[ipfw 使用] deny ip from any to any

xs220

enable ipfw防火墙以后，为什么我用ipfw show 有一条rule是
deny ip from any to any

看起来这条rule始终存在：

比如：

我的设置：
firewall_type="OPEN"

重新启动以后这条rule还是存在。。



所以，deny ip from any to any 是不是一条始终存在的rule呢?

承蒙大家指点，多谢

congli

ipfw 始终有一默认规则,不是allow就是deny.
handbook好象有说.

xs220

如果从字面意思理解：

firewall_type="OPEN"

就是指firewall 类型是开放 （允许所有traffic 通过），那为什么 还有这条deny 规则呢？

其实我做了这样的试验：

如果在rule中加入

ipfw add pipe 1 icmp from any to any
ipfw pipe 1 config delay 100ms

这个是好用的。用 ipfw show 察看， pipe1 接管了 我的ping traffic。 deny这条的没有接管我的ping traffic

如果在rule中加入

ipfw add pipe 1 icmp from 192.168.0.10 to 10.0.43.1   //我的网络上的例子
ipfw pipe 1 config delay 100ms

这个不起做用。用 ipfw show 察看， pipe1 接管了 我的ping traffic。 deny这条的也接管了我的ping traffic，所以在 192.168.1.10上面ping packet全部丢失。

（我的连接：192.168.1.10 ------------freebsd router --------------10.0.43.1）

congli

认为不管firewall_type值为何,ipfw show就可以看到整个规则集,包还是得按这个规则集进行匹配.

ps.我不用IPFW,不能更深入进行讨论.

xs220

谢谢congli！

xs220

总算搞明白：
是这样：

/etc/rc.conf设置：

firewall_enable="YES"
firewall_type="OPEN"
firewall_script="/home/xs220/my_firewall_script"

In my_firewall_script:

#!/bin/sh

ipfw -q flush

ipfw add pipe 1 icmp from 192.168.0.10 to 10.0.43.1   //我的网络上的例子
ipfw pipe 1 config delay 100ms

ipfw add ip from any to any       #这一条一定要有，否则就会deny全部ip traffic

TOLLY

你的这个效果等于没有防火墙啊。。。:wink: