FreeBSD ipfw防火墙的安装和设置

FreeBSD自带有一个基于包过滤的防火墙--ipfw，虽然功能没有专业防火墙那么强大，但是应付一个Web站点的安全还是足够的，所以我们决定选用该防火墙来保护我们的Web服务器。
1. 安装ipfw
IPFW 的主要部分是在内核中运行的， 因此会需要在FreeBSD内核配置文件中添加部分选项。（注意，如果你没有安装FreeBSD核心源代码，是无法进入以下目录的，所以运行之前一定要先安装内核源代码）我们先进入内核配置文件：
# cd /sys/i386/conf
# cp GENERIC ./kernel_fw
打开内核配置文件：
# ee ./kernel_fw
添加四个选项，不需要后面的注释信息：
options IPFIREWALL # 将包过滤部分的代码编译进内核。
options IPFIREWALL_VERBOSE
# 启用通过syslogd记录的日志。如果没有指定这个选项，即使您在过滤规则中指定记录包， 也不会真的记录它们
options IPFIREWALL_VERBOSE_LIMIT=10
# 限制通过 syslogd(8) 记录的每项包规则的记录条数。在恶劣的环境中如果您想记录防火墙的活动， 而又不想由于 syslog 洪水一般的记录而导致拒绝服务攻击， 那么这个选项将会很有用。
options IPFIREWALL_DEFAULT_TO_ACCEPT
# 这将把默认的规则动作从 ``deny'' 改为 ``allow''。这可以防止在没有配置防火墙之前使用启用过 IPFIREWALL 支持的内核重启时把自己锁在外面。 另外， 如果您经常使用 ipfw(8) 来解决一些问题时它也非常有用。尽管如此，在使用时应该小心，因为这将使防火墙敞开， 并改变它的行为。
编译内核：
# /usr/sbin/config kernel_fw
# cd ../compile/kernel_fw (注意你的版本，如果是低于5.0的版本用../../compile/kernel_fw)
# make depend
# make
# make install
重启系统。注意，我们没有选择options IPFIREWALL_DEFAULT_TO_ACCEPT该选项，就是说默认系统启动后是打开防火墙的，并且防火墙默认是不允许任何连接的(deny from any to any)，所以一定要在本地操作，否则你将被“锁在门外”，如果你选择了该选项则可以使用ssh等连接不受影响，不过这相对不安全。
2. 配置ipfw
如果配置普通情况下的规则，使用命令配置的模式：
ipfw的配置命令：ipfw [-N] 命令 [编号] 动作 [log(日志)] 协议 地址 [其它选项]
例如：
# ipfw add allow tcp from any to 10.10.10.1 80 #允许外界访问我的web服务
# ipfw add allow tcp from any to 10.10.10.1 21 #允许外面访问我的ftp服务
# ipfw add allow tcp from any to 10.10.10.1 22 #允许外界访问我的ssh服务
如果使用规则包的形式，那么查看下面内容。
系统启动后，我们还要配置rc.conf文件来运行我们的防火墙：
# ee /etc/rc.conf
加入如下内容：
gateway_enable="YES" # 启动网关
firewall_enable="YES" # 激活firewall防火墙
firewall_script="/etc/rc.firewall" # firewall防火墙的默认脚本
firewall_type="/etc/ipfw.conf" # firewall自定义脚本
firewall_quiet="NO" # 起用脚本时，是否显示规则信息。现在为“NO”假如你的防火墙脚本已经定型，那么就可以把这里设置成“YES”了。
firewall_logging_enable="YES" # 启用firewall的log记录。
设置完成后我们再编辑/etc/syslog.conf文件：
# ee /etc/syslog.conf
加入以下行：
!ipfw
*.*                  /var/log/ipfw.log
现在到了最重要的编辑规则包了：
# ee /etc/ipfw.conf
我们添加一下规则：(注意 10.10.10.1是我们服务器的IP)

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有