FB下ipf -- ipfw 經(jīng)驗分享

pizigou

一、防火墻的選擇。
FB下有三款在HANDBOOK中說明的防火墻（ipf、ipfw、pf）。其中前兩個在FB下使用廣泛，而PF在
OPBSD下使用較多。防火墻的選擇可以根據(jù)個人喜好選擇，如果場合復(fù)雜推薦將ipf和ipfw同時起用
，優(yōu)勢互補。
二、ipf和ipfw的how-to。
原則是：多看HOW-TO,多多實踐。相信FB下的兩款防火墻一定能夠勝任你手里大大部分工作。
http://www.kgb.ro/Ipfw-HOWTO （ipfw的）
http://www.obfuscation.org/ipf/ipf-howto.txt （ipf的）
三、一些小經(jīng)驗
1、FB做WEB服務(wù)器可以要保持keepstat。同時可以使用ipfw limit 參數(shù)實現(xiàn)控制單ip并發(fā)（感謝
cu朋友，原貼：http://72891.cn/viewthr ... &extra=page%3D1）。
2、FB做ftp服務(wù)器如果沒有采用pasv模式記得開起20（為data數(shù)據(jù)端口）。
3、ipfw和ipf都可以動態(tài)加載，方法為（kldload ipfw/ipf）。注意默認為deny all 所以加載同
時添加一條允許規(guī)則，否則遠端容易將自己斷開。
4、用ipf+ipnat很好實現(xiàn)透明代理，也很適合做必要的控制。
5、用ipfw+dummynet可以很好實現(xiàn)流量控制。
6、復(fù)雜情況可以同時起用ipf和ipfw,但是同時只能一個內(nèi)核一個動態(tài)加載。
四、小結(jié)
希望能夠給剛接觸FB下firewall的朋友一些幫助。

colddawn

不錯，補充幾點：
1，是否使用keep-state看具體情況，如果是重負載服務(wù)器可能要考慮keep-state的查表效率問題。limit同理，因為limit是基于state之上的限制。
2，如果是ftp被動模式還要考慮隨機高端口問題，不管主動還是被動，20建議都開放，因為還牽扯一個FXP。
3，F(xiàn)B4以及以前的版本無法kld運行。另外kld方式加載無法使用流控。
6，不一定，試演過2者同時kld，沒問題，同時編入內(nèi)核倒是沒有搞過。

pizigou

呵呵 好 希望 bsder 們都來補充。。。

redfox1981

不錯，正在想這個問題到底用什么防火墻好呢，謝謝LZ

dayanjing48

ipfw+ipa 可以實現(xiàn)流量定量控制!  ^_^

pizigou

呵呵 FB6.1沒有試過 有學(xué)習(xí)了~~

dayanjing48

同時編譯進內(nèi)核?用2防火墻?

antijp

原帖由 2004xxx 于 2006-10-24 23:12 發(fā)表
在FreeBSD release6.1下試過將ipfw,ipf同時編譯進內(nèi)核，使用木有問題。

同。昨天實驗過。

按道理大家都用pfil框架，沒道理不行。

wincat

在FB下用pf效果也不錯呀