IPFW 桥接防火墙求助。

blackbox

OS：
FreeBSD ipfw.xxx.com.cn 5.4-RELEASE-p3 FreeBSD 5.4-RELEASE-p3 #0: Tue Jul  5 11:54:00 CST 2005     root@ipfw.xxx.com.cn:/usr/obj/usr/src/sys/ipfw  i386

在内核中编译了IPFW和BRIDGE：
options         BRIDGE
options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=10000
options         IPFIREWALL_DEFAULT_TO_ACCEPT

/etc/sysctl.conf 中的设置：

net.link.ether.bridge.config=em0,em1
net.link.ether.bridge.ipfw=1
net.link.ether.bridge.enable=1
net.link.ether.ipfw=1

网卡：em0  / em1
em0为IDC提供的100M网线， em1为接入本地局域网交换机100M网线。所有从外边进来的数据经由em0，本地局域网出去的数据经由em1.

IPFW的规则是：
100 check-state
#本地局域网的出去的数据
200 allow tcp from any to any in via em1 setup keep-state
300 allow udp from any to any in via em1 keep-state
400 allow ip from any to any in via em1

#外网允许访问的端口
500 allow tcp from any to any 80 in via em0 setup keep-state
600 allow tcp from any to any 20,21 in via em0 setup keep-state

6000 deny ip from any to any

这样的规则就对局域网出去没有任何限制，只允许外部网访问局域网中的80,20,21端口，但效果却是局域网的机器出不去，外面也无法访问局域网开放的端口。

再加一条规则：
700 allow ip from any to any via em0

这样的效果就是对任何访问没有限制，也说明了桥接没有问题，但是为什么这样的规则达不到要求的效果，请各位达人不吝赐教，指点一二。

blackbox

自已顶一下，有人可以帮我一下么？

congli

ipfw很少用,如果不行可以考虑
OpenBSD + pf + Bridge

colddawn

你的桥绝对没有配好，ifconfig看一下，是否两块网卡都处于混杂模式，是的话桥才正常，还有就是按照你的写法两块应该是不再一组桥内，不可能会通的，应该这样写：
net.link.ether.bridge.config=em0:0,em1 :0

blackbox

桥肯定配好了。
1、em0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST>; mtu 1500
     em1: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST>; mtu 1500

2、如果我加上 allow ip from any to any via em0 规则后，进、出都没有问题。

3、net.link.ether.bridge.config=em0:0,em1 :0 这样也试过，和原来一样。