免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1480 | 回复: 4

[FreeBSD] [求助]FreeBSD下的IPFILTER配置 [复制链接]

论坛徽章:
0
发表于 2005-12-08 13:53 |显示全部楼层
一、 网络环境  
主机A:安装freebsd4.11;
应用:GateWay,NAT,Cache Proxy,DNS,DHCP
fxp0为对外网卡,IP:10.10.10.2 连接到硬件防火墙;
xl0为对内公共区域网卡,绑定多个IP:192.168.3.1,192.168.4.1,192.168.6.1,192.168.7.1,192.168.9.1 ;
二、预期目标:
被允许的IP可以通过主机A访问到外网,其余的IP均不能访问外网,包括主机A上的缓存内容。
三、ipf.rules内容,大家帮忙看一下,有没有问题吧!
#参考文档http://www.douzhe.com/docs/jh/5/38054.html
block return-icmp(host-unr) in quick proto tcp from any to any port = 445

block in log quick all with short  
block in log quick all with ipopts  
block in log quick all with frag
block in log quick all with opt lsrr
block in log quick all with opt ssrr
以上五句为过滤掉可能会带来安全问题的短数据包或具备路由信息的数据包以及防止非法扫描服务器  

pass out on xl0 all  
pass in on xl0 all  
以上为内部网络界面可以自由发送和接受数据包  

block out on fxp0 all  
以上为屏蔽外部网络界面向外发送数据包  

block out log on fxp0 from any to 192.168.0.0/16
block out log quick on fxp0 from any to 0.0.0.0/8  
block out log quick on fxp0 from any to 169.254.0.0/8  
block out log quick on fxp0 from any to 10.0.0.0/8  
block out log quick on fxp0 from any to 127.16.0.0/12  
block out log quick on fxp0 from any to 127.0.0.0/8  
block out log quick on fxp0 from any to 192.0.2.0/24  
block out log quick on fxp0 from any to 204.152.64.0/23  
block out log quick on fxp0 from any to 224.0.0.0/3  
以上为屏蔽不合法地址的输出数据  

pass out log on fxp0 proto tcp/udp from 192.168.7.88/32 to any keep state  
以上为允许IP为192.168.7.88的TCP 、UDP数据包向外发送出去。

block in quick on fxp0 all
禁止其他的连接进入fxp0

block return-rst in log on fxp0 proto tcp from any to any flags S/SA  
block return-icmp(net-unr) in log on fxp0 proto udp from any to any  
以上对其他tcp请求,防火墙回应一个RST数据包关闭连接。对UDP请求,防火墙回应网络不可达到的ICMP包。

[ 本帖最后由 angelking96 于 2005-12-8 17:22 编辑 ]

论坛徽章:
0
发表于 2005-12-08 13:55 |显示全部楼层
因为刚刚接触到FreeBSD,所以好多东西还不会,希望大家指点一下

论坛徽章:
2
丑牛
日期:2013-09-29 09:47:222015七夕节徽章
日期:2015-08-21 11:06:17
发表于 2005-12-08 15:22 |显示全部楼层
请参看本版置顶的精华收集贴里面相关的帖子,另外是否可行试试不就知道了

论坛徽章:
0
发表于 2005-12-08 17:23 |显示全部楼层
精华帖里面关于防火墙IPFILTER的部分都看过了,也按照自己想得写了上面那段配置文件,但是就是不行,规则生效,但是所有的机器都不能访问外网了,包括那台192.168.7.88!

因为事情比较急,我又不太会,所以想让大家帮忙看看

[ 本帖最后由 angelking96 于 2005-12-8 17:30 编辑 ]

论坛徽章:
0
发表于 2006-01-06 09:52 |显示全部楼层
ipfilter 关键字:quick  的意思是符合当前条件,就执行当前命令,后面的条件跳过。
将这句pass out log on fxp0 proto tcp/udp from 192.168.7.88/32 to any keep state
上移到
block out log on fxp0 from any to 192.168.0.0/16
block out log quick on fxp0 from any to 0.0.0.0/8  
block out log quick on fxp0 from any to 169.254.0.0/8  
block out log quick on fxp0 from any to 10.0.0.0/8  
block out log quick on fxp0 from any to 127.16.0.0/12  
block out log quick on fxp0 from any to 127.0.0.0/8  
block out log quick on fxp0 from any to 192.0.2.0/24  
block out log quick on fxp0 from any to 204.152.64.0/23  
block out log quick on fxp0 from any to 224.0.0.0/3

之前
另外上移之后还可以考虑改成这样:

pass out log quick on fxp0 proto tcp/udp from 192.168.7.88/32 to any keep state
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP