日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

FREEBSD中使用IPFW來(lái)過(guò)濾ICMP服務(wù)( 二 )

云知道



指令,而log只是記錄這個(gè)數(shù)據(jù)包,而數(shù)據(jù)包本身還將繼續(xù)受到其它過(guò)濾

規(guī)則的處理,而icmp欄本身是過(guò)濾規(guī)則中規(guī)定數(shù)據(jù)包的協(xié)議類型,指定規(guī)

則是用于處理哪種數(shù)據(jù)包的,F(xiàn)reeBSD可以處理TCP,UCP,ICMP 類型的數(shù)據(jù),

以及在/etc/protocols文件中定義的其它數(shù)據(jù)包的類型,上例中指定類型

是ICMP,因?yàn)槲覀円獙?duì)ICMP進(jìn)行處理,而from $ip to any是規(guī)定過(guò)濾規(guī)則

適用的地址范圍,這可以通過(guò)指定源和目的計(jì)算機(jī)的IP地址范圍或數(shù)據(jù)包

通過(guò)的網(wǎng)絡(luò)界面來(lái)進(jìn)行指定:



--用from規(guī)定數(shù)據(jù)包的來(lái)源地址,可以是主機(jī)地址或網(wǎng)絡(luò);

--用to規(guī)定數(shù)據(jù)包的目的地址,可以是主機(jī)地址或網(wǎng)絡(luò);

--用in或out規(guī)定數(shù)據(jù)包是流向本機(jī),還是向外發(fā)送的;



所以第三條的規(guī)則意思是允許你使用到任何地址使用icmptype 8,echo-request,

而第四條是你獲得icmptype 0,echo-reponse信息,但阻止你發(fā)送echo-reponse.



這上面的示例能比較好的阻止一些端口掃描器的掃描,因?yàn)槎鄶?shù)端口一般開始使用

ping來(lái)查看是否主機(jī)在線,但上面我們的traceroute就不能工作了,traceroute

先發(fā)送UDP信息包并等待icmp包返回,因此下面的規(guī)則是阻止入站的icmp type 8,

但允許所需要的icmp類型入站來(lái)進(jìn)行traceroute的tracing(追蹤):



參照下面的列表:

0 echo-reply ping

3 destination-unreachable Any TCP/UDP traffic. (目標(biāo)主機(jī)不可達(dá))

5 redirect routing if not running routing daemon (如沒(méi)有有運(yùn)行routing

守護(hù)程序復(fù)位向routing)

8 echo-request ping

11 time-exceeded traceroute (traceroute超時(shí))

當(dāng)然icmp還有其它類型,請(qǐng)參看Request for Comments: 792





1, ipfw add pass log udp from $ip to any

2, ipfw add pass log icmp from $ip to any icmp 8

3, ipfw add pass log icmp from not $ip to any icmp 0

4, ipfw add pass log icmp from not $ip to any icmp 11

5, ipfw add pass log icmp from not $ip to any icmp 3



上面的規(guī)則4是接受icmp type 11但拒絕你發(fā)送,規(guī)則5是接受icmp type 3,但

拒絕你發(fā)送icmp type 3的信息 。



按照上面的規(guī)則并進(jìn)行測(cè)試,你可以traceroutes和ping目標(biāo)主機(jī)防火墻規(guī)則能

接受它們的回應(yīng),而你可以讓你朋友traceroute/ping你的目標(biāo)主機(jī),但他講不會(huì)

得到任何回應(yīng)或者出現(xiàn)超時(shí)錯(cuò) 。





總結(jié):icmp和其它協(xié)議不同之處是icmp過(guò)濾使用類型而不使用端口,一般應(yīng)用程序

可以使用端口來(lái)增加過(guò)濾功能,但icmp是用類型類規(guī)定進(jìn)出站的信息,如"echo-request"

是入站信息而"echo-response"是出站信息,這樣就可以對(duì)信息進(jìn)行過(guò)濾 。



具體一般協(xié)議的規(guī)則使用方法是在目標(biāo)和源地址后面進(jìn)行端口規(guī)定,如:



ipfw add pass tcp from any [要規(guī)則處理的端口] to $ip [要規(guī)則處理的端口]



而ICMP是定義要規(guī)則處理的協(xié)議,如:



ipfw add pass icmp from any to $ip [要規(guī)則處理的協(xié)議]



最后如果你有其它規(guī)則加入此文件增加過(guò)濾能力,你如果要在FREEBSD啟動(dòng)時(shí)候

加入這些規(guī)則,F(xiàn)REEBSD有rc.firewall文件進(jìn)行啟動(dòng)處理,只要把這些規(guī)則加入

rc.firewall后就能自動(dòng)進(jìn)行處理 。



參考文章:

http://www.freebsdrocks.com/show.php3?ThisArticleID=6197&start=1&s

Return=25&search_category=8&search_criteria=&search_fIEld=

http://freebsd.online.ha.cn/focus/FreeBSD/index.shtml

Request for Comments: 792

推薦閱讀