问题[ipfw](server)

我准备了以下配置：

# cat /etc/firewall.conf 
add 1000 count udp from any to me 10000
add 1001 count udp from any to me 10001
add 1002 count udp from any to me 10002
add 65000 allow ip from any to any

这是来自的输出ipfw：

# ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any icmp6types 1
01000 allow ipv6-icmp from any to any icmp6types 2,135,136
01000 count udp from any to me 10000
01001 count udp from any to me 10001
01002 count udp from any to me 10002
65000 allow ip from any to any
65535 deny ip from any to any

我有以下两个问题：

1. 允许来自to的UDP流量的命令是什么？下面的规则是正确的吗？IP 203.0.113.1UDP port range 20500-20750

   add 2000 allow udp from 203.0.113.1 to me 20500-20750

2. 有了上面的配置，是不是保证所有的流量都是允许的？

我在使用诸如fsockopen,之类的函数通过我的 PHP 脚本加载 https 网站（google、facebook、amazon）时遇到问题file_get_contents。操作正在超时。所以我开始查看我的系统设置并注意到当 ipfw 服务停止时，它就像一个魅力。

所以这是一个与我的 IPFW 配置相关的问题。我已启用日志记录，并且在尝试执行 PHP 脚本时会在日志文件中弹出：

ipfw: 1000 Deny ICMPv6:1.3 [2001:...:...:...::] [2001:...:2:...::] in via em0
ipfw: 1000 Deny ICMPv6:131.0 [...::...:...:...:...] [...::1:...:0] in via em0
ipfw: 1000 Deny ICMPv6:136.0 [2001:...:...:...:ff:ff:ff:ff] [...:...:2:...::] in via em0

不过，这看起来像是 IPv6 的问题，我确实allow all在我的 ipfw 文件中保留了状态类型的连接。

这是我目前使用的配置：

#!/usr/local/bin/bash

IPF="/sbin/ipfw -q add"

/sbin/ipfw -q -f flush

$IPF 10 allow all from any to any via lo0
$IPF 11 deny all from any to 127.0.0.0/8
$IPF 12 deny all from 127.0.0.0/8 to any
$IPF 13 deny tcp from any to any frag

$IPF 250 check-state
$IPF 260 allow tcp from any to any established
$IPF 270 allow all from any to any out keep-state
$IPF 280 allow icmp from any to any

$IPF 290 allow log tcp from 127.0.0.1/32 to 127.0.0.1/32 3306 in

$IPF 350 allow udp from any to any 53 in
$IPF 351 allow tcp from any to any 53 out
$IPF 352 allow tcp from any to any 80 in
$IPF 353 allow tcp from any to any 80 out
$IPF 361 allow tcp from any to any 443 in
$IPF 362 allow tcp from any to any 443 out
$IPF 363 allow tcp from any to any 22 in
$IPF 364 allow tcp from any to any 22 out

$IPF 1000 deny log all from any to any

另外：我在升级到 FreeBSD 10.3（9.2 更早版本）后开始遇到这个问题。

问题是什么？

所以我有一个使用 NATD 和 IPFW 的 BSD 防火墙。该防火墙分配了 5 个静态 IP。

使用 NATD 我可以轻松地将整个外部 ip 转发到内部 ip。但是当内部服务器发送它的响应时，我如何让它从正确的 IP 中出来？NATD 只使用防火墙默认网关。

NATD 只会监听一个接口，所以它不能双向工作。它只会将流量从外部 IP 转发到内部 IP。我需要确保来自特定内部 IP 地址的所有传出流量都来自特定的外部 IP 地址。

我正在设置 ipfw，并向我提出了以下建议：如果我制定规则仅丢弃 TCP 的 SYN 数据包，则无法建立连接，防火墙甚至不必查看其他数据包。

这对我来说似乎违反直觉。我认为如果我阻止指定端口上的所有通信（涉及较少的数据包检查），防火墙会表现得更好，并且由于任何一种方式都无法建立连接，因此传入数据包的数量将相同。

真的有区别吗？

编辑：具体问题，从某个主机阻止 SSH：

ipfw add deny tcp from somehost to any port 22 via em0 tcpflags syn

对比

ipfw add deny tcp from somehost to any port 22 via em0

我在http://macintosh.local - 127.0.0.1上有我的 localhost webiste在 VMWare Fusion 的同一地址上测试我的网站也用于 IE 我尝试了一些来自 hanynet.com/applications/ 的应用程序，例如 WaterRoof。从来没有设法让它工作。

我意识到我可以在终端中使用几个命令行来做到这一点。任何人都知道怎么做？

我想将请求转发192.168.99.100:80到127.0.0.1:8000。这就是我在linux中使用的方法iptables：

iptables -t nat -A OUTPUT -p tcp --dport 80 -d 192.168.99.100 -j DNAT --to-destination 127.0.0.1:8000

我如何在 MacOS X 中做同样的事情？我尝试了一些ipfw命令组合，但没有取得多大成功：

ipfw add fwd 127.0.0.1,8000 tcp from any to 192.168.99.100 80

（对我来说，成功是将浏览器指向http://192.168.99.100并从我运行的开发服务器上获得响应localhost:8000）

有时我需要在 OS X 机器 (10.5) 上配置防火墙，我一直在尝试找出最好的方法（阅读：简单而又不牺牲太多控制）。

到目前为止，我的选择似乎是：

• Apple 的内置实用程序（系统偏好设置、安全性、防火墙）。它的“简单”下来了，但是（除非我缺少某些东西）我想要更多的控制权。
• 学习ipfw。它会给我所有我想要的控制，但它似乎有一个陡峭的学习曲线，我担心会不小心弄错。
• “一些”图形实用程序。到目前为止，我发现的只是Firewall Builder，它不是免费的，而且看起来相当复杂（但复杂性可能是值得的）......但可能还有更多，我还没有找到。

那么，我最好的选择是什么？