如何设定防火墙IP Firewall
IP Firewall 可以有效的增进系统的安全,但是除非你对 IP Firewall 有
相当的了解,否则你可能把你的机器弄的无法上网路。
警告 !! 绝对不要从远端连线设定 IPFW,一定要从 console !!
不然设定错误,你的连线可能会被中断 !!
你必须在 kernel config file 中加入 options IPFIREWALL 及 options
IPFIREWALL_VERBOSE,再重新编译 kernel。
在你开始以前,请先 man ipfw。
1. 编辑 /etc/sysconfig,把 firewall=NO 改成 firewall=YES
2. 修改 /etc/rc.firewall
你可以参照里面的□例,如果看不懂的话,请 man ipfw
以下是一个简单的例子:
echo "IP Firewall Rules ...."
# true to enable, false to disable
if true; then
# basic information
net="140.113.139.0"
mask="255.255.255.0"
mask_b="255.255.0.0"
myip="140.113.139.1"
# flush all rules
# FreeBSD-2.2 1996/Sep 以後的版本,请使用 ipfw -f flush (见後 PS)
/sbin/ipfw flush
# Allow all connections at last
# IPFW default rule : "65535 deny all from any to any"
/sbin/ipfw add 65000 pass all from any to any
# Allow all connections (the latest match 65000) 本行最後才 match !
/sbin/ipfw add 65000 pass all from any to any
# Allow all localhost connections (first match) 本行最先 match !
/sbin/ipfw add 1000 pass all from 127.0.0.1 to 127.0.0.1
/sbin/ipfw add 1010 pass all from ${myip} to a
# Friendly sites (fully access rights)
# 这些 host 最好用 IP,或是要纪录在 /etc/hosts 中
/sbin/ipfw add 1100 pass all from Friend1 to any
/sbin/ipfw add 1120 pass all from Server to any
/sbin/ipfw add 1130 pass all from FreeBSD.csie.nctu.edu.tw to any
# deny everything (asshole host)
/sbin/ipfw add 2000 deny all from 123.123.123.123:${mask} to any
# deny remote syslogging to get ride of security problem
/sbin/ipfw add 3000 deny udp from any to any 514
# deny users out of campus from doing "rusers", "rwall"
/sbin/ipfw add 4000 pass udp from ${net}:${mask_b} to any 1034,1035
/sbin/ipfw add 4010 deny udp from any to any 1034,1035
# deny most hosts from tcpspray me
/sbin/ipfw add 5000 deny tcp from any to any 9
/sbin/ipfw add 5010 deny udp from any to any 9
fi
3. 执行 sh /etc/rc.firewall,然後测试各种网路连线看看
後记:
IPFW 一启动後,内定是『拒绝所有连线』!!!
(IPFW 内定 rule : 65535 deny all from any to any)
这点要特别注意,因此如果你下了 ipfw flush 指令,你立刻跟网路隔绝,
连 localhost 也无法连接。
因此通常我们会在最後一个 rule (如 65534) 允许所有连线,然後把 deny
的 rules 都放在前面。
如果你在系统启动之後修改了 /etc/rc.firewall,只要用
sh /etc/rc.firewall 就可以载入新的 rules。
如果你在远端控制,要注意新加的 rule 不要把自己给 ban 掉了啊。
PS. 在 1996/Sep 以後的 ipfw 在执行 ipfw flush 时会询问使用者以求
确认 (因为 ipfw flush 会导致连线中断),因此你在撰写 /etc/
rc.firewall 时请使用 ipfw -f flush。
你可以打 ipfw -h 看看你的 ipfw 有没有支援 -f 的选项。 (http://www.fanqiang.com) 进入【UNIX论坛】
|
白衫
|
|
智慧家居
智慧家居颠覆传统智能家居
智慧云谷让智能家居变成有智慧的
智慧云谷引领智慧家居新生活
科技改变生活 智慧云谷智慧家居系
智慧家居领航者,智慧云谷助你玩
智能家居如何赢得市场美誉度?
智慧云谷智慧家居:创业者有无限
WiFi智能家居你还在用?这样的智
互联网+助推智能家居产业
智慧云谷为您打造真正的智能家居
智能家居产业需要的不是单品,而
新家如何选择开关?智慧云谷iWis
智能传感器-世界首款“智”为你的
智慧云谷开关智能安防智能空气质
智能开关品牌,如何选择智能开关
秋季干燥,智慧家居温湿度传感器
传感器助力智慧家居 感知爱家
iWiscloud智能触摸开关缔造家居装
※室内空气污染的危害及 [sensor]
※超声波风速传感器在生 [sensor]
※这么冷清 [gabc111]
※手机APP操作有问题 [ssy11407]
※智慧云谷智慧家居将在 [cici]
※上传下载 [cici]
※下载智慧家居 [apple2008]
※秋季干燥,智慧家居温 [apple2008]
※智慧家居紧扣热点 安全 [apple2008]
※办公大楼如何智慧化管 [apple2008]
※智慧云谷工业自控的优 [apple2008]
※传感器助力智慧家居 感 [apple2008]
※智能开关品牌,如何选 [apple2008]
※智慧云谷开关智能安防 [apple2008]
※没有专业人员,如何安 [apple2008]
※烟台智慧云谷董事长任 [apple2008]
※互联网+助推智能家居产 [apple2008]
※WiFi智能家居你还在用 [apple2008]
※智慧云谷智慧家居:创 [apple2008]
※智能家居如何赢得市场 [apple2008]
|
】
备案证号:37020020091219
