返回
freebsd设置和使用ipfw-natd

freebsd设置和使用ipfw-natd

ID:22370517

大小:72.50 KB

页数:13页

时间:2018-10-28

freebsd设置和使用ipfw-natd_第1页
freebsd设置和使用ipfw-natd_第2页
freebsd设置和使用ipfw-natd_第3页
freebsd设置和使用ipfw-natd_第4页
freebsd设置和使用ipfw-natd_第5页
资源描述:

《freebsd设置和使用ipfw-natd》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、FreeBSD设置和使用ipfw/natd  通过设置,FreeBSD系统能够具备更高的安全性,防止外界入侵者进入系统,即使入侵者利用人为的问题进入系统,FreeBSD严密的保护也将使他们无所作为,不能对系统造成严重的破坏。然而,除了用于保护系统本身的能力之外,FreeBSD还能用于保护同一个网络内的其他计算机。此时这个FreeBSD系统就必须作为内部网络的缺省网关,担负将内部网络连接到外部网络的任务。  FreeBSD系统实现了包过滤能力与网络地址转换能力,如果仅将这些能力用作保护系统本身,显然不是这些功能的

2、设计目的,保护本地系统只是保护本地网络的一部分功能。包过滤能力是针对路由器等网络设备来设计的,而网络地址转换也是重要的防火墙功能,这些设计就使得FreeBSD能被十分方便的设置为防火墙系统。此外,FreeBSD上也能运行其他类型的防火墙软件,如代理型防火墙软件f127.0.0.1to127.0.0.1  ipfit,accept)为许可某类数据包通过;deny指令(或同义词drop)为不允许某类数据包通过,将该类数据包丢弃;reject指令与deny指令有所不同,但它不是简单的将数据包丢弃,而是在丢弃原有数据包

3、的同时,回应ICMPhostunreachable,通知发送计算机不能通过它与目的计算机进行通信,这样就免得发起连接请求的计算机一直发送连接请求,造成不必要的数据流量。使用count指令能对该类数据包进行简单记数,这个功能主要用于对网络使用进行记帐。log指令用于将连接发送到系统的日志记录中。  其中count和log指令与其他指令不同,其他指令都是对数据包进行处理的指令,因此每个数据包只要匹配这个指令,就立即将数据包或转发,或丢弃,不再进行其他处理,而count和log只是记录指令,只是将记录下这个数据包,而

4、数据包本身还将继续受到其他过滤规则的处理。  过滤规则的第二部分是规定数据包的协议类型,指定规则是用于处理哪种数据包的,FreeBSD可以处理TCP,UCP,ICMP类型的数据123456下一页——感谢阅读这篇文章,..,,以及在/etc/protocols文件中定义的其他数据包的类型,上例中使用all,匹配所有类型的数据包。对于TCP或UDP,还可以在后面定义地址时指定应用的端口号(可以使用数字或/etc/services中定义端口名字),进一步增加过滤能力。  过滤规则的第三部分是规定过滤规则适用的地址范围

5、,这可以通过指定源和目的计算机的IP地址范围或数据包通过的网络界面来进行指定。用from规定数据包的地址,可以是主机地址或网络;用to规定数据包的目的地址,可以是主机地址或网络;用in或out规定数据包是流向本机,还是向外发送的;用via、recv、xmit规定数据包经过、接收、发送的网络介面,rece可以是接收本地发送的数据包,而xmit一定是向外发送,因此应该和out选项合用;  例如:屏蔽任何来自192.168.1.5的数据的指令为:#ipf192.168.1.5  而许可来自192.168.1.0网络上

6、的远程登录的指令为:#ipf192.168.1.0/24tel  应用过滤规则的顺序是按照过滤规则的序号,从小到大进行匹配,一旦一个数据包匹配一个过滤规则,就立即按照该规则转发或丢弃,不再需要继续考虑以下的规则(count和log规则除外)。因此在前面的例子中,192.168.1.5就不能使用tel连接,因为首先碰到的是不允许的规则,如果两个命令次序相反,则它就能够进行tel连接。  最后一条过滤规则,第65535条规则,缺省被设为denyallfromanytoany时,为不允许对任何连接,此时在没有定义其他

7、规则之前,不允许所有的网络连接。但是编译内核时使用IPFIREple -e-e(fullpathrequired)##For``client''and``simple''theentriesbeloized#appropriately.  这里解释了rc.conf中对firedadd100passallfromanytoanyvialo0$fdadd200denyallfromanyto127.0.0.0/8  这两个规则用于设置本地网络lo0的数据包能进行传输,但屏蔽所有从其他

8、网络界面通向本地网络lo0的通信。这是最基本的设置,防止在路由或IP地址设置不正确的情况下,外部计算机访问127.0本地网络。#Prototypesetups.if[${firedadd65000passallfromanytoany  设置open为防火墙的类型时,即使没有设置IPFIREWALL_DEFAULT_TO_ACCEPT内核选项,也允许对数据包进行转发,因为这里设置的规则

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。