免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 BSD 如何设置IPFW规则,使服务器能同时提供NAT和WEB服务?
12
最近访问板块 发新帖
楼主: palwoo
打印 上一主题 下一主题

[FreeBSD] 如何设置IPFW规则,使服务器能同时提供NAT和WEB服务? [复制链接]

palwoo

论坛徽章:
0
11 [报告]
发表于 2008-04-15 20:52 |只看该作者
原帖由 lsstarboy 于 2008-4-15 20:36 发表
65535规则是默认规则,和你的那一句效果完全一样。也就是说,你65000就是浪费。

确实是浪费,不过这是我安装防火墙和NAT之后rc.firewall里的缺省内容,可不是我加的。^_^


再试一下:
ipfw add 11 allow ip from any to me 80
ipfw add 12 allow ip from any to me 20,21
ipfw add 13 allow ip from me to any


这个to me挺好的。或许就是原来的from any to any把转向给搞糊涂了,也就是兄台说的”也许是外部IP也被divert了“,divert到爪洼国去了,慢到无法访问的地步。
但让我这个外行猜测一下,或许大概有可能也不合适吧?内部机器访问别的网站(80端口)时会不会也给转到这个服务器然后无效呢?

如果你要从ipfw -a list看出问题,那么就多建规则,把每种包都做一个双向的规则,就能看出效果了。

这个对现在的我来说太高深了,我再查查资料学习学习看兄台说的这些我该如何付诸实施。

[ 本帖最后由 palwoo 于 2008-4-15 20:55 编辑 ]
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
palwoo

论坛徽章:
0
12 [报告]
发表于 2008-04-15 21:13 |只看该作者
ipfw add 11 allow ip from any to me 80
ipfw add 12 allow ip from any to me 20,21
ipfw add 13 allow ip from me to any
之后,让别的朋友帮忙测试了一下,正常。(我在局域网内,无法测试)
你真是一个天使啊。谢谢
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
palwoo

论坛徽章:
0
13 [报告]
发表于 2008-04-15 22:25 |只看该作者
后续问题:
缺省的设置,ipfw show的结果:
00050 3138005 1637674582  divert 8668 ip4 from any to any via bce0
00100  1250   103628      allow ip from any to any via lo0
00200    0     0          deny ip from any to 127.0.0.0/8
00300    0     0          deny ip from 127.0.0.0/8 to any
65000 6159999 3289751415  allow ip from any to any
65535    0     0          allow ip from any to any

直接用ipfw add命令行的方式添加之后ipfw show的结果:
00011 2059 87660 allow ip from any to me dst-port 80
00012 0     0    allow ip from any to me dst-port 20.21
00013 1544  4474318 allow ip from me to any
00050 3138005 1637674582  divert 8668 ip4 from any to any via bce0
00100  1250   103628      allow ip from any to any via lo0
00200    0     0          deny ip from any to 127.0.0.0/8
00300    0     0          deny ip from 127.0.0.0/8 to any
65000 6159999 3289751415  allow ip from any to any
65535    0     0          allow ip from any to any

但是,当我把
firewall_script="/etc/rc.firewall" # firewall防火墙的默认脚本
firewall_type="/etc/ipfw.conf" # firewall自定义脚本
加到rc.conf中,并把原先是空的ipfw.conf文件中加入:
add 11 allow ip from any to me 80
add 12 allow ip from any to me 20,21
add 13 allow ip from me to any
随后再启动服务器,此时的ipfw show结果是:
00011 2059 87660 allow ip from any to me dst-port 80
00012 0     0    allow ip from any to me dst-port 20.21
00013 1544  4474318 allow ip from me to any
00100 0 0     allow ip from any to any via lo0
00200  0 0     allow ip from any to 127.0.0.0/8
00300  0 0     allow ip from  127.0.0.0/8 to any
65535  2515 171861 allow ip from any to any

这行没了:
00050   divert 8668 ip4 from any to any via bce0
从而也不能共享上网了。奇怪?有可能是哪里的故障呢?(rc.firewall没修改过)
是我编辑ipfw.conf的方式不对吗?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
lsstarboy

论坛徽章:
54
2017金鸡报晓 日期:2017-02-08 10:39:42操作系统版块每日发帖之星 日期:2016-03-08 06:20:00操作系统版块每日发帖之星 日期:2016-03-07 06:20:00操作系统版块每日发帖之星 日期:2016-02-22 06:20:00操作系统版块每日发帖之星 日期:2016-01-29 06:20:00操作系统版块每日发帖之星 日期:2016-01-27 06:20:00操作系统版块每日发帖之星 日期:2016-01-20 06:20:00操作系统版块每日发帖之星 日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏 日期:2015-12-21 20:00:24操作系统版块每日发帖之星 日期:2015-12-21 06:20:00IT运维版块每日发帖之星 日期:2015-11-17 06:20:002015亚冠之广州恒大 日期:2015-11-12 10:58:02
14 [报告]
发表于 2008-04-16 00:02 |只看该作者
有点乱,干净的做法:

去掉firewall_type="/etc/ipfw.conf"。

直接写一个规则,随便放在哪儿,比如/etc/ipfw.rules,然后:firewall_script="/etc/ipfw.rules"

ipfw.rules的内容,就是你的规则。
ipfw add 11 ....
ipfw add 12 ....
.......
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP