Fork me on GitHub

IPFW防火墙-FreeBSD

字数统计: 806字   |   阅读时长≈ 3分

IPFireWall(简称:IPFW),IPFW 是为 FreeBSD 编写的状态防火墙


数据包处理流程:

  • 首先:会将其与规则集中的第一个规则进行比较,并一次处理一个规则,按顺序从上到下移动。

  • 当数据包与规则的选择参数匹配时,将执行规则的操作,并终止对规则集的搜索以查找该数据包。这被称为“首次匹配成功”。

  • 如果数据包与任何规则都不匹配,则会被强制使用IPFW 默认规则(编号:65535)捕获,该规则会拒绝所有数据包并以静默方式丢弃它们。

  • 但是也有例外,如果数据包与包含 countskiptotee 关键字的规则匹配,则搜索将继续。


警告⚠️:以下规则,不适用于部分云服(即, 如果Freebsd系统中ifconfig看不到公网IP的网卡,请禁止🚫使用)

1. 自定义规则集文件

cat /etc/ipfw.rules

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
#!/bin/sh

#flush rules
ipfw -q -f flush

#Set ENV
CMD="ipfw add"
NicName="vmx0"
Tcp_Ports="80,443,3306,27017"

#Allow lo0
$CMD 00010 allow all from any to any via lo0
$CMD 00011 check-state

#--------------------------------------- Block IP ----------------------------------------------#
$CMD 00101 deny ip from xx.xx.xx.xx/32 to any in

#--------------------------------------------- In ------------------------------------------------#
#Allow SSH
$CMD 10001 allow tcp from any to me 22 in via $NicName setup limit src-addr 2
#Allow (From Outside ping me) icmp ping
$CMD 10002 allow icmp from any to any in via $NicName keep-state

#Allow  UDP-DNS-Port
$CMD 10003 allow tcp from any to any 53 in via $NicName keep-state
$CMD 10004 allow udp from any to any 53 in via $NicName keep-state

#Allow ISP's DHCP
$CMD 10005 allow udp from me 68 to any 67 out
$CMD 10006 allow udp from any 67 to me 68 in

#开放其他端口
$CMD 10007 allow tcp from any to me $Tcp_Ports in via $NicName setup limit src-addr 2

#--------------------------------------------- Out --------------------------------------------------#
$CMD 20000 allow all from any to any out  via $NicName keep-state

注意事项:

  • 规则第2列RULE_NUMBER取值范围: 1-65534,用于规则的处理顺序,多个规则如果编号相同则并行处理。
  • 防火墙默认规则:拒绝

2. 启用IPFW

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
#---------注:以下命令将会把参数写入/etc/rc.conf文件中(当然也可以手动粘贴到文件中)---------------#

#将系统配置为在引导时启用IPFW
sysrc firewall_enable="YES"

#IPFW防火墙类型:从外部文件加载规则
sysrc firewall_type="filename"

#加载自定义规则集文件
sysrc firewall_script="/etc/ipfw.rules"

#开启 syslogd 日志记录
sysrc firewall_logging="YES"

#通过专用接口ipfw0启用日志记录
sysrc firewall_logif="YES"

规则记录次数限制

1
2
#限制每次连接尝试记录规则的次数(需要重启系统生效)
echo "net.inet.ip.fw.verbose_limit=5" >> /etc/sysctl.conf

日志

1
2
3
4
5
6
#使用 tcpdump 查看正在记录的实时内容
tcpdump -t -n -i ipfw0

#查看IPFW文本日志
tail -100f /var/log/security
tail -100f /var/log/messages

启用IPFW

1
service ipfw start|stop|restart|status

3.IPFW常用命令

1
2
3
4
5
6
7
8
9
10
11
#列出所有正在运行的规则
$ ipfw list

#列出所有正在运行的规则(带有上次匹配规则的时间戳)
$ ipfw -t  list

#列出了匹配规则的记帐信息和数据包计数以及规则本身。第一列是规则编号,后跟匹配的数据包和字节数,后跟规则本身。
$ ipfw -a list

#同时列出静态规则和动态规则
$ ipfw -d list

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true


不论我写了什么...
其实都是错的......