免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 2088 | 回复: 4
打印 上一主题 下一主题

IPFW 桥接防火墙求助。 [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2005-07-14 21:54 |只看该作者 |倒序浏览
OS:
FreeBSD ipfw.xxx.com.cn 5.4-RELEASE-p3 FreeBSD 5.4-RELEASE-p3 #0: Tue Jul  5 11:54:00 CST 2005     root@ipfw.xxx.com.cn:/usr/obj/usr/src/sys/ipfw  i386

在内核中编译了IPFW和BRIDGE:
options         BRIDGE
options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=10000
options         IPFIREWALL_DEFAULT_TO_ACCEPT

/etc/sysctl.conf 中的设置:

net.link.ether.bridge.config=em0,em1
net.link.ether.bridge.ipfw=1
net.link.ether.bridge.enable=1
net.link.ether.ipfw=1

网卡:em0  / em1
em0为IDC提供的100M网线, em1为接入本地局域网交换机100M网线。所有从外边进来的数据经由em0,本地局域网出去的数据经由em1.

IPFW的规则是:
100 check-state
#本地局域网的出去的数据
200 allow tcp from any to any in via em1 setup keep-state
300 allow udp from any to any in via em1 keep-state
400 allow ip from any to any in via em1

#外网允许访问的端口
500 allow tcp from any to any 80 in via em0 setup keep-state
600 allow tcp from any to any 20,21 in via em0 setup keep-state

6000 deny ip from any to any

这样的规则就对局域网出去没有任何限制,只允许外部网访问局域网中的80,20,21端口,但效果却是局域网的机器出不去,外面也无法访问局域网开放的端口。

再加一条规则:
700 allow ip from any to any via em0

这样的效果就是对任何访问没有限制,也说明了桥接没有问题,但是为什么这样的规则达不到要求的效果,请各位达人不吝赐教,指点一二。

论坛徽章:
0
2 [报告]
发表于 2005-07-16 11:35 |只看该作者

IPFW 桥接防火墙求助。

自已顶一下,有人可以帮我一下么?

论坛徽章:
1
寅虎
日期:2013-09-29 23:15:15
3 [报告]
发表于 2005-07-16 12:29 |只看该作者

IPFW 桥接防火墙求助。

ipfw很少用,如果不行可以考虑
OpenBSD + pf + Bridge

论坛徽章:
0
4 [报告]
发表于 2005-07-18 07:45 |只看该作者

IPFW 桥接防火墙求助。

你的桥绝对没有配好,ifconfig看一下,是否两块网卡都处于混杂模式,是的话桥才正常,还有就是按照你的写法两块应该是不再一组桥内,不可能会通的,应该这样写:
net.link.ether.bridge.config=em0:0,em1 :0

论坛徽章:
0
5 [报告]
发表于 2005-07-19 23:28 |只看该作者

IPFW 桥接防火墙求助。

桥肯定配好了。
1、em0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST>; mtu 1500
     em1: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST>; mtu 1500

2、如果我加上 allow ip from any to any via em0 规则后,进、出都没有问题。

3、net.link.ether.bridge.config=em0:0,em1 :0 这样也试过,和原来一样。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP