(转载)PF防火墙典型应用
2009-05-13 11:29:22来源:未知 阅读 ()
PF防火墙起源于OPENBSD项目。近年来FREEBSD/NETBSD也开始支持PF防火墙了,在BSD系统中PF防火墙变得越来越流行了。这里我们重点结合FTP(因为FTP服务器涉及到FTP和FTP-DATA两个TCP端口,并且又分为主动、被动连接模式。相对其他服务要复杂一些,所以今天主要针对这中环境)应用环境列举几个典型应用。
转载时请保留下面的信息:
作者:LLZQQ
联系:LLZQQ@126.COM
出自:BBS.CHINAUNIX.NET
代理服务器:OpenBSD-3.9/4.0
客户端配置:Win2k+FileZilla+FlashGet/Linux
1. 采用PF构建NAT服务器,代理LAN中的CLIENTS上网。配置过程如下:
# vi /etc/rc.conf.local
============================
identd_flags=""
inetd=YES
pf=YES
ftpproxy_flags=""
============================
# > /etc/pf.conf
# vi /etc/pf.conf
============= pf.conf ==============
ext_if="rl0"
int_if="fxp0"
ftp_port="{21,2201,20021}"
set skip on lo
scrub in
nat-anchor "ftp-proxy/*"
rdr-anchor "ftp-proxy/*"
nat on $ext_if from !($ext_if) -> ($ext_if:0)
rdr pass on $int_if proto tcp to port $ftp_port -> 127.0.0.1 port 8021
anchor "ftp-proxy/*"
antispoof for $ext_if inet
block in
pass quick on $int_if
pass in on $ext_if proto tcp to ($ext_if) port ssh keep state
pass out keep state
============= pf.conf =============
简单解释:
ftp_port="{21,2201,20021}"
在互联网上不是所有的FTP服务器都监听TCP 21端口,比如有的监听2201,20021等。当CLIENTS采用PASV模式(被动模式)来连接外部FTP服务器时没有问题,但是当用主动模式连接那些非TCP21端口的服务器时就有问题了。针对这种情况,我们把这些端口列出来就可以了(当然我们不可能列出所有的,这个也是很无奈的事情)。
试验结论:
按照上面给出的配置搭建的PF(NAT)服务器可以完美的代理用户连接外部FTP服务器,当然对代理其他类型的服务也没得说。
2. 采用PF构建NAT服务器,代理LAN中的CLIENTS上网,同时NAT服务器上也同时提供FTP服务。配置过程如下:
# vi /etc/rc.conf.local
============================
identd_flags=""
inetd=YES
pf=YES
ftpproxy_flags=""
============================
# > /etc/pf.conf
# vi /etc/pf.conf
============= pf.conf ============
ext_if="rl0"
int_if="fxp0"
ftp_port="{21,221,20021}"
set skip on lo
scrub in
nat-anchor "ftp-proxy/*"
rdr-anchor "ftp-proxy/*"
nat on $ext_if from !($ext_if) -> ($ext_if:0)
rdr pass on $int_if proto tcp to port $ftp_port -> 127.0.0.1 port 8021
anchor "ftp-proxy/*"
antispoof for $ext_if inet
block in
pass quick on $int_if
pass quick on lo
pass in on $ext_if proto tcp to ($ext_if) port ssh keep state
pass in on $ext_if proto tcp to ($ext_if) port ftp keep state
pass in on $ext_if proto tcp from any to any port > 55000 keep state
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
- FreeBSD 内建的防火墙指令ipfw英译汉 2009-05-13
- OpenBSD 3.x 防火墙 PF配置新手指南 2009-05-13
- 通过pf防火墙来封堵恶意猜测登陆ssh的IP 2009-05-13
- PF防火墙详解 2009-05-13
- Freebsd上使用pf防火墙 2009-05-13
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash