freebsd的ipfw防火墙问题

halen

前面省略。。。。。。。
ipfw add 65000 deny ip from any to any
ipfw add 65535 allow ip from any to any


一段时间后我用
ipfw -a list 看发现
65000 66 3535 deny ip from any to any
65535 1 1008 allow ip from any to any


是不是有问题，不可能有包到65535，从那里漏过去啊！

halen

我用ipfw -t list后最后两条是这，65535也有匹配！



65000 The Mar 20 11:43:56 2007 deny ip from any to any
65535 The Mar 20 11:43:37 2007 allow ip from any to any



这不是说明漏吗？

[ 本帖最后由 halen 于 2007-3-20 11:45 编辑 ]

halen

有65000在前面
不应该有65535匹配吧

halen

在使用ipfw做防火的大多数列子中都会在编译内核时加入其下面一个选项
options    IPFIREWALL_DEFAULT_TO_ACCEPT
才会有：65535 allow ip from any to any
我是新手玩freebsd编译好的内核不想在编太费时，就凑合用为了实现我想要的效果，我就在65535前加了65000规则，使65535永远不会被匹配。一天我用ipfw -t list发现有65535被匹配我想不通！

[ 本帖最后由 halen 于 2007-3-21 11:18 编辑 ]

halen

不好意思，我想是我错了，这几天我一没有动我的主机，只是每天上班下班时ipfw -t list 看是否有包被"漏掉"。事实是没有，65535没有被匹配。经过测试我找到了原因，我在主机运行时修改过ipfw规则，后重载过，我的脚本第
一个是ipfw -f flash ,我想是他在重载时清掉了所有deny规则，即我定义的65000前的规则，这时有包通过，因此就有包与65535匹配，才会有下面情况：
65000 The Mar 20 11:43:56 2007 deny ip from any to any
65535 The Mar 20 11:43:37 2007 allow ip from any to any
细看我发现问题，65000是在11：43:56匹配 而65535是在11:43:37先与65000匹配
就是说在11：43：37时还没有65000规则。
我想在全部短开网络后重载规则就不会有包溜过去的。希望别的朋友也不为此迷惑，可能你的也是这种情况。
试试看吧！