|
FreeBSD handbook中文版 10 安全(22) 一个正确的主机名可以被指定用来代替IP 地址。mask-bits是一个十进制的数,可以
用来表示地址将被设置成多少位。例如,指定192.216.222.1/24 将创建一个允许与在C 类
子网中所有的地址相匹配的地址范围。(在这个例子中是,192.216.222)。mask-pattern
是一个将与给定的地址想逻辑联系的IP 地址。任何关键字都可以被用来指定“任何IP 地址”。
指定将被阻止的端口号码:
port [, port [, port [...]]]
指定一个简单的端口或端口列表,
port- port
指定一个端口范围。你也可以结合一个简单的列表范围,但范围必须先被指定。
可用的选项是:
frag
匹配数据包中第一个片段。
in
匹配进入的数据包
out
匹配输出的数据包
ipoptions spec
匹配IP 头包含用逗号分割的用spec指定的选项列表。IP 选项的支持列表是:ssrr (严
格源代码路由), lsrr (宽松源代码路由), rr (记录数据包路由),和ts (时间标记)。
established
匹配已经建立TCP 连接的部分数据包。你可以通过在数据链中通过放置一个建立的规则
来调整防火墙的性能。
setup
匹配试图建立一个TCP 连接的数据包。
第36 页FreeBSD 使用手册
tcpflags flags
匹配包含flags标记的用逗号分割的TCP 头。支持的标记是fin, syn, rst, psh, ack,
和urg。
icmptypes types
匹配在types列表中出现的ICMP 类型。列表可以用一个以逗号隔开的联合或分离的排
列形式。通常使用的ICMP 类型是:0 echo reply (ping reply), 3 destination unreachable, 5 redirect,
8 echo request (ping request), 和11 time exceeded
10.7.4.2 列出IPFW 规则
这种形式的命令的语法是:
ipfw [-a] [-t] [-N] l
当使用这种命令时,有三种正确的标记:
-a
当列条目时,显示计数器的值。这个选项是唯一可以看到计数器值的方法。
-t
显示每个数据链记录的最后匹配次数。定时的列表与用ipfw 工具输入的语法是不兼容
的。
-N
试图分解给定的地址和服务名称。
10.7.4.3 提高IPFW 规则
语法是:
ipfw flush
这将把防火墙链中的所有记录都删除,除了内核中指定的可修复的默认策略(索引
65535)。当提高规则时可以使用警告,默认的阻止策略将迫使你的系统断开网络,知道允许
记录被添加到链中。
第37 页FreeBSD 使用手册
10.7.4.4 刷新IPFW 数据包记数器
刷新一个或多个数据包记数器的方法:
ipfw zero [ index]
当使用不带索引值选项时,所有的数据包计数器将被刷新。如果一个索引被启用,那刷
新操作将只影响一个指定的数据链记录。
10.7.5 使用ipfw 命令的例子
|
