freebsd的ipfw防火墙问题

halen

在使用ipfw做防火的大多数列子中都会在编译内核时加入其下面一个选项
options    IPFIREWALL_DEFAULT_TO_ACCEPT
才会有：65535 allow ip from any to any
我是新手玩freebsd编译好的内核不想在编太费时，就凑合用为了实现我想要的效果，我就在65535前加了65000规则，使65535永远不会被匹配。一天我用ipfw -t list发现有65535被匹配我想不通！

[ 本帖最后由 halen 于 2007-3-21 11:18 编辑 ]

freshegg

原帖由 halen 于 2007-3-20 08:05 发表
前面省略。。。。。。。
ipfw add 65000 deny ip from any to any
ipfw add 65535 allow ip from any to any


一段时间后我用
ipfw -a list 看发现
65000 66 3535 deny ip from any to any
65535 1 1008 ...

上面那个65535和下面这个65535不是一回事哦，
上面那个65535是lz登录后手动添加的命令？

另外，ipfw的规则匹配顺序是first win。

colddawn

原帖由 zhengwei_zw 于 2007-3-20 23:29 发表
ipfw add 65000 deny ip from any to any
ipfw add 65535 allow ip from any to any
这个明显就有问题！
明显就是allow ip from any to any起作用！
根本没有起到任何作用，我做过这样的实验
IPFW是按rule号 ...

真不知道你是怎么试验出来的，ipfw的无状态规则明明就是最先匹配。

zhengwei_zw

最小的规则最先匹配。。。系统默认有个65535

HonestQiao

楼主可否这么测试呢？

ipfw -d -e list
然后再来看看呢？

halen

不好意思，我想是我错了，这几天我一没有动我的主机，只是每天上班下班时ipfw -t list 看是否有包被"漏掉"。事实是没有，65535没有被匹配。经过测试我找到了原因，我在主机运行时修改过ipfw规则，后重载过，我的脚本第
一个是ipfw -f flash ,我想是他在重载时清掉了所有deny规则，即我定义的65000前的规则，这时有包通过，因此就有包与65535匹配，才会有下面情况：
65000 The Mar 20 11:43:56 2007 deny ip from any to any
65535 The Mar 20 11:43:37 2007 allow ip from any to any
细看我发现问题，65000是在11：43:56匹配 而65535是在11:43:37先与65000匹配
就是说在11：43：37时还没有65000规则。
我想在全部短开网络后重载规则就不会有包溜过去的。希望别的朋友也不为此迷惑，可能你的也是这种情况。
试试看吧！

HonestQiao

原帖由 halen 于 2007-3-26 11:29 发表
不好意思，我想是我错了，这几天我一没有动我的主机，只是每天上班下班时ipfw -t list 看是否有包被"漏掉"。事实是没有，65535没有被匹配。经过测试我找到了原因，我在主机运行时修改过ipfw规则，后重载 ...

所以我让你这么测试：
# ipfw -d -e list
　　将计数器清零：