FreeBSD设置和使用ipfilter

来源：作者：出处：巧巧读书 2007-10-09 进入讨论组

　　rdr fxp0 0.0.0.0/0 port 80 -> 127.0.0.1 port 80

　　虽然不是所有的应用代理服务都能使用透明代理的方法来减轻客户设置的负担，但绝大多数代理完全可以使用这种方法，使得客户不需要修改软件设置，就能利用代理服务器，而代理服务器具备大量的缓冲区，能够节约内部网络的Internet 访问流量并加速Internet访问速度。

　　因此，一个简单的不支持透明代理服务器的设置文件ipnat.conf例子为：

map fxp1 192.168.3.0/24 -> 202.102.245.0/26 portmap tcp/udp 10000:65000
map fxp1 192.168.3.0/24 -> 202.102.245.0/26
rdr fxp1 202.102.245.60 port ftp -> 192.168.3.2 port ftp

　　在这样的设置下，tcp和udp在地址资源消耗完毕之后将进行端口转换，而其他协议，如icmp，将直接进行地址转换而不必进行端口转换。此后就可以将这个转换规则加入系统中，需要执行ipnat命令：

# ipnat -C
# ipnat -f /etc/ipnat.conf

　　当前使用-C参数用于清除现有的转换规则，-f用于从配置文件中读取转换规则。设置了转换规则之后，就可以使用-l参数查看当前设置的转换规则和已经激活的转换关系。

# ipnat -l
List of active MAP/Redirect filters:
map fxp1 192.168.3.0/24　-> 202.102.245.0/26　portmap tcp/udp 10000:65000
map fxp1 192.168.3.0/24　-> 202.102.245.0/26
rdr fxp1 202.102.245.60/32 port 21 -> 192.168.3.2 port 21 tcp
List of active sessions:
RDR 192.168.3.2　　 21　　<- -> 202.102.245.60　21　　[202.102.245.25 35635] 863
992 0 407
MAP 192.168.3.2　　 1024　<- -> 202.102.245.60　10000 [202.102.245.25 9999] 8639
93 0 1f09

设置包过滤

　　ipfilter也能很好的完成包过滤任务，它的过滤规则相当复杂。下面为一些简单的过滤设置例子，一般这些过滤规则可以保存在/etc/ipf.conf文件中。

block in log quick all with short
block in log quick all with ipopts

　　block参数用于屏蔽符合过滤条件的数据包，in代表数据包的方向，标识从网络上或其他网络界面上发送到某个网络界面上的数据包，log用于指出该规则过滤的数据包应被记录下来，quick指示ipfilter进行快速过滤处理，符合这个规则的数据包将立即丢弃，all with short标识不完整的IP数据包，数据包的长度太小就没有包含合法的源地址或目标地址，从而无法被ipfilter识别，all with ipopts标志本身带有路由数据的IP数据包，这些IP数据包由于包含自己的路由信息，因此可能会带来网络安全问题。

文章地址： http://www.qqread.com/freebsd/s348207.html