免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 BSD IPFW防火墙后设置后,DNS解析不了,大家来看看
最近访问板块 发新帖
查看: 2243 | 回复: 5
打印 上一主题 下一主题

[FreeBSD] IPFW防火墙后设置后,DNS解析不了,大家来看看 [复制链接]

hackson99

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2012-11-07 08:57 |只看该作者 |倒序浏览
root@bsd:/home/wjm # ipfw list
00005 allow ip from any to any via re0
00010 allow ip from any to any via lo0
00015 check-state
00020 allow tcp from any to any dst-port 53 out via tun0 setup keep-state
00021 allow udp from any to any dst-port 53 out via tun0 setup keep-state
00022 allow tcp from any to any dst-port 53 in via tun0 setup keep-state
00023 allow udp from any to any dst-port 53 in via tun0 setup keep-state       <----已经放开了53端口了
00040 skipto 800 tcp from any to any dst-port 80 out via tun0 setup keep-state
00050 skipto 800 tcp from any to any dst-port 443 out via tun0 setup keep-state
00060 skipto 800 tcp from any to any dst-port 25 out via tun0 setup keep-state
00061 skipto 800 tcp from any to any dst-port 110 out via tun0 setup keep-state
00070 skipto 800 tcp from me to any out via tun0 setup uid root keep-state
00080 skipto 800 icmp from any to any out via tun0 keep-state
00090 skipto 800 tcp from any to any dst-port 37 out via tun0 setup keep-state
00100 skipto 800 tcp from any to any dst-port 119 out via tun0 setup keep-state
00110 skipto 800 tcp from any to any dst-port 22 out via tun0 setup keep-state
00120 skipto 800 tcp from any to any dst-port 43 out via tun0 setup keep-state
00130 skipto 800 udp from any to any dst-port 123 out via tun0 keep-state
00300 deny ip from 192.168.0.0/16 to any in via tun0
00301 deny ip from 172.16.0.0/12 to any in via tun0
00302 deny ip from 10.0.0.0/8 to any in via tun0
00303 deny ip from 127.0.0.0/8 to any in via tun0
00304 deny ip from 0.0.0.0/8 to any in via tun0
00305 deny ip from 169.254.0.0/16 to any in via tun0
00306 deny ip from 192.0.2.0/24 to any in via tun0
00307 deny ip from 204.152.64.0/23 to any in via tun0
00308 deny ip from 224.0.0.0/3 to any in via tun0
00315 deny tcp from any to any dst-port 113 in via tun0
00320 deny tcp from any to any dst-port 137 in via tun0
00321 deny tcp from any to any dst-port 138 in via tun0
00322 deny tcp from any to any dst-port 139 in via tun0
00323 deny tcp from any to any dst-port 81 in via tun0
00330 deny ip from any to any frag in via tun0
00332 deny tcp from any to any established in via tun0
00370 allow tcp from any to me dst-port 80 in via tun0 setup limit src-addr 2
00380 allow tcp from any to me dst-port 22 in via tun0 setup limit src-addr 2
00390 allow udp from any 53 to any in via tun0 setup keep-state
00400 deny log ip from any to any in via tun0
00450 deny log ip from any to any out via tun0
00801 allow ip from any to any
00999 deny log ip from any to any
65535 deny ip from any to any

