我准备了以下配置:
# cat /etc/firewall.conf
add 1000 count udp from any to me 10000
add 1001 count udp from any to me 10001
add 1002 count udp from any to me 10002
add 65000 allow ip from any to any
这是来自的输出ipfw
:
# ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any icmp6types 1
01000 allow ipv6-icmp from any to any icmp6types 2,135,136
01000 count udp from any to me 10000
01001 count udp from any to me 10001
01002 count udp from any to me 10002
65000 allow ip from any to any
65535 deny ip from any to any
我有以下两个问题:
允许来自to的
UDP
流量的命令是什么?下面的规则是正确的吗?IP 203.0.113.1
UDP port range 20500-20750
add 2000 allow udp from 203.0.113.1 to me 20500-20750
有了上面的配置,是不是保证所有的流量都是允许的?
对,这会奏效。
这取决于您对“所有流量”的含义。规则
65000 allow ip from any to any
有效地允许所有流量,因此除了规则 200-500 之外,在同一时刻保持其他人是没有意义的。然而,如果没有规则 65000,就会缺少许多关键规则:对服务器本身的 ssh 访问,以及最有趣的部分,来自该服务器的任何传出流量。
所以我建议阅读大量的防火墙设置手册。
另一件有用的事情是
ipfw
在规则端使用日志记录。查看很棒的 FreeBSD 手册:https ://www.freebsd.org/doc/handbook/firewalls-ipfw.html