ipfw add allow tcp from my-net to any setup keep-state
這里讓防火墻建立一個(gè)動(dòng)態(tài)規(guī)則，為了那些來自網(wǎng)絡(luò)內(nèi)部的帶有有序的SYN的包的啟動(dòng)連接 。當(dāng)遇到第一個(gè)check-state 或keep-state 規(guī)則，動(dòng)態(tài)規(guī)則將被檢查 。一個(gè)check-state 規(guī)則通常是放置在規(guī)則表 里的開始的部分到工作掃描規(guī)則表的最少的幾個(gè)，你的長度可能會(huì)不一樣 。

一個(gè)用戶可以開通的最大連接數(shù)，可以使用下列規(guī)則類型：

ipfw add allow tcp from my-net/24 to any setup limit src-addr 10
ipfw add allow tcp from any to me setup limit src-addr 4

前者是允許沒一個(gè)在那個(gè)網(wǎng)絡(luò)上的主機(jī)可以開10個(gè)tcp連接 。后面的將被放到服務(wù)器上，去證實(shí)單一的客戶端沒有同時(shí)使用4個(gè)以上的tcp連接 。

BEWARE:數(shù)據(jù)規(guī)則可能會(huì)被 SYN-flood 攻擊，還有其他一些的攻擊手段可以在設(shè)置sysctl的變量的時(shí)候限制他們 。


這里有一些好辦法，去察看那些賬戶紀(jì)錄和時(shí)間段的信息：

ipfw -at list

不帶時(shí)間段的：

ipfw -a list

同意義的：

ipfw show

下一個(gè)規(guī)則將所有來自192.168.2.0/24的包轉(zhuǎn)到為5000端口去：

ipfw divert 5000 ip from 192.168.2.0/24 to any in

TRAFFIC SHAPING
下列規(guī)則顯示ipfw and dummynet的一些應(yīng)用 。

這個(gè)規(guī)則5%的幾率隨機(jī)丟掉引入的包：

ipfw add prob 0.05 deny ip from any to any in

作一個(gè)dummynet pipes也可以達(dá)到同樣的效果:

ipfw add pipe 10 ip from any to any
ipfw pipe 10 config plr 0.05

我們可以使用管道，手工限制寬帶，例如，在一個(gè)當(dāng)路由器的及其上，如果我們想限制從本地192.168.2.0/24客戶端通信，做法如下：

ipfw add pipe 1 ip from 192.168.2.0/24 to any out
ipfw pipe 1 config bw 300Kbit/s queue 50KBytes

注意我們用非修改的，所以，那個(gè)規(guī)則只能用一次 。記住實(shí)際上，ipfw規(guī)則在進(jìn)和出的包都要檢查 。

我們應(yīng)該模擬一個(gè)帶有限帶寬的雙向的連接，以下是正確的做法：

ipfw add pipe 1 ip from any to any out
ipfw add pipe 2 ip from any to any in
ipfw pipe 1 config bw 64Kbit/s queue 10Kbytes
ipfw pipe 2 config bw 64Kbit/s queue 10Kbytes

上述的很重要，例如，如果你想看你的網(wǎng)頁將怎樣尋找你那個(gè)連接很慢的用戶 。你應(yīng)該不僅僅使用一個(gè) 通道為雙向連接，除非你想模擬一個(gè)半雙工的方法(例如：AppleTalk, Ethernet, IRDA)，雙通道有同樣的 設(shè)置是不可取的，所以我們也模擬不均衡的連接 。

我們應(yīng)該用RED queue運(yùn)算法則測(cè)試網(wǎng)絡(luò)：

ipfw add pipe 1 ip from any to any
ipfw pipe 1 config bw 500Kbit/s queue 100 red 0.002/30/80/0.1

另一個(gè)典型的應(yīng)用是介紹一些通訊中的延遲 。這個(gè)可以影響非常多的關(guān)于遠(yuǎn)端程序調(diào)用的應(yīng)用 。

ipfw add pipe 1 ip from any to any out
ipfw add pipe 2 ip from any to any in
ipfw pipe 1 config delay 250ms bw 1Mbit/s
ipfw pipe 2 config delay 250ms bw 1Mbit/s

每一流程的可以用在多種意圖里，一個(gè)簡(jiǎn)單的例子就是計(jì)算流量：

ipfw add pipe 1 tcp from any to any
ipfw add pipe 1 udp from any to any
ipfw add pipe 1 ip from any to any
ipfw pipe 1 config mask all

上面的規(guī)則設(shè)置將建立一個(gè)列隊(duì)(并收集統(tǒng)計(jì)表)為所有的通信 。因?yàn)楣艿罌]有局限性，僅受統(tǒng)計(jì)表的影響 。注意我們需要3個(gè)規(guī)則，不只是最后一個(gè)，因?yàn)楫?dāng)ipfw試圖匹配ip包，他將不考慮端口，所以我們不關(guān)心在單獨(dú)端口上的連接 。

一個(gè)經(jīng)典的例子是限制有主機(jī)限制的網(wǎng)絡(luò)的通信的外出，要比網(wǎng)絡(luò)限制的好：

ipfw add pipe 1 ip from 192.168.2.0/24 to any out
ipfw add pipe 2 ip from any to 192.168.2.0/24 in
ipfw pipe 1 config mask src-ip 0x000000ff bw 200Kbit/s queue
20Kbytes
ipfw pipe 2 config mask dst-ip 0x000000ff bw 200Kbit/s queue

推薦閱讀

• 

  櫻花有多少片花瓣
• 

  小森生活木頭刷新位置大全 小森生活全木頭掉落點(diǎn)匯總
• 

  湖南長沙的特產(chǎn)有什么，長沙有什么特色的特產(chǎn)
• 

  韭苔炒雞蛋怎么做好吃 有哪些步驟
• 

  2022天津各區(qū)工傷保險(xiǎn)部門聯(lián)系方式和地址
• 

  用錫紙保鮮膜能當(dāng)蒸籠布嗎
• 

  一塵不染的染是什么意思 染相關(guān)介紹
• 

  粉蒸肉用什么肉
• 

  黃豆醬和礦泉水什么意思
• 

  金利來giy是什么檔次
• 

  嫦娥五號(hào)是探月工程的第幾次任務(wù)
• 

  膠水粘在穿戴甲上怎么去除
• 

  夾膠玻璃的缺點(diǎn)
• 

  我國外交政策的出發(fā)點(diǎn)是什么
• 

  又簡(jiǎn)單的三分六向刷睫毛膏小技巧 睫毛膏怎么刷
• 

  得圖公司怎么樣,JDI的屏幕怎么樣

• FreeBSD ipfw 防火墻基礎(chǔ)指南
• FreeBSD 利用IPFW實(shí)現(xiàn)限制局域網(wǎng)使用QQ
• FreeBSD下的帶寬控制 -- ipfw+dummynet
• FreeBSD MRTG-Packet Count
• 足球有哪些需要了解的規(guī)則？
• 怎么快速學(xué)會(huì)劃拳
• 刑事證據(jù)采信規(guī)則是怎樣的
• Ipf+ipnat+ipfw建立帶流量控制的透明網(wǎng)關(guān)
• 向往的生活中的數(shù)馬游戲規(guī)則介紹
• 78 FreeBSD連載：設(shè)置和使用ipfw/natd