目录

简介 

使能 IPFW

编辑防火墙脚本文件,增加防火墙规则集

管理防火墙服务

参考

简介 

在FreeBSD里面, 有三个防火墙组件可以选择:PF、IPF、IPFW。今天我们介绍的是IPFW。

IPFILTER,也称为 IPF,是一种跨平台的开放源代码防火墙,已移植到多个操作系统,包括FreeBSD,NetBSD,OpenBSD和Solaris ™。

IPFILTER是一种内核端防火墙和NAT机制,它可以被用户层程序控制和监视。使用ipf可以设置或删除防火墙规则,使用ipnat可以设置或删除NAT规则,使用ipfstat可以打印IPFILTER内核部分的运行时统计信息,使用ipmon可以将IPFILTER操作记录到系统日志文件中。

IPFW为FreeBSD编写的有状态防火墙,它同时支持IPv4和 IPv6。它由几个组件组成:内核防火墙过滤器规则处理器及其集成的数据包记帐工具,日志记录工具, NAT,虚拟网络流量整形器,转发工具,桥接工具和ipstealth工具。

PF是从OpenBSD移至过来的:从FreeBSD 5.3开始,OpenBSD的PF防火墙的移植版本已经作为FreeBSD基本系统的一个集成部分被包括进来。PF是一个完整的、功能齐全的防火墙,可选地支持提供服务质量(QoS)的ALTQ(备用队列)。

使能 IPFW

添加firewall_enable="YES" 到 /etc/rc.conf:

注:直接编辑文件添加,或者执行命令sysrc firewall_enable="YES"

 使用firewall_script 而不是firewall_type,同样添加到 /etc/rc.conf:

sysrc firewall_script="/etc/ipfw.rules"

编辑防火墙脚本文件,增加防火墙规则集

cat /etc/ipfw.rules 
#!/bin/sh
# Flush out the list before we begin.
ipfw -q -f flush

# Set rules command prefix
cmd="ipfw -q add"
pif="vmx0"     # interface name of NIC attached to Internet

# 设置放开内部网络vmx1和回环网卡
$cmd 00005 allow all from any to any via vmx1
$cmd 00010 allow all from any to any via lo0

# 设置状态检查,如果它匹配动态规则表中的现有条目,允许数据包通过
$cmd 00101 check-state

# Allow outbound ping
$cmd 00250 allow icmp from any to any out via $pif keep-state

# Allow outbound SSH
$cmd 00280 allow tcp from any to any 23,22 out via $pif setup keep-state

# Deny all inbound traffic from non-routable reserved address spaces
#$cmd 00300 deny all from 192.168.0.0/16 to any in via $pif     #RFC 1918 private IP
#$cmd 00301 deny all from 172.16.0.0/12 to any in via $pif      #RFC 1918 private IP
$cmd 00302 deny all from 10.0.0.0/8 to any in via $pif         #RFC 1918 private IP
$cmd 00303 deny all from 127.0.0.0/8 to any in via $pif        #loopback
$cmd 00304 deny all from 0.0.0.0/8 to any in via $pif          #loopback
$cmd 00305 deny all from 169.254.0.0/16 to any in via $pif     #DHCP auto-config
$cmd 00306 deny all from 192.0.2.0/24 to any in via $pif       #reserved for docs
$cmd 00307 deny all from 204.152.64.0/23 to any in via $pif    #Sun cluster interconnect
$cmd 00308 deny all from 224.0.0.0/3 to any in via $pif        #Class D & E multicast

# Deny public pings
$cmd 00310 deny icmp from any to any in via $pif

# Deny ident
$cmd 00315 deny tcp from any to any 113 in via $pif

# Deny all Netbios services.
$cmd 00320 deny tcp from any to any 137 in via $pif
$cmd 00321 deny tcp from any to any 138 in via $pif
$cmd 00322 deny tcp from any to any 139 in via $pif
$cmd 00323 deny tcp from any to any 81 in via $pif

# Deny fragments
$cmd 00330 deny all from any to any frag in via $pif

# Deny ACK packets that did not match the dynamic rule table
$cmd 00332 deny tcp from any to any established in via $pif

# Allow inbound SSH connections
$cmd 00410 allow tcp from any to me 23,22 in via $pif setup limit src-addr 2

管理防火墙服务

## 开启、查看、停止、重启防火墙

service ipfw start|status|stop|restart

## 使防火墙规则生效

sh /etc/ipfw.rules

 参考

https://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html

Logo
腾讯云开发者社区

腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。

更多推荐

Elasticsearch复杂数据类型终极指南:从入门到精通

Elasticsearch作为功能强大的搜索引擎,支持多种复杂数据类型,让开发者能够灵活处理各种结构化和非结构化数据。本文将带你全面了解Elasticsearch中的复杂数据类型,从基础概念到实际应用,助你轻松掌握数据建模的核心技巧。## 内部对象:构建层级化数据结构在Elasticsearch中,对象类型(Object)是最基础的复杂数据类型之一,用于表示具有嵌套关系的数据。例如,我们可

avatar 腾讯云开发者社区

终极指南:Flink SQL连接器版本管理从混乱到有序的升级之路

Apache Flink作为流处理领域的佼佼者,其SQL连接器的版本管理一直是开发者面临的核心挑战。本文将系统讲解Flink SQL连接器版本管理的最佳实践,帮助你轻松应对版本兼容性问题,实现从混乱到有序的升级之旅。## 连接器版本管理的常见痛点 😫在Flink应用开发中,连接器版本管理常常让开发者头疼不已。不同版本的连接器可能导致各种兼容性问题,例如API变更、功能差异甚至运行时错误。

avatar 腾讯云开发者社区

如何快速搭建Neon无服务器PostgreSQL:面向初学者的完整指南

Neon是一款革命性的无服务器PostgreSQL解决方案,它通过分离存储和计算层,实现了自动扩缩容、类代码式数据库分支以及零级扩展能力。本指南将帮助你从零开始搭建Neon开发环境,体验这款创新数据库的强大功能。## 准备工作:环境要求与依赖项在开始搭建Neon环境前,请确保你的系统满足以下要求:- Linux操作系统(推荐Ubuntu 20.04+或Debian 11+)- Git

avatar 腾讯云开发者社区