讀的)

net.inet.ip.fw.debug: 1
由ipfw控制的調(diào)試信息 。

net.inet.ip.fw.dyn_buckets: 256
動(dòng)態(tài)規(guī)則的哈希表里的buckets值,必須是2的冪數(shù),最大到65536 。他僅在所有的動(dòng)態(tài)的規(guī)則停止的時(shí)候起作用,所以你仔細(xì)考慮是否使用Flush命令,來確定調(diào)整哈希表的大小 。

net.inet.ip.fw.dyn_count: 3
動(dòng)態(tài)規(guī)則的當(dāng)前號(hào) 。

net.inet.ip.fw.dyn_keepalive: 1

Enables generation of keepalive packets for keep-state rules on
TCP sessions. A keepalive is generated to both sides of the con-
nection every 5 seconds for the last 20 seconds of the lifetime
of the rule.
net.inet.ip.fw.dyn_max: 8192
動(dòng)態(tài)規(guī)則的最大數(shù)值 。當(dāng)你遇到這個(gè)限制的話,不會(huì)再產(chǎn)生動(dòng)態(tài)規(guī)則了,直到哪一個(gè)規(guī)則被終止 了 。

net.inet.ip.fw.dyn_ack_lifetime: 300

net.inet.ip.fw.dyn_syn_lifetime: 20

net.inet.ip.fw.dyn_fin_lifetime: 1

net.inet.ip.fw.dyn_rst_lifetime: 1

net.inet.ip.fw.dyn_udp_lifetime: 5

net.inet.ip.fw.dyn_short_lifetime: 30
這些變量控制著動(dòng)態(tài)規(guī)則的存活時(shí)間,用秒 。在初始的SYN上交換的存活時(shí)間一直是很短的,之后,當(dāng)雙SYN出現(xiàn)以后開始遞增,然后在最后FIN交換期間或者是RST被接收時(shí)開始遞減dyn_fin_lifetime和dyn_rst_lifetime必須嚴(yán)格控制在5秒之內(nèi),keepalives的重復(fù)周期 。防火墻會(huì)強(qiáng)制執(zhí)行這個(gè)的.

net.inet.ip.fw.enable: 1
激活防火墻,如果設(shè)置為0,則關(guān)閉防火墻,即使編譯也沒用 。

net.inet.ip.fw.one_pass: 1
設(shè)置時(shí),從dummynet(man dummynet)管道出來的包不再通過防火墻,另外,包會(huì)被放到防火墻的下一條規(guī)則里去 。
注意:bridged and layer 2管道出來的包不管設(shè)置如何,將不會(huì)被放到防火墻里面了 。

net.inet.ip.fw.verbose: 1
激活詳細(xì)信息 。

net.inet.ip.fw.verbose_limit: 0
限制由詳細(xì)的防火墻產(chǎn)生的信息號(hào) 。

net.link.ether.ipfw: 0
控制layer-2的包是否允許ipfw,默認(rèn)為"不是" 。

net.link.ether.bridge_ipfw: 0

推薦閱讀