freebsd的ipfw防火墙问题

halen

前面省略。。。。。。。
ipfw add 65000 deny ip from any to any
ipfw add 65535 allow ip from any to any


一段时间后我用
ipfw -a list 看发现
65000 66 3535 deny ip from any to any
65535 1 1008 allow ip from any to any


是不是有问题，不可能有包到65535，从那里漏过去啊！

HonestQiao

原帖由 halen 于 2007-3-20 08:05 发表
前面省略。。。。。。。
ipfw add 65000 deny ip from any to any
ipfw add 65535 allow ip from any to any


一段时间后我用
ipfw -a list 看发现
65000 66 3535 deny ip from any to any
65535 1 1008 ...

你是如何做出这个判断的呢？

要知道，手册告诉我们：
http://www.freebsd.org/doc/zh_CN ... firewalls-ipfw.html
# ipfw -a list
　　列出所有的动态规则和静态规则：

屠龙

因为你的系统ipfw默认是allow的，所以ipfw规则的最后一句就是：
65535 allow ip from any to any

halen

我用ipfw -t list后最后两条是这，65535也有匹配！



65000 The Mar 20 11:43:56 2007 deny ip from any to any
65535 The Mar 20 11:43:37 2007 allow ip from any to any



这不是说明漏吗？

[ 本帖最后由 halen 于 2007-3-20 11:45 编辑 ]

HonestQiao

原帖由 halen 于 2007-3-20 11:44 发表
我用ipfw -t list后最后两条是这，65535也有匹配！



65000 The Mar 20 11:43:56 2007 deny ip from any to any
65535 The Mar 20 11:43:37 2007 allow ip from any to any



这不是说明漏吗？

漏了什么呢?

halen

有65000在前面
不应该有65535匹配吧

colddawn

lz说的对，其他人都没领会你的意思。确实按照最先匹配65000应该会匹配所有到达这条规则的包。
那如果有包到达65535，要么是前面有其他规则指定某些包跳过了65000，要么是包处理流程出问题了。

why119

原帖由 halen 于 2007-3-20 08:05 发表
前面省略。。。。。。。
ipfw add 65000 deny ip from any to any
ipfw add 65535 allow ip from any to any


一段时间后我用
ipfw -a list 看发现
65000 66 3535 deny ip from any to any
65535 1 1008 ...

这个问提我也有....

zhengwei_zw

ipfw add 65000 deny ip from any to any
ipfw add 65535 allow ip from any to any
这个明显就有问题！
明显就是allow ip from any to any起作用！
根本没有起到任何作用，我做过这样的实验
IPFW是按rule号大小顺序来读，后边的规则比前边的规后读，生效的是后边的
要写规则应该：先写允许的----再写不允许的
如果先写不允许------再写全部允许
结果就是全部允许生效………………
我也是ipfw初学者，不知道对不？反正我实验过很多次都是这样子的。

[ 本帖最后由 zhengwei_zw 于 2007-3-20 23:33 编辑 ]

zhengwei_zw

最后可以是
65534 deny tcp from any to any
65535 deny udp from any to any