|
发信人: zenz.hu(真) 整理人: zhcharles(2002-01-30 15:35:07), 站内信件 |
| 虽然IPFilter更改了License,不过它确实是一个很好的基于包过滤的防火墙工具。
在这里简略的说说在OpenBSD上面利用IPFilter建立简单的防火墙。 1、更改/etc/rc.conf文件,找到ipfilter=NO一行,吧NO改为YES 2、生成/etc/ipf.rules文件,内容如下。 #禁止带有路由标记的IP数据包通过 block in quick all with ipopts #禁止所有不完整的IP数据包 block in quick all with short #禁止所有紊乱的数据包 block in quick all with frag #禁止所有的只有SYN标志而没有实际内容的TCP包(防止SYN攻击) block in quick on tun0 proto tcp all flags S/SA #禁止FUP标记的TCP包(防止flood攻击) block in quick on tun0 proto tcp all flags FUP #禁止访问下列的端口 block in quick on tun0 proto tcp from any to any port = 13 block in quick on tun0 proto tcp from any to any port = 22 block in quick on tun0 proto tcp from any to any port = 23 block in quick on tun0 proto tcp from any to any port = 37 block in quick on tun0 proto tcp from any to any port = 53 block in quick on tun0 proto tcp from any to any port = 111 block in quick on tun0 proto tcp from any to any port = 113 #除了上述限制的包,其他通行。 pass in quick from any to any pass out quick from any to any 3、重新启动OpenBSD,系统会自动启用IPFilter功能的。 请注意,这只是相当简单的防火墙。IPFilter对于各种包的过滤功能可谓博大精深,大家有兴趣的,可以参考这里:IPF Howto ---- |
|
[关闭][返回] |