今天在bsd6.2上装pf和ipfw和网桥,但愿可以通过...

Sean_darkness

今天准备在ipfw基础上加装pf，感觉这个PF防DDOS功能更强大，已经爬过很多资料，但还是有些疑问想问问各位...
在ipfw内核基础上再加入PF编译，两个防火墙能同时工作吗？
我想做透明网桥，用这两个防火墙保护 ，我用的BSD6.2。。。
用ipfw限速, 再用pf防DDOS, 起初想法是这样,但愿可以通过.  .

Sean_darkness

随便说说, pf不知能不能实现端口限速, 现在BT软件太耗费带宽了。

iceblood

能………………

Sean_darkness

我的pf.rule文件内容:

ext_if="bridge0"
web="172.16.5.0/24"
rdr on $ext_if proto tcp from any to $ext_if port 80 -> $web port 80
pass in on $ext_if proto tcp from any to $web port 80 flags S/SA synproxy state

为什么执行:
/etc/pf.rule 时
不成功呢......

[ 本帖最后由 Sean_darkness 于 2008-11-6 17:39 编辑 ]

Sean_darkness

自己顶顶, PF+网桥防ddos写法老报错...现在桥是通了,但规则运行有问题. 求助...

Sean_darkness

双网卡做桥 bridge0 ， 对于pf来讲，是一个接口（bridge0），还是分别做两个接口(xl0.xl1)。疑惑中...

lsstarboy

原帖由 Sean_darkness 于 2008-11-6 17:45 发表
双网卡做桥 bridge0 ， 对于pf来讲，是一个接口（bridge0），还是分别做两个接口(xl0.xl1)。疑惑中...

看你的需要。正常情况下，应该对bridge0做策略。手册上就是这样说的。

Sean_darkness

ext="外网"
int="内网"
web="172.16.5.0/24"
rdr on $外网 proto tcp from any to $外网 port 80 -> $web port 80
pass in on $外网 proto tcp from any to $web port 80 flags S/SA synproxy state

"外网"地址已经设置。
执行规则就报错
把pass in 这行注掉就可以了.
有些忧郁了...


说明下,因内网有几台web, 所以选用掩码来判断..

[ 本帖最后由 Sean_darkness 于 2008-11-6 19:16 编辑 ]

Sean_darkness

把"web"改成单个IP就不报错了...但是网页打不开...

[ 本帖最后由 Sean_darkness 于 2008-11-6 20:00 编辑 ]