首页 > > 操作系统 > FreeBSD >

FreeBSD连载(78):设置和使用ipfw/natd

2009-05-13 12:26:17来源:未知 阅读 ()

新老客户大回馈,云服务器低至5折


设置防火墙功能
  通过设置,FreeBSD系统能够具备更高的安全性,防止外界入侵者进入系统,即使入侵者利用人为的问题进入系统,FreeBSD严密的保护也将使他们无所作为,不能对系统造成严重的破坏。然而,除了用于保护系统本身的能力之外,FreeBSD还能用于保护同一个网络内的其他计算机。此时这个FreeBSD系统就必须作为内部网络的缺省网关,担负将内部网络连接到外部网络的任务。
  FreeBSD系统实现了包过滤能力与网络地址转换能力,如果仅将这些能力用作保护系统本身,显然不是这些功能的设计目的,保护本地系统只是保护本地网络的一部分功能。包过滤能力是针对路由器等网络设备来设计的,而网络地址转换也是重要的防火墙功能,这些设计就使得FreeBSD能被十分方便的设置为防火墙系统。此外,FreeBSD上也能运行其他类型的防火墙软件,如代理型防火墙软件fwtk等,作为代理服务器来保护本地网络内的系统。
  即使FreeBSD系统不是用作防火墙,它所支持防火墙能力也同样能用来保护本地系统的安全。

  • 设置和使用ipfw/natd
      在专用路由器系统开始流行之前,Internet上的路由器大部分是基于Unix的软件路由器,其中多数是BSD Unix。显然这是由于BSD Unix在Internet上占据的重要地位决定的,即便是在专用硬件路由器流行的今天,当由于价格等因素不能考虑硬件路由器时,BSD系统仍然是用作软件路由器的首选系统。
      由于路由器处于网络之间,所有网络间需要交换的数据包都要通过它转发,因此就可以进行一定的限制,即按照预定义的一定规则处理每个数据包,符合要求的允许通过,不符合要求的就进行丢弃。这样路由器就能用作一个简单的防火墙系统,保护内部计算机。BSD系统中最早使用ipfw过滤器来定义不同的过滤规则,随后ipfw也被移植到其他平台上,并根据开发者的理解不同而独立发展。当前不同系统上的ipfw已经大不相同了,并出现了具备相同功能的其他过滤器, FreeBSD下的ipfw也经过了不断发展,具备了更强的过滤能力,尤其是它能和natd守护进程相结合,提供网络地址转换能力,具备更完善的防火墙能力。

  • 使用ipfw设置过滤

      由于包过滤要对每个数据包都进行判断,因此在网络流量较大时需要较高的处理器处理能力,FreeBSD的包过滤能力是在内核中实现的,这样才能具备最高的效率和性能。因此为了在FreeBSD上使用这个防火墙功能,需要在编译内核时打开下面选项重新定制内核。
    options IPFIREWALL
    options IPFIREWALL_VERBOSE
    options “IPFIREWALL_VERBOSE_LIMIT=100”
    options IPFIREWALL_DEFAULT_TO_ACCEPT
    options IPDIVERT
      其中第一项设置IPFIREWALL是用于打开基本的包过滤支持的,只有使用它才能在内核中支持包过滤。IPFIREWALL_VERBOSE 和IPFIREWALL_VERBOSE_LIMIT设置记录过滤日志,及日志记录的限制。IPFIREWALL_DEFAULT_TO_ACCEPT是设置IPFIREWALL的缺省行为,在数据包不符合所有的过滤规则的情况下进行转发,显然这是一种宽松的限制,此时系统主要用于屏蔽特定地址和特定服务,而提供其他的缺省网络能力。如果没有定义这个选项,系统就只能允许符合已定义规则的数据包通过,而屏蔽其他任何数据包,这样在没有定义过滤规则的情况下,系统不能和其他计算机相互通信。最后一个选项IPDIVERT是用于定义IPFIREWALL与natd的接口。
      当编译安装了内核之后,还需要设置内核具备数据包的转发能力。需要在rc.conf中设置gateway_enable 的值为YES,这样就能在系统启动时自动打开包转发能力。也可以直接执行下面命令来打开内核包转发能力。
    # sysctl -w net.inet.ip.forwarding=1
      net.inet.ip.forwarding: 0 -> 1

    标签:

    版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
    特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

    • 上一篇:FreeBSD连载(77):安全工具

    下一篇:FreeBSD连载(79):设置和使用ipfilter

    相关文章

    IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设

    网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源

    网站联盟: 联盟新闻 联盟介绍 联盟点评 网赚技巧

    行业资讯: 搜索引擎 网络游戏 电子商务 广告传媒

    网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它

    服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护

    软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷

    网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash

    程序设计: Java技术 C/C++ VB delphi

    网络知识: 网络协议 网络安全 网络管理 组网方案 Cisco技术

    操作系统: Win2000 WinXP Win2003 Mac OS Linux FreeBSD

    热门词条
    最新资讯
    热门关注
    热门标签