Ipfilter心得集
2009-05-13 02:00:14来源:未知 阅读 ()
Ipfilter心得集
首先,编译内核,添加如下两行:
options IPFILTER
options IPFILTER_LOG
##另外有:options IPFILTER_DEFAULT_BLOCK,但是我个人认为没有什么用处。
然后,修改你的/etc/rc.conf文件,添加:
程序代码:####################################
gateway_enable="YES"
ipfilter_enable="YES"
ipfilter_program="/sbin/ipf"
ipfilter_rules="/etc/ipf.rules"
ipfilter_flags=""
##起动包过滤功能
ipnat_enable="YES"
ipnat_program="/sbin/ipnat"
ipnat_rules="/etc/ipnat.rules"
ipnat_flags="CF"
##起动地址翻译功能
ipmon_enable="YES"
ipmon_program="/sbin/ipmon"
ipmon_flags="-Ds"
##起动日志记录功能
######################################
然后在/etc目录下建立ipf.rules ipnat.rules两个文件
在/etc下面建立的两个文件就是ipfilter的规则文件现在开始修改规则文件
先说 :我的外网卡:rl0 *.*.*.45/24
我的内网卡:dc0 192.168.0.1/24
先是 ipf.rules:
程序代码:block in quick all with short #丢弃短小的包
block in quick all with ipopts #丢弃自身带有路由功能的包
pass in quick on lo0
pass out quick on lo0 all #在本地回环上面,一律通过
###############
#然后给自己的网卡分组#
###############
block in quick on dc0 all head 100 #如果分组100没有允许,则BLOCK
block out quick on dc0 all head 150 #如果分组150没有允许,则BLOCK
block in quick on rl0 all head 200 #如果分组200没有允许,则BLOCK
block out quick on rl0 all head 250 #如果分组250没有允许,则BLOCK
#在内网卡的IN为分组100
#在内网卡的OUT为分组150
#在外网卡的IN为分组200
#在外网卡的OUT为分组250
####################
#首先编辑内网卡的IN规则
####################
pass in quick proto tcp from 192.168.0.0/24 to any keep state group 100
pass in quick proto udp from 192.168.0.0/24 to any keep state group 100
pass in quick proto icmp from 192.168.0.0/24 to any keep state group 100
psss in quick proto esp from 192.168.0.0/24 to any keep state keep flags group 100
pass in quick proto gre from 192.168.0.0/24 to any keep state group 100
#分别允许tcp,udp,icmp,esp(ipsec),gre(pptp)协议通过.
#################################################
.
.
.
按照类似规则,编辑其他分组
.
.
.
#################################################
#最后,应有阻止10.0.0.0/8 127.0.0.0/8 172.16.0.0/12 192.168.0.0/16的规则
block in quick from 10.0.0.0/8 to any group 200
block in quick from 127.0.0.0/8 to any group 200
block in quick from 172.16.0.0/12 to any group 200
block in quick from 192.168.0.0/16 to any group 200
#################################################
#最终明确阻止
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
- Freebsd oracle 10g 2009-05-13
- FreeBSD下nginx+fast-cgi+mysql+zend的实现 2009-05-13
- gd 安装报错.求助 2009-05-13
- freebsdchina的Ftp到位了,不用再悲剧了 2009-05-13
- nginx的index页设置问题!! 2009-05-13
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
