- 论坛徽章:
- 0
|
自己在虚拟机里面装了FreeBSD6.1 安装设置了apache mysql 以及ssh,并且编译了内核,加了几个简单的防火墙设置:
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=10
本来想加:
options IPFIREWALL_DEFAULT_TO_ACCEPT
不过想想还是没加,自己慢慢研究比较有意思!
我的rc.conf
firewall_enable="YES"
firewall_script="/etc/ipfw.conf"
#firewall_script="/etc/rc.firewall"
#firewall_type="/etc/ipfw.rules"
firewall_quiet="NO"
firewall_logging="YES"
tcp_drop_synifn="NO"
tcp_restric_rst="YES"
tcpdrop_redirect="YES"
apache2_enable="YES"
mysql_enable="YES"
我的ipfw.conf
#!/bin/sh
# DNS
ipfw add allow udp from me 53 to any out
ipfw add allow udp from any to me 53 in
# DHCP
ipfw add allow udp from me 68 to any 67 out
ipfw add allow udp from any 67 to me 68 in
# ICMP
ipfw add allow icmp from me to any icmptypes 8 out
ipfw add allow icmp from any to me icmptypes 0 in
# TCP
ipfw add allow tcp from any to me 21,22,80,3306 in
ipfw add check-state
ipfw add allow tcp from me to any out keep-state setup
ipfw add allow tcp from me to any out
其他的都没什么大问题,就是最后三条有点不理解:
先说最后一条,我用ssh远程登录,如果没有最后一条可以加上
ipfw add allow tcp from me 22 to any out
这样ssh可以连上,不然连不上,不过我看了很多网上的ssh设置都是只有允许外面进来,没有出去的,但是考虑到端口通信,倒也还好理解,或者说我自己觉得还说的过去。
但是只放自己的22端口出去,那么80端口进来的时候没端口出去的话那客户端网站是打不开的,可是如果加了
ipfw add allow tcp from me to any out
那这样的话上面倒数第二和第三条的那两条的状态检查是不是会生效?!因为我不理解这两条的意思(刚刚接触这个ipfw,呵呵),我是担心要是允许了tcp me to any的话会不会系统有木马什么的主动出去而防火墙不做阻拦呢?一般的80通讯是先有进来,检查了之后再响应出去的吧,要是没有进来就直接可以出去的话不是很危险?!
那这个检查是怎么做呢?!请大家指点!谢谢!
[ 本帖最后由 villain 于 2006-9-13 13:55 编辑 ] |
|