论坛 › BSD › ipfw -q -f flush 没有用为什么

txnet 发表于 2015-10-21 19:15

ipfw -q -f flush 没有用为什么

1. freebsd 9.2 的。。ipfw -q -f flush 没有效果 list 还是有


2. 看一下面规则。。 add 是不是给一个号码的意思？   那set 是什么意思？

#Loopback Interface
add 11 set 31 allow all from any to any via lo0

#Trust host
add 21 set 31 allow all from me to 218.66.104.204 via re0
add 22 set 31 allow all from 218.66.104.204 to me via re0
add 23 set 31 allow all from me to 172.20.104.3 via re0
add 24 set 31 allow all from 172.20.104.3 to me via re0
add 25 set 31 allow all from me to 117.27.156.59 via re0
add 26 set 31 allow all from 117.27.156.59 to me via re0
add 27 set 31 allow all from me to 172.20.104.3 via re0
add 28 set 31 allow all from 172.20.104.3 to me via re0
add 29 set 31 allow all from me to 172.20.104.4 via re0
add 30 set 31 allow all from 172.20.104.4 to me via re0

#Dynamic rules
add 31 set 31 check-state

#Services response
add 41 set 31 allow tcp from any to me 80,88,443 in via re0 setup keep-state

#Application request
add 81 set 31 allow tcp from me to any 80,443 out via re0 setup keep-state
add 82 set 31 allow udp from me to any 53,123 out via re0 keep-state
add 83 set 31 allow tcp from me to any 25,110 out via re0 setup keep-state
~

lsstarboy 发表于 2015-10-23 14:15

你没有看ipfw man，有一段解释。

简单说：set就是一组规则，set 31就相当于安全箱，是flush不掉的，在远程调试ipfw规则的时候可以防止把自己锁在外面。

ljwsy 发表于 2015-11-12 20:35

E文水平太差，百度字典了一下，好象set指的是集合。用了set的ipfw就象把规则归类存放以便管理，就象学校宿舍管理一样会令我想不通：为什么不做个大房间装个大床所有人睡一起，倒是搞个小房分开睡，多麻烦呀！

说笑了，楼主莫怪。

lsstarboy 发表于 2015-11-13 09:50

网上有我翻译过来的ipfw手册，虽然版本老点，但是set那部分应该有了。

set还是很有作用的，把某个特定功能的做为一个组，整组的启用或禁用。
比如防DDOS，把防sync的放一组，防icmp的放一组，防80的放一组，针对不同的环境整组控制，会方便很多。
另外比较有用的就是set 31，这个组不能flush掉，在远程调试时很重要，能保证自己不被墙在外面。

bleakwind 发表于 2015-12-15 04:38

防止flush时候远程ssh断掉就set 31

action08 发表于 2015-12-15 23:18

set是一种数据结构，简单说就是list
在cpp set是红黑树rbt结构的tree，rbt有较强的综合性的实时操作与维护查询优势。还是简单认为是一个集合list好了，

action08 发表于 2015-12-15 23:20

如果问set31，就是问list第31条item规则

williamy 发表于 2015-12-17 22:49

求翻译龙腾BSD的ipfw3防火墙文档

lsstarboy 发表于 2015-12-18 09:28

回复 8# williamy

龙腾是啥？

不会是指的“蜻蜓”吧！那个所谓的ipfw3好像还没完成，好像官方也说了，ipfw深入到FreeBSD的很多角落，很难把它单独抽出来。
   

williamy 发表于 2015-12-19 20:41

好像好多功能都有介绍到了

Ipfw3 Documentation
Introduction
Brief notes on design
Compare with FreeBSD's ipfw
Basic Configuration
Core Framework
Basic Module
Layer2 Module
Layer4 Module
NAT Module
Dummynet3 Module
Advanced Configuration
Rule Set
Lookup Table
Forwarding
BPF Filtering
Stateful
In-Kernel NAT
Additional Topics
Logging
Example Rules
Introduction

查看完整版本: ipfw -q -f flush 没有用为什么