我是BSD新人 请教IPFW的设置问题

zjblove

您看
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 allow ip from 192.168.1.99 to 192.168.1.0/24
00500 allow ip from 192.168.1.0/24 to 192.168.1.99
00600 allow tcp from any to any established
00700 allow ip from any to any frag
00800 allow tcp from any to 192.168.1.99 25 setup
00900 allow tcp from 192.168.1.99 to any setup
01000 deny tcp from any to any setup
01100 allow udp from 192.168.1.99 to any 53 keep-state
01200 allow udp from 192.168.1.99 to any 123 keep-state
65000 deny ip from any to any
65535 allow ip from any to any

没有显示 22 和 80 的那个

日落月升

原帖由 zjblove 于 2006-9-1 12:56 发表
您看
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 allow ip from 192.168.1.99 to 192.168.1.0/24
00500 allow ip from 1 ...

你应该在01000 deny tcp from any to any setup行上面增加你的规则

zjblove

原帖由 linuxbao3 于 2006-9-1 11:30 发表
回楼主:
我用IPFW的在内核里都不加　acceptall　选项的，这样默认会禁止所有端口，然后你再写个rules打开要的22,80就可以了.这样是最简单的方法.

大哥您看到这个没有？这个方法可行吗？

zjblove

原帖由 日落月升 于 2006-9-1 12:58 发表

你应该在01000 deny tcp from any to any setup行上面增加你的规则

这是 ipfw list显示的 怎么让他加啊？
我已经加到rc.firewall里了啊

日落月升

原帖由 zjblove 于 2006-9-1 12:59 发表


大哥您看到这个没有？这个方法可行吗？

这个可以，我就是这么用的

日落月升

原帖由 zjblove 于 2006-9-1 13:00 发表


这是 ipfw list显示的 怎么让他加啊？
我已经加到rc.firewall里了啊

你要加在client项里加规则，rc.conf里要有firewall_type="client"

zjblove

我把 rc.firewall
里面的
        add 10001 allow tcp from any to 192.168.1.99 22 setup
        add 10002 allow tcp from any to 192.168.1.99 80 setup
        ${fwcmd} add 65000 deny all from    any to any
改成了
        ${fwcmd} add 10001 allow tcp from any to ${ip} 22 setup
        ${fwcmd} add 10002 allow tcp from any to ${ip} 80 setup
        ${fwcmd} add 65000 deny all from    any to any

已经显示了 正在测试能不能用

zjblove

原帖由 日落月升 于 2006-9-1 13:05 发表


你要加在client项里加规则，rc.conf里要有firewall_type="client"

这个早就加了

日落月升

原帖由 zjblove 于 2006-9-1 13:06 发表
我把 rc.firewall
里面的
        add 10001 allow tcp from any to 192.168.1.99 22 setup
        add 10002 allow tcp from any to 192.168.1.99 80 setup
        ${fwcmd} add 65000 deny all from    any to any
改成了
         ...

你这样改是对了，ipfw list也能显示了，但应该还是不能连接，你要在 deny tcp from any to any setup 这前打开22 80

zjblove

10001 allow tcp from any to 192.168.1.99 222 setup
10002 allow tcp from any to 192.168.1.99 80 setup
65000 deny ip from any to any
65535 allow ip from any to any

显示了以后 竟然还能连接
怎样才能直接把这个去掉啊？
65535 allow ip from any to any