more  /var/log/security:
.....
Nov  7 08:30:28 bsd kernel: ipfw: 450 Deny UDP 192.168.1.11:59607 202.106.0.20:53 out via tun0
Nov  7 08:30:28 bsd kernel: ipfw: 450 Deny UDP 192.168.1.11:59607 8.8.8.8:53 out via tun0
Nov  7 08:30:29 bsd kernel: ipfw: 450 Deny UDP 192.168.1.93:63436 202.106.0.20:53 out via tun0
Nov  7 08:30:29 bsd kernel: ipfw: 450 Deny UDP 192.168.1.93:63436 8.8.8.8:53 out via tun0
Nov  7 08:30:29 bsd kernel: ipfw: 450 Deny UDP 192.168.1.93:54164 202.106.0.20:53 out via tun0
Nov  7 08:30:29 bsd kernel: ipfw: 450 Deny UDP 192.168.1.93:60662 8.8.8.8:53 out via tun0
Nov  7 08:30:29 bsd kernel: ipfw: 450 Deny UDP 192.168.1.93:54813 202.106.0.20:53 out via tun0
Nov  7 08:30:29 bsd kernel: ipfw: 450 Deny UDP 192.168.1.93:54813 8.8.8.8:53 out via tun0
Nov  7 08:30:29 bsd kernel: ipfw: 450 Deny UDP 192.168.1.93:51531 202.106.0.20:53 out via tun0
Nov  7 08:30:29 bsd kernel: ipfw: 450 Deny UDP 192.168.1.93:51531 8.8.8.8:53 out via tun0
Nov  7 08:30:29 bsd kernel: ipfw: 450 Deny UDP 192.168.1.11:63615 202.106.0.20:53 out via tun0
Nov  7 08:30:29 bsd kernel: ipfw: 450 Deny UDP 192.168.1.11:53129 202.106.0.20:53 out via tun0
Nov  7 08:30:29 bsd kernel: ipfw: 450 Deny UDP 192.168.1.11:52909 202.106.0.20:53 out via tun0
Nov  7 08:30:29 bsd kernel: ipfw: 450 Deny UDP 192.168.1.11:52909 8.8.8.8:53 out via tun0
Nov  7 08:30:29 bsd kernel: ipfw: 450 Deny UDP 192.168.1.11:63250 202.106.0.20:53 out via tun0
Nov  7 08:30:29 bsd kernel: ipfw: 450 Deny UDP 192.168.1.11:59335 202.106.0.20:53 out via tun0
Nov  7 08:30:29 bsd kernel: ipfw: 450 Deny UDP 192.168.1.11:59335 8.8.8.8:53 out via tun0
Nov  7 08:30:29 bsd kernel: ipfw: 450 Deny UDP 192.168.1.93:59775 202.106.0.20:53 out via tun0
Nov  7 08:30:29 bsd kernel: ipfw: 450 Deny UDP 192.168.1.93:59775 8.8.8.8:53 out via tun0
Nov  7 08:30:29 bsd kernel: ipfw: 450 Deny UDP 192.168.1.93:63435 202.106.0.20:53 out via tun0
Nov  7 08:30:29 bsd kernel: ipfw: 450 Deny UDP 192.168.1.93:63435 8.8.8.8:53 out via tun0
Nov  7 08:30:29 bsd kernel: ipfw: 450 Deny UDP 192.168.1.11:49180 202.106.0.20:53 out via tun0
Nov  7 08:30:29 bsd kernel: ipfw: 450 Deny UDP 192.168.1.11:49180 8.8.8.8:53 out via tun0
Nov  7 08:30:30 bsd kernel: ipfw: 450 Deny UDP 192.168.1.93:65239 202.106.0.20:53 out via tun0
Nov  7 08:30:30 bsd kernel: ipfw: 450 Deny UDP 192.168.1.93:65239 8.8.8.8:53 out via tun0
Nov  7 08:30:30 bsd kernel: ipfw: 450 Deny UDP 192.168.1.93:54164 8.8.8.8:53 out via tun0
Nov  7 08:30:30 bsd kernel: ipfw: 450 Deny UDP 192.168.1.11:57080 202.106.0.20:53 out via tun0
.....

我快疯了都。。。。。按照Handbook上的IPFW章节,稍稍修改了一下 开放53端口的那几句。其实,我按照handbook上一摸一样的设置,日志里的还是一样的denny。

是不是规则最后那几句有问题?denny ip via tun0 那几句?

