Firewall
允許訪問 ipfw/FreeBSD 中的 UDP 範圍埠
我準備了以下配置:
# cat /etc/firewall.conf add 1000 count udp from any to me 10000 add 1001 count udp from any to me 10001 add 1002 count udp from any to me 10002 add 65000 allow ip from any to any這是來自的輸出
ipfw:# ipfw list 00100 allow ip from any to any via lo0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any 00400 deny ip from any to ::1 00500 deny ip from ::1 to any 00600 allow ipv6-icmp from :: to ff02::/16 00700 allow ipv6-icmp from fe80::/10 to fe80::/10 00800 allow ipv6-icmp from fe80::/10 to ff02::/16 00900 allow ipv6-icmp from any to any icmp6types 1 01000 allow ipv6-icmp from any to any icmp6types 2,135,136 01000 count udp from any to me 10000 01001 count udp from any to me 10001 01002 count udp from any to me 10002 65000 allow ip from any to any 65535 deny ip from any to any我有以下兩個問題:
- 允許來自to的
UDP流量的命令是什麼?下面的規則是正確的嗎?IP 203.0.113.1``UDP port range 20500-20750
add 2000 allow udp from 203.0.113.1 to me 20500-207502. 有了上面的配置,是不是保證所有的流量都是允許的?
add 2000 allow udp from 203.0.113.1 to me 20500-20750對,這會奏效。
有了上面的配置,是不是保證所有的流量都是允許的?
這取決於您對“所有流量”的含義。規則
65000 allow ip from any to any有效地允許所有流量,因此除了規則 200-500 之外,在同一時刻保持其他人是沒有意義的。然而,如果沒有規則 65000,就會缺少許多關鍵規則:對伺服器本身的 ssh 訪問,以及最有趣的部分,來自該伺服器的任何傳出流量。
所以我建議閱讀大量的防火牆設置手冊。
另一件有用的事情是
ipfw在規則端使用日誌記錄。查看很棒的 FreeBSD 手冊:https ://www.freebsd.org/doc/handbook/firewalls-ipfw.html