请教关于IPFW中关于PPTP服务器的流量允许问题

lsstarboy

加上这句试试：
$cmd 00650 divert natd ip4 from any to any via "tun*"

另外建议：
１、规则号每次加100，而不是每次加１，否则调整的时候非常麻烦。
２、很多规则可以合并，比如：

$cmd 00050 allow icmp from any to me icmptypes 0                # Enable receiving Echo-reply
$cmd 00051 allow icmp from me to any icmptypes 8                # Enable initiation of Echo-requests
$cmd 00052 allow icmp from any to me icmptypes 11               # Enable receiving TTL time-outs (ICMP-based traceroute)

可以合并成一条：$cmd 00050 allow icmp from any to me icmptypes 0,8,11
３、如果你没有加deny，那么就改为open吧，实际效果一样。

spluto

lsstarboy 发表于 2013-01-20 21:13
加上这句试试：
$cmd 00650 divert natd ip4 from any to any via "tun*"

版主，感谢回复。有两个问题想麻烦再问一下：

1. 这里tun*指的是pptp隧道接口的接口名字吗？我这里的接口名是ng0，还需要加上双引号吗？

2. 我在编译内核的时候，没有加上IPFIREWALL_DEFAULT_TO_ACCEPT，这样一来，应该是默认drop掉所有的数据包的，对吗？我个人觉得这才应该是防火墙该做的事情，只把允许的数据打开。

请不吝赐教，谢谢！

lsstarboy

回复 3# spluto


1、你的机器就是"ng*"，注意要加双引号，否则必须用么斜杠反义。
2、正常情况上网应该正常了，但是因为你的规则比较多，所以一开始最好先别完全deny，或者在deny的时候加个log，方便分析到底是哪个规则出了问题。

spluto

lsstarboy 发表于 2013-01-21 08:41
回复 3# spluto

谢谢版主回复，请问你说的加log是在什么地方？我在内核里已经启用了log，条目数是65535，然后在sysctl中也启用了，但是现在不知道它的log到底在哪里，我无法得知到底数据怎么被拦截了。请告知一下，谢谢！

lsstarboy

回复 5# spluto


    看一下/var/log/security和/var/log/debug，如果这两个都没有，你就只好自己写syslogd.conf了。

lsstarboy

另外，如果记录的数据包数量超过了你指定的数目，它就不记录了，如果想再次启用记录，简单地用ipfw zero就可以了，或者再精确一点，ipfw zero 6000，只重新记录6000规则。