另外,我ifconfig的时候,看到多了一个 ipfw0的网络设备,是不是规则当中还要写进去啊。

高手看看啊。。小弟刚刚学习IPFW,谢谢大虾们~~
hackson99

论坛徽章:
0
2 [报告]
发表于 2012-11-07 14:55 |只看该作者
ding........
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
beyondfly

论坛徽章:
20
CU大牛徽章 日期:2013-04-17 11:48:26羊年新春福章 日期:2015-03-10 22:39:202015年中国系统架构师大会 日期:2015-06-29 16:11:282015亚冠之平阳省 日期:2015-07-31 09:19:042015七夕节徽章 日期:2015-08-21 11:06:17IT运维版块每日发帖之星 日期:2015-09-30 06:20:002015亚冠之柏太阳神 日期:2015-10-19 20:29:5915-16赛季CBA联赛之天津 日期:2016-11-29 14:03:4315-16赛季CBA联赛之北控 日期:2016-12-24 20:51:492015年辞旧岁徽章 日期:2015-03-03 16:54:15双鱼座 日期:2015-01-12 20:58:532014年中国系统架构师大会 日期:2014-10-14 15:59:00
3 [报告]
发表于 2012-11-07 17:54 |只看该作者
帮顶,看过一段时间的ipfw,现在都忘了
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
lsstarboy

论坛徽章:
54
2017金鸡报晓 日期:2017-02-08 10:39:42操作系统版块每日发帖之星 日期:2016-03-08 06:20:00操作系统版块每日发帖之星 日期:2016-03-07 06:20:00操作系统版块每日发帖之星 日期:2016-02-22 06:20:00操作系统版块每日发帖之星 日期:2016-01-29 06:20:00操作系统版块每日发帖之星 日期:2016-01-27 06:20:00操作系统版块每日发帖之星 日期:2016-01-20 06:20:00操作系统版块每日发帖之星 日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏 日期:2015-12-21 20:00:24操作系统版块每日发帖之星 日期:2015-12-21 06:20:00IT运维版块每日发帖之星 日期:2015-11-17 06:20:002015亚冠之广州恒大 日期:2015-11-12 10:58:02
4 [报告]
发表于 2012-11-07 18:37 |只看该作者
回复 1# hackson99


    把setup去掉,udp没有setup标志,会导致规则不匹配。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
lsstarboy

论坛徽章:
54
2017金鸡报晓 日期:2017-02-08 10:39:42操作系统版块每日发帖之星 日期:2016-03-08 06:20:00操作系统版块每日发帖之星 日期:2016-03-07 06:20:00操作系统版块每日发帖之星 日期:2016-02-22 06:20:00操作系统版块每日发帖之星 日期:2016-01-29 06:20:00操作系统版块每日发帖之星 日期:2016-01-27 06:20:00操作系统版块每日发帖之星 日期:2016-01-20 06:20:00操作系统版块每日发帖之星 日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏 日期:2015-12-21 20:00:24操作系统版块每日发帖之星 日期:2015-12-21 06:20:00IT运维版块每日发帖之星 日期:2015-11-17 06:20:002015亚冠之广州恒大 日期:2015-11-12 10:58:02
5 [报告]
发表于 2012-11-07 18:39 |只看该作者
另外提醒一下:
00040 skipto 800 tcp from any to any dst-port 80 out via tun0 setup keep-state
00050 skipto 800 tcp from any to any dst-port 443 out via tun0 setup keep-state
00060 skipto 800 tcp from any to any dst-port 25 out via tun0 setup keep-state
00061 skipto 800 tcp from any to any dst-port 110 out via tun0 setup keep-state

这四句可以做成一句:
skipto 800 tcp from any to any 80,443,25,110 out via tun0 setup keep-state


其他几句可以照些办理。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
hackson99

论坛徽章:
0
6 [报告]
发表于 2012-11-08 09:17 |只看该作者
回复 5# lsstarboy


    偶滴森啊!!终于见到伟大的lsstarboy了!!激冻啊!!!我试试看看。不行再找你。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP