求助：大家帮我分析下这个ipfw 为什么不行

逆雪寒

防火墙。 公司通过NAT 来上网

1. ipfw -q -f flush
   
2. 
   
3. 内网网卡
   
4. inif="ale0"
   
5. 
   
6. 外网网卡
   
7. outif="rl1"
   
8. ipfw="ipfw -q add"
   
9. ks="keep-state"
   
10. 
    
11. $ipfw allow all from any to any via $inif
    
12. $ipfw allow all from any to any via lo0
    
13. 
    
14. $ipfw divert natd all from any to any via $outif
    
15. 
    
16. $ipfw check-state
    
17. $ipfw allow all from any to any out via $outif $ks
    
18. 
    
19. 
    
20. 这行不注释掉公司就不能上网。
    
21. #$ipfw 65534 deny log all from any to any

复制代码

我查看了下 防火墙日志发现



Mar  4 09:06:55 files kernel: ipfw: 65534 Deny UDP 218.65.230.83:137 218.65.230.95:137 out via rl1
Mar  4 09:06:55 files last message repeated 4 times
Mar  4 09:06:55 files kernel: ipfw: limit 5 reached on entry 65534
Mar  4 09:25:55 files kernel: ipfw: 65534 Deny TCP 180.137.255.250:80 192.168.1.111:2563 in via rl1
Mar  4 09:25:55 files last message repeated 2 times
Mar  4 09:25:55 files kernel: ipfw: 65534 Deny TCP 121.14.35.168:80 192.168.1.111:2551 in via rl1
Mar  4 09:25:55 files kernel: ipfw: 65534 Deny TCP 121.14.35.168:80 192.168.1.111:2551 in via rl1
Mar  4 09:25:55 files kernel: ipfw: limit 5 reached on entry 65534
Mar  4 09:28:02 files kernel: ipfw: 65534 Deny UDP 61.188.190.23:80 192.168.1.115:64978 in via rl1
Mar  4 09:28:02 files kernel: ipfw: 65534 Deny UDP 202.104.241.26:8000 192.168.1.110:5000 in via rl1
Mar  4 09:28:02 files kernel: ipfw: 65534 Deny UDP 124.227.193.206:23226 218.65.230.83:10103 in via rl1
Mar  4 09:28:02 files kernel: ipfw: 65534 Deny UDP 202.103.224.68:53 192.168.1.113:64971 in via rl1
Mar  4 09:28:02 files kernel: ipfw: 65534 Deny UDP 119.147.68.61:8000 192.168.1.105:4000 in via rl1
Mar  4 09:28:02 files kernel: ipfw: limit 5 reached on entry 65534


但是按照我设的防火墙规则

$ipfw check-state
$ipfw allow all from any to any out via $outif $ks

这两个应该是放行了呀。。为什么还是不匹配呢。。。求助  谢谢大家

bestwc

ipfw -q -f flush

内网网卡
inif="ale0"

外网网卡
outif="rl1"
ipfw="ipfw -q add"
ks="keep-state"

$ipfw allow all from any to any via $inif
$ipfw allow all from any to any via lo0

$ipfw divert natd all from any to any via $outif

$ipfw check-state
$ipfw allow all from any to any out via $outif $ks

#$ipfw 65534 deny log all from any to any

IPFW是匹配最后一条规则的。 除非显示声明，不然位置靠后的规则永远比位置靠前的规则有更高的优先级。

还有就是你这个防火墙基本没什么用处，如果真的不需要的话其实可以禁用掉。不然的话你还是看看手册重新整理一下吧。

提示：防火墙有两种类型。
1. 全部禁用，允许部分型
2. 全部允许，禁用部分型
你自己想好有哪些需求，重新整理一下规则吧。

Cheers,

逆雪寒

我这个是 65534  而不是 65535哦。 不是最后一条呢
#$ipfw 65534 deny log all from any to any

我这个的意思是想：只要是内网发起的请求都允许通过。 但是现在似乎就不行
$ipfw allow all from any to any out via $outif $ks

..

lsstarboy

除非显示声明，不然位置靠后的规则永远比位置靠前的规则有更高的优先级。

这是pf的规则，ipfw的大多数规则就匹配就终止，属于靠前的有效。

ipfw: limit 5 reached on entry 65534

你编译的时候加了limit规则？否则默认不会是5的，默认无限。

第１４行最后加上 $ks试试，这样第１６行和第１７行就无效了：

$ipfw divert natd all from any to any via $outif $ks

14行正确的写法应该是：
ipfw add divert natd ip from any to any out via $outif setup keep-state
ipfw add allow ip from any to any diverted