论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2006-09-01 03:03 |只看该作者 |倒序浏览

我已安装好 IPFW 我用 IPFW的目的是用他封闭所有的端口只能用 22 80等端口
但是安好了以后所有端口依然能访问

请问怎么才能把默认的规则动作从 ``allow'' 改为 ``deny''

rc.conf

gateway_enable="YES" # 启动网关

firewall_enable="YES" # 激活firewall防火墙

firewall_script="/etc/rc.firewall" # firewall防火墙的默认脚本

firewall_type="/etc/ipfw.conf" # firewall自定义脚本

firewall_quiet="YES"

firewall_logging_enable="YES" # 启用firewall的log记录。

设置完成后我们再编辑/etc/syslog.conf文件：

ipfw.conf 设置是
######### TCP ##########

add 00001 deny log ip from any to any ipopt rr

add 00002 deny log ip from any to any ipopt ts

add 00003 deny log ip from any to any ipopt ssrr

add 00004 deny log ip from any to any ipopt lsrr

add 00005 deny tcp from any to any in tcpflags syn,fin

# 这5行是过滤各种扫描包

add 10001 allow tcp from any to 60.210.69.134 22 in

########## ICMP #########

add 30000 allow icmp from any to any icmptypes 3

add 30001 allow icmp from any to any icmptypes 4

add 30002 allow icmp from any to any icmptypes 8 out

add 30003 allow icmp from any to any icmptypes 0 in

add 30004 allow icmp from any to any icmptypes 11 in

用ipfw show 查看了显示 65535 3049 368228 allow ip from any to any  允许所有连接

请问我该怎么设置才能屏蔽所有端口只开自己需要的端口
我需要的端口是  22 80 81 等等!请大家帮忙解答下该怎么设置

[ 本帖最后由 zjblove 于 2006-9-1 04:18 编辑 ]

文库|博客

PCOS

稍有积蓄

论坛徽章:: 0

2楼 [报告]

发表于 2006-09-01 03:50 |只看该作者

有工具软件侦查吗！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

日落月升

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2006-09-01 08:33 |只看该作者

firewall_type="CLIENT" # firewall自定义脚本

编辑/etc/rc.firewall
client：相关端口改成或增加22、80，再增加一条${fwcmd} add 65000 deny all from any to any入到最后

[ 本帖最后由日落月升于 2006-9-1 08:35 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

zjblove

稍有积蓄

论坛徽章:: 0

4楼 [报告]

发表于 2006-09-01 10:53 |只看该作者

首先先谢谢你
add 10001 allow tcp from any to 60.210.69.134 22 in
add 10001 allow tcp from any to 60.210.69.134 80 in
${fwcmd} add 65000 deny all from any to any
这样吗?
65000是什么意思 ?端口号吗? 为什么不是 65535呢?

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

日落月升

白手起家

论坛徽章:: 0

5楼 [报告]

发表于 2006-09-01 11:08 |只看该作者

原帖由 zjblove 于 2006-9-1 10:53 发表
首先先谢谢你
add 10001 allow tcp from any to 60.210.69.134 22 in
add 10001 allow tcp from any to 60.210.69.134 80 in
${fwcmd} add 65000 deny all from any to any
这样吗?
65000是什么意思 ?端口 ...

后面应该用setup不应用in，setup的意思是允许建立连接，而in嘛，我的理解是能进入，但这样不是本机的回应不能返回了吗？这点我不能确定，文档我没看明白。
65000是编号，设这么大是因为你以后还可能在你10001的基础上增加规则，这样就不至于新规则设到了他的后面；而不设成65535，是因为最后一条是默认设成了pass from any to any(从你说的所有端口依然能访问看出来)