请熟悉IPF的朋友帮个忙

YouRDj

小弟最近在给单位用BSD做NAT+IPF的网关，由于从来没配置过IPF所以向懂IPF的高手请教

BSD网关的IP是192.168.0.1

想要用IPF实现
     192.168.0.2-192.168.0.100 这段IP只可以访问任何外部计算机的8000和9000端口，而且又只可以与WWW.XXX.COM建立任何通讯（另外其他与外部的通讯是完全不允许的）

而192.168.0.200 没有任何限制

MaxBSD

而且又只可以与WWW.XXX.COM建立任何通讯（另外其他与外部的通讯是完全不允许的）＝＝＝》这个可能用代理（例如squid)实现比较方便了（定义ACL就行了）。

YouRDj

[quote]原帖由 "MaxBSD"]而且又只可以与WWW.XXX.COM建立任何通讯（另外其他与外部的通讯是完全不允许的）＝＝＝》这个可能用代理（例如squid)实现比较方便了（定义ACL就行了）。[/quote 发表：
     

看起来对我来说好象挺复杂的 ，
原以为只用IPF就可以办到呢，劳烦兄台能不能再详细的说一说？

红袖添香

[quote]原帖由 "MaxBSD"]而且又只可以与WWW.XXX.COM建立任何通讯（另外其他与外部的通讯是完全不允许的）＝＝＝》这个可能用代理（例如squid)实现比较方便了（定义ACL就行了）。[/quote 发表：
   

squid 是基于 http 的代理，其它不行了吧？   

MaxBSD

原帖由 "红袖添香" 发表：
   

squid 是基于 http 的代理，其它不行了吧？   

   

我是说限制只能访问xxx.com网站，端口过滤当然就不行了。结合一下咯。

我先offline了，节约点电。Take care, folks。

红袖添香

原帖由 "MaxBSD" 发表：
   

我是说限制只能访问xxx.com网站，端口过滤当然就不行了。结合一下咯。

我先offline了，节约点电。Take care, folks。

   

哦，酱紫~~ 太深奧偶们听不明白嘢~~

我也offline，肚子饿了~~   

G'nite!

MaxBSD

原帖由 "红袖添香" 发表：
   

哦，酱紫~~ 太深奧偶们听不明白嘢~~

我也offline，肚子饿了~~   

G'nite!

   

我这还有俩馍馍，请你吃啊。   

YouRDj

add allow all from any to any 8000,9000
add allow all from any to www.xxx.com
add deny all from any to any

这样的话，结果会怎么样呢？不知道我的写法对不对：P     
即使能满足第一条要求也好，尽管那不是我的作风

i2era

原帖由 "YouRDj" 发表：
小弟最近在给单位用BSD做NAT+IPF的网关，由于从来没配置过IPF所以向懂IPF的高手请教

BSD网关的IP是192.168.0.1

想要用IPF实现
     192.168.0.2-192.168.0.100 这段IP只可以访问任何外部计算机的8000和9000端..........

   

192.168.0.2-192.168.0.100
子网ip数99个
最接近的2的n次幂为:64+32+4=100
故192.168.0.2-100
可分为3个子网段:
①192.168.0.0/24+2
②192.168.0.64/24+3
③192.168.0.96/24+6
为了简洁起见，上面的3个子网段(代表192.168.0.2-192.168.0.100)
在下文中用***代替
注：rl0为内网卡名
ipf.conf

1. 
   
2. pass in quick on rl0 proto tcp/udp from *** to any port = 8000
   
3. pass in quick on rl0 proto tcp/udp from *** to any port = 9000
   
4. pass in quick on rl0 from *** to WWW.XXX.COM
   
5. pass in quick on rl0 from 192.168.0.200 to any
   
6. block in on rl0 all
   

复制代码

我对ipf的规则语法不熟悉，所以语法方面可能有错误
不过规则是表示出来了
PS:如果你的内网用户可以改变他们的ip,那么上面所做的一切就相当于是无效的   

YouRDj

多谢多谢，：）