FB下ipf -- ipfw 经验分享

pizigou

一、防火墙的选择。
FB下有三款在HANDBOOK中说明的防火墙（ipf、ipfw、pf）。其中前两个在FB下使用广泛，而PF在
OPBSD下使用较多。防火墙的选择可以根据个人喜好选择，如果场合复杂推荐将ipf和ipfw同时起用
，优势互补。
二、ipf和ipfw的how-to。
原则是：多看HOW-TO,多多实践。相信FB下的两款防火墙一定能够胜任你手里大大部分工作。
http://www.kgb.ro/Ipfw-HOWTO （ipfw的）
http://www.obfuscation.org/ipf/ipf-howto.txt （ipf的）
三、一些小经验
1、FB做WEB服务器可以要保持keepstat。同时可以使用ipfw limit 参数实现控制单ip并发（感谢
cu朋友，原贴：http://bbs.chinaunix.net/viewthr ... &extra=page%3D1）。
2、FB做ftp服务器如果没有采用pasv模式记得开起20（为data数据端口）。
3、ipfw和ipf都可以动态加载，方法为（kldload ipfw/ipf）。注意默认为deny all 所以加载同
时添加一条允许规则，否则远端容易将自己断开。
4、用ipf+ipnat很好实现透明代理，也很适合做必要的控制。
5、用ipfw+dummynet可以很好实现流量控制。
6、复杂情况可以同时起用ipf和ipfw,但是同时只能一个内核一个动态加载。
四、小结
希望能够给刚接触FB下firewall的朋友一些帮助。

colddawn

不错，补充几点：
1，是否使用keep-state看具体情况，如果是重负载服务器可能要考虑keep-state的查表效率问题。limit同理，因为limit是基于state之上的限制。
2，如果是ftp被动模式还要考虑随机高端口问题，不管主动还是被动，20建议都开放，因为还牵扯一个FXP。
3，FB4以及以前的版本无法kld运行。另外kld方式加载无法使用流控。
6，不一定，试演过2者同时kld，没问题，同时编入内核倒是没有搞过。

pizigou

呵呵 好 希望 bsder 们都来补充。。。

redfox1981

不错，正在想这个问题到底用什么防火墙好呢，谢谢LZ

dayanjing48

ipfw+ipa 可以实现流量定量控制!  ^_^

pizigou

呵呵 FB6.1没有试过 有学习了~~

dayanjing48

同时编译进内核?用2防火墙?

antijp

原帖由 2004xxx 于 2006-10-24 23:12 发表
在FreeBSD release6.1下试过将ipfw,ipf同时编译进内核，使用木有问题。

同。昨天实验过。

按道理大家都用pfil框架，没道理不行。

wincat

在FB下用pf效果也不错呀