Firewall

允許訪問 ipfw/FreeBSD 中的 UDP 範圍埠

  • July 6, 2020

我準備了以下配置:

# cat /etc/firewall.conf 
add 1000 count udp from any to me 10000
add 1001 count udp from any to me 10001
add 1002 count udp from any to me 10002
add 65000 allow ip from any to any

這是來自的輸出ipfw

# ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any icmp6types 1
01000 allow ipv6-icmp from any to any icmp6types 2,135,136
01000 count udp from any to me 10000
01001 count udp from any to me 10001
01002 count udp from any to me 10002
65000 allow ip from any to any
65535 deny ip from any to any

我有以下兩個問題:

  1. 允許來自to的UDP流量的命令是什麼?下面的規則是正確的嗎?IP 203.0.113.1``UDP port range 20500-20750

add 2000 allow udp from 203.0.113.1 to me 20500-20750 2. 有了上面的配置,是不是保證所有的流量都是允許的?

add 2000 allow udp from 203.0.113.1 to me 20500-20750

對,這會奏效。

有了上面的配置,是不是保證所有的流量都是允許的?

這取決於您對“所有流量”的含義。規則65000 allow ip from any to any有效地允許所有流量,因此除了規則 200-500 之外,在同一時刻保持其他人是沒有意義的。

然而,如果沒有規則 65000,就會缺少許多關鍵規則:對伺服器本身的 ssh 訪問,以及最有趣的部分,來自該伺服器的任何傳出流量。

所以我建議閱讀大量的防火牆設置手冊。

另一件有用的事情是ipfw在規則端使用日誌記錄。

查看很棒的 FreeBSD 手冊:https ://www.freebsd.org/doc/handbook/firewalls-ipfw.html

引用自:https://serverfault.com/questions/1020179