IPFW中文手册
ipfw 是 FreeBSD 内建的防火墙指令,我们可以用它来管理进出的网络交通。如果防火墙服务器是扮演着路由器 (gateway 例如上一篇中的 NAT 服务器) 的角色,则进出的封包会被 ipfw 处理二次,而如果防火墙扮演的是桥接器 (bridge) 的角色,则封包只会被处理一次。这个观念关系着我们以下所要介绍的语法,有的语法并不适用于桥接器。 另外,我们在设定防火墙时有二种模式,一种模式是预设拒绝所有联机,再一条一条加入允许的联机;另一种是预设接受所有联机,加入几条拒绝的规则。如果是非常强调安全性,应该是使用预设拒绝所有联机,再一条一条加入我们允许的规则。 我们会将 firewall 的设定写在 /etc/rc.firewall 中,每一条设定都是以先入为主 (first match wins) 的方式来呈现,也就是先符合的规则 (rules) 为优先。所有进出的封包都会被这些规则过滤,因此我们会尽量减少规则的数量,以加速处理的速度。 在 kernel 中,关于防火墙的设定有下列几条: # 防火墙 options IPFIREWALL # 支援 NAT options IPDIVERT # 下面这一行是预设允许所有封包通过,如果没有这一行, # 就必须在 /etc/rc.firewall 中设定封包的规则。 # 这条规则内定编号是 65535,也就是所有规则的最后一条 # 如果没有加这一条规则,内定就是拒绝所有封包, # 只允许规则中允许的封包通过。 options IPFIREWALL_DEFAULT_TO_ACCEPT # 这一行是让你可以在 ipfw 中设定要记录哪些封包, # 如果没有这一行,就算设定了要留下记录也不会有作用。 options IPFIREWALL_VERBOSE # 这一行是限制每一条规则所要记录的封包数量, # 因为同样的规则可能有许多记录,加上这一条可以使 # 同样的记录重复数减少,以避免记录文件爆增。 options IPFIREWALL_VERBOSE_LIMIT=10 # 下面这一行是用来支援封包转向, # 当你要使用 fwd 动作时必须要有这一项设定。 options IPFIREWALL_FORWARD # 如果要使用 pipe 来限制频宽,必须加入下列选项以支持 dummynet。 options DUMMYNET
