IPFW和IPF
一、IPFW
IPFW意思可以理解为ip防火墙,主要作用是拦截设定规则外的ip包。你可以把这个理解为linux下的iptables,但是,ipfw要比iptables简单易用。
freebsd系统默认是不安装ipfw或者ipf的,你需要在内核配置文件中启用并重新编译内核。所以,你需要先运行sysinstall-->Distribution->src->选择base,sys,然后安装系统内核源码。
然后进行下列步骤
#cd /usr/src/sys/amd64/conf #cp GENERIC IPFW #vi IPFW
在最下面加入以下内容
options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=10 options IPFIREWALL_DEFAULT_TO_ACCEPT
粗体字十分重要,如果你不加上的话,IPFW将默认关闭所有连结,相当于物理隔离了,你将无法远程登录维护。
然后编译内核。注,你必须安装源码中的base,否则你将无法编译任何东西
#cd /usr/src #make buildkernel KERNCONF=IPFW #make installkernel KERNCONF=IPFW
然后进入/etc
#vi rc.conf 加入以下内容
firewall_enable="YES" firewall_type="open" #open或规则文件绝对路径
之后等待编译并安装完成。IPFW就启用了,然后重启就可以开始配置IPFW的规则了。你过去的kernel将放在/boot/kernel.old,如果你编译后有任何启动方面的问题,可以在刚开始启动的选择菜单选择Load Prompt选项,然后打boot kernel.old启动你原来没有问题的内核。
相比于iptables那种-m -d的选项方式的命令行,IPFW的配置更接近于人类的语言。其实目前有很多防火墙或者流控系统都是是基于FreeBSD的IPFW或IPF的,只是做了一个网页的界面,便于不太熟悉命令行操作的人使用,比如panabit或者m0n0wall。不过我觉得,其实命令行更灵活和方便简单。
ipfw分内规则和外规则两种,设定规则时,你需要给定规则编号,10000以内为内规则,以上是外规则。当然你也可以给10000以内的,只要你自己看得懂就行,一条规则ID可以分配多个规则使用。关于规则ID,如果你学习过路由交换和cisco的acl,应该是比较容易理解的。实际上Cisco的IOS就是基于BSD系统做嵌入式开发的。如果实在没有概念,你可以把规则ID理解为key,规则内容就是key对应的value。
ipfw基本语法如下
ipfw 操作(添加|删除) 规则编号 动作(允许|拒绝) 地址(All) from 地址(IP|ANY) to 地址(IP|ANY) 端口号
示例如下
#ipfw add 10001 deny all from any to 192.168.1.10 22
注意,请不要将这行代码放入你的服务器里,否则你将无法访问。
按照人类语言的描述就是,ipfw 添加 10001 拒绝 所有 从 任意地址 到 192.168.1.10的22端口。如果你需要去掉这条规则,就把add换成delete,ipfw的使用方法写出来有好几页,可以去查看FreeBSD的中文手册,BSD这点非常好,手册非常详细。
你也可以用ipfw做nat转发,示例如下
#ipfw nat 1 config redirect_addr 10.0.0.1 10.0.0.66 #ipfw nat 2 config redirect_port tcp 192.168.0.1:80 500 #ipfw nat 3 config redirect_proto udp 192.168.1.43 192.168.1.1
这样来说,ipfw可以完成的事情非常多,并不比iptables差,并且由于tcp/ip协议是在bsd上先实现的,所以,效率更高。而且语法更简单明了。也同样可以对二层地址(MAC)进行访问控制。
使用ipfw list查看当前规则
二、IPF
IPFW和IPF是两个完全不同的东西,但是功能和性能很接近,没有谁好谁坏,看使用习惯了,但是同样都需要重新编译内核才可以生效。前面几步跟IPFW一样。
#cp GENERIC IPF #vi IPF
插入以下内容
options IPFILTER options IPFILTER_LOG
编辑/etc/rc.conf
#vi /etc/rc.conf
加入
ipfilter_enable="YES" #打开ipfilter ipfilter_rules="/etc/ipf.rules" #ipfilter规则文件绝对路径 gateway_enable="YES" #作为网关使用 ipnat_enable="YES" #nat转发打开 ipnat_rules="/etc/ipnat.rules" #nat 规则文件绝对路径
然后重新编译,安装内核,重启。
典型命令如下
#ipf -l pass in quick on lo0 all #ipf -l block in quick on em0 from any to 192.168.0.0/16
解释一下:
ipf 允许 进入 在 lo0(环回地址) 全部
ipf 锁定 进入 在em0 从 任意 到 192.168.0.0/16(B类)
非常简单
ipnat是ipf下可以做nat转发的工具,我一般会把nat规则写入到一个文件里,这样启动的时候会自动加载很多规则,不用一个一个去执行。
典型文件内容如下
map bce1 192.168.10.0/25 -> 211.103.xxx.xx1/32
#将bce1地址192.168.10.0/25(VLSM)转发到211.103.xxx.xx1/32(固定地址)
map bce1 192.168.20.111/32 -> 211.103.xxx.xx2/32
#将bce1地址192.168.20.111/32(固定地址)转发到211.103.xxx.xx2/32(固定地址)
rdr bce1 192.168.10.2/32 port 80 -> 211.103.xxx.xx2/32 port 8100 tcp
#端口转发(rdr) bce1 地址192.168.10.2/32(固定地址)的80端口 转发到 211.103.xxx.xx2/32的8100端口。
ipfw和ipf大致就是这样,还有一个过滤工具叫pf,全称为packet filter,那个不是很熟,就不写了。有任何疑问可以参看BSD的手册,解说非常详细。
options ACCEPT_FILTER_DATA options ACCEPT_FILTER_HTTP options ACCEPT_FILTER_DNS
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。