Chinaunix

标题: 请教关于IPFW中关于PPTP服务器的流量允许问题 [打印本页]
作者: lsstarboy    时间: 2013-01-20 21:13
加上这句试试:
$cmd 00650 divert natd ip4 from any to any via "tun*"

另外建议:
1、规则号每次加100,而不是每次加1,否则调整的时候非常麻烦。
2、很多规则可以合并,比如:
$cmd 00050 allow icmp from any to me icmptypes 0                # Enable receiving Echo-reply
$cmd 00051 allow icmp from me to any icmptypes 8                # Enable initiation of Echo-requests
$cmd 00052 allow icmp from any to me icmptypes 11               # Enable receiving TTL time-outs (ICMP-based traceroute)

可以合并成一条:$cmd 00050 allow icmp from any to me icmptypes 0,8,11
3、如果你没有加deny,那么就改为open吧,实际效果一样。
作者: spluto    时间: 2013-01-20 23:37
lsstarboy 发表于 2013-01-20 21:13
加上这句试试:
$cmd 00650 divert natd ip4 from any to any via "tun*"


版主,感谢回复。有两个问题想麻烦再问一下:

1. 这里tun*指的是pptp隧道接口的接口名字吗?我这里的接口名是ng0,还需要加上双引号吗?

2. 我在编译内核的时候,没有加上IPFIREWALL_DEFAULT_TO_ACCEPT,这样一来,应该是默认drop掉所有的数据包的,对吗?我个人觉得这才应该是防火墙该做的事情,只把允许的数据打开。

请不吝赐教,谢谢!
作者: lsstarboy    时间: 2013-01-21 08:41
回复 3# spluto


1、你的机器就是"ng*",注意要加双引号,否则必须用么斜杠反义。
2、正常情况上网应该正常了,但是因为你的规则比较多,所以一开始最好先别完全deny,或者在deny的时候加个log,方便分析到底是哪个规则出了问题。
作者: spluto    时间: 2013-01-21 09:48
lsstarboy 发表于 2013-01-21 08:41
回复 3# spluto


谢谢版主回复,请问你说的加log是在什么地方?我在内核里已经启用了log,条目数是65535,然后在sysctl中也启用了,但是现在不知道它的log到底在哪里,我无法得知到底数据怎么被拦截了。请告知一下,谢谢!
作者: lsstarboy    时间: 2013-01-21 14:04
回复 5# spluto


    看一下/var/log/security和/var/log/debug,如果这两个都没有,你就只好自己写syslogd.conf了。
作者: lsstarboy    时间: 2013-01-21 14:07
另外,如果记录的数据包数量超过了你指定的数目,它就不记录了,如果想再次启用记录,简单地用ipfw zero就可以了,或者再精确一点,ipfw zero 6000,只重新记录6000规则。



欢迎光临 Chinaunix (http://bbs.chinaunix.net/) Powered by Discuz! X3.2