使用ipfilter设置小型企业防火墙

《使用ipfilter设置小型企业防火墙》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、使用IPFilter设置小型企业防火墙～教育资源库　　一、网络环境　　1、主机A：安装freebsd4.7，安装三块网卡fxp0、xl0和xl1。　　fxp0为对外网卡，IP：x.x.x.xISP为我提供的IP地址　　xl0为对内公共区域网卡，IP：192.168.0.1　　xl1为对内服务提供区域网卡，IP：192.168.80.1　　2、主机B：对外提供服务主机，ip地址为：192.168.80.80　　3、主机C：对外提供ftp服务主机，ip：192.168.80.3。　　4、其他工作站N台。　　二、编译内核　　1、#cd/sy

2、s/i386/conf#cpGENERICkernel_IPF　　2、编译kernel_IPF,加入一下选项：optionsIPFILTERoptionsIPFILTER_LOGoptionsIPFILTER_DEFAULT_BLOCK3、<CENTER><ccid_nobr><tableakekepend#make#makeinstall　　4、编辑/etc/rc.rc.conf,打开以下选项：defaultrouter=x.x.x.1x.x.x.1为ISP提供的网关gateapfxp0192.168.

3、0.0/16->0/32proxyportftpftp/tcpmapfxp0192.168.0.0/24->0/32portmaptcp/udp10000:30000mapfxp0192.168.0.0/24->0/32mapfxp0192.168.80.0/24->0/32portmaptcp/udp300001:60000mapfxp0192.168.80.0/24->0/32portmaprdrfxp0x.x.x.x/32port80->192.168.0.2port80rdrfxp0x.x.

4、x.x/32portftp->192.168.0.3portftprdrfxp0x.x.x.x/32port30001-50000->192.168.80.3port30001tcp　　2、设置包过滤ipfilter。在/etc下新建文件ipf.rules,内容为：blockinlogquickallanyto192.168.0.0/16blockoutlogquickonfxp0fromanyto0.0.0.0/8blockoutlogquickonfxp0fromanyto169.254.0.0/8blockoutlo

5、gquickonfxp0fromanyto10.0.0.0/8blockoutlogquickonfxp0fromanyto127.16.0.0/12blockoutlogquickonfxp0fromanyto127.0.0.0/8blockoutlogquickonfxp0fromanyto192.0.2.0/24blockoutlogquickonfxp0fromanyto204.152.64.0/23blockoutlogquickonfxp0fromanyto224.0.0.0/3123下一页友情提醒：，特别！　　以上为屏蔽

6、不合法地址的输出数据passoutlogonfxp0prototcp/udpfromanytoanykeepstatepassoutlogonfxp0protoicmpallkeepstate以上为允许TCP、UDP、ICMP数据包向外发送出去，并且允许回应数据包发送回到内部网络<CENTER><ccid_nobr><table192.168.0.0/16toanyblockinlogquickonfxp0from10.0.0.0/8toanyblockinlogquickonfxp0from172.16

7、.0.0/12toanyblockinlogquickonfxp0from127.0.0.0/8toanyblockinlogquickonfxp0from192.0.2.0/24toanyblockinlogquickonfxp0from169.254.0.0/16toanyblockinlogquickonfxp0from224.0.0.0/3toanyblockinlogquickonfxp0from204.152.64.0/23toanyblockinlogquickonfxp0fromx.x.x.x/32toanyblock

8、inlogquickonfxp0fromanytox.x.x.0/32blockinlogquickonfxp0fromanytox.x.x.255/32　　以上为屏蔽具备内部网络地址的数据包被转发到外部网络passin