亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

Chinaunix

標題: FB下ipf -- ipfw 經(jīng)驗分享 [打印本頁]

作者: pizigou 時間: 2006-10-24 15:32
標題: FB下ipf -- ipfw 經(jīng)驗分享
一、防火墻的選擇。
FB下有三款在HANDBOOK中說明的防火墻（ipf、ipfw、pf）。其中前兩個在FB下使用廣泛，而PF在
OPBSD下使用較多。防火墻的選擇可以根據(jù)個人喜好選擇，如果場合復(fù)雜推薦將ipf和ipfw同時起用
，優(yōu)勢互補。
二、ipf和ipfw的how-to。
原則是：多看HOW-TO,多多實踐。相信FB下的兩款防火墻一定能夠勝任你手里大大部分工作。
http://www.kgb.ro/Ipfw-HOWTO （ipfw的）
http://www.obfuscation.org/ipf/ipf-howto.txt （ipf的）
三、一些小經(jīng)驗
1、FB做WEB服務(wù)器可以要保持keepstat。同時可以使用ipfw limit 參數(shù)實現(xiàn)控制單ip并發(fā)（感謝
cu朋友，原貼：http://72891.cn/viewthr ... &extra=page%3D1）。
2、FB做ftp服務(wù)器如果沒有采用pasv模式記得開起20（為data數(shù)據(jù)端口）。
3、ipfw和ipf都可以動態(tài)加載，方法為（kldload ipfw/ipf）。注意默認為deny all 所以加載同
時添加一條允許規(guī)則，否則遠端容易將自己斷開。
4、用ipf+ipnat很好實現(xiàn)透明代理，也很適合做必要的控制。
5、用ipfw+dummynet可以很好實現(xiàn)流量控制。
6、復(fù)雜情況可以同時起用ipf和ipfw,但是同時只能一個內(nèi)核一個動態(tài)加載。
四、小結(jié)
希望能夠給剛接觸FB下firewall的朋友一些幫助。

作者: colddawn 時間: 2006-10-24 15:52
不錯，補充幾點：
1，是否使用keep-state看具體情況，如果是重負載服務(wù)器可能要考慮keep-state的查表效率問題。limit同理，因為limit是基于state之上的限制。
2，如果是ftp被動模式還要考慮隨機高端口問題，不管主動還是被動，20建議都開放，因為還牽扯一個FXP。
3，F(xiàn)B4以及以前的版本無法kld運行。另外kld方式加載無法使用流控。
6，不一定，試演過2者同時kld，沒問題，同時編入內(nèi)核倒是沒有搞過。

作者: pizigou 時間: 2006-10-24 20:24
呵呵好希望 bsder 們都來補充。。。

作者: redfox1981 時間: 2006-10-24 21:38
不錯，正在想這個問題到底用什么防火墻好呢，謝謝LZ

作者: dayanjing48 時間: 2006-10-24 21:42
ipfw+ipa 可以實現(xiàn)流量定量控制! ^_^

作者: 2004xxx 時間: 2006-10-24 23:12
提示: 作者被禁止或刪除內(nèi)容自動屏蔽

作者: pizigou 時間: 2006-10-25 11:05
呵呵 FB6.1沒有試過有學(xué)習(xí)了~~

作者: dayanjing48 時間: 2006-10-25 22:13
同時編譯進內(nèi)核?用2防火墻?

作者: antijp 時間: 2006-10-26 12:07

原帖由 2004xxx 于 2006-10-24 23:12 發(fā)表
在FreeBSD release6.1下試過將ipfw,ipf同時編譯進內(nèi)核，使用木有問題。

同。昨天實驗過。

按道理大家都用pfil框架，沒道理不行。

作者: wincat 時間: 2006-10-26 13:20
在FB下用pf效果也不錯呀

作者: wangpeng168 時間: 2008-08-21 14:58
我在4.10下試驗過ipf+ipfw+dummynet 同時編譯進內(nèi)核啟動沒問題，就是具體的測試還沒做，但用kldload加載沒試過，問問LZ，具體怎么模塊加載方法？

作者: wangpeng168 時間: 2008-08-21 15:00
我在4.10下試驗過ipf+ipfw+dummynet 同時編譯進內(nèi)核啟動沒問題，就是具體的測試還沒做，但用kldload加載沒試過，問問LZ，具體怎么模塊加載方法？

作者: lsstarboy 時間: 2008-08-21 15:18

1、FB做WEB服務(wù)器可以要保持keepstat。同時可以使用ipfw limit 參數(shù)實現(xiàn)控制單ip并發(fā)

對于負載大一些的服務(wù)器，最好還是不要用了。狀態(tài)表很快就會滿。

另外，你給的鏈接僅僅討論了limit而已。雖然limit也屬于動態(tài)規(guī)則，但是和keep-state畢竟是兩碼事。

http://www.kgb.ro/Ipfw-HOWTO （ipfw的）

這個鏈接不錯，值得一看。

歡迎光臨 Chinaunix (http://72891.cn/)