扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
#设定防火墙外部网卡接口的永久IP地址
ISP_IP=a.b.c.d
#接受所有在本地环路接口上的进出包 # setup Loopback interface /sbin/ipfwadm -I -a accept -W lo /sbin/ipfwadm -O -a accept -W lo
#允许内部网段所有用户随意进出防火墙的内部网卡接口 # allow all internal traffic /sbin/ipfwadm -I -a accept -W eth1 -S 192.168.11.0/24 /sbin/ipfwadm -O -a accept -W eth1 -D 192.168.11.0/24
# 阻止任何的IP包欺骗,看下面的各个规则 # disabling IP spoof
#阻止任何C类保留地址从防火墙外部接口进出 /sbin/ipfwadm -I -a deny -W eth0 -S 192.168.0.0/16 /sbin/ipfwadm -O -a deny -W eth0 -D 192.168.0.0/16
#阻止任何进出防火墙外部接口的包宣称是来自它本身 /sbin/ipfwadm -I -a deny -W eth0 -S $ISP_IP/32 /sbin/ipfwadm -O -a deny -W eth0 -D $ISP_IP/32
#阻止任何外部世界直接与防火墙内部网段直接通讯 /sbin/ipfwadm -I -a deny -W eth0 -D 192.168.0.0/16 /sbin/ipfwadm -O -a deny -W eth0 -S 192.168.0.0/16
#阻止任何包宣称是或来自本地环路接口 #refuse packets claiming to be to or from the loopback interface /sbin/ipfwadm -I -a deny -W eth0 -S 127.0.0.0/8 /sbin/ipfwadm -I -a deny -W eth0 -D 127.0.0.0/8 /sbin/ipfwadm -O -a deny -W eth0 -S 127.0.0.0/8 /sbin/ipfwadm -O -a deny -W eth0 -D 127.0.0.0/8
#禁止任何来自外部的广播包,不论是去往哪里 #refuse broadcast address source packets /sbin/ipfwadm -I -a deny -W eth0 -S 255.255.255.255 /sbin/ipfwadm -I -a deny -W eth0 -D 0.0.0.0
#refuse multicast/anycast/broadcast address /sbin/ipfwadm -I -a deny -W eth0 -S 240.0.0.0/3
#转发在内部网段内的经过防火墙内部接口的包 #forwarding all internal traffic /sbin/ipfwadm -F -a accept -W eth1 -S 192.168.11.0/24 -D 192.168.11.0/24
#设置IP伪装规则,允许部分机器经过防火墙时进行伪装 #setup IP Masquerading rules /sbin/ipfwadm -F -a accept -m -W eth0 -S 192.168.11.11/32 /sbin/ipfwadm -F -a accept -m -W eth0 -S 192.168.11.12/32 /sbin/ipfwadm -F -a accept -m -W eth0 -S 192.168.11.13/32
#阻止以ICMP协议从外部世界进行攻击 #prevent denial of service attacks based on ICMP bombs /sbin/ipfwadm -I -a accept -P icmp -W eth0 -S any/0 0 3 4 11 12 -D $ISP_IP/32 /sbin/ipfwadm -O -a accept -P icmp -W eth0 -S $ISP_IP/32 3 4 8 12 -D 0.0.0.0/0
#允许内部用户通过防火墙访问外部HTTP服务器 #http client (80) /sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 80 -D $ISP_IP/32 1024:6553 5
#允许内部用户通过防火墙防问外部HTTPS服务器 #https client (443) /sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 443 -D $ISP_IP/32 1024:655 35
#允许内部用户通过防火墙从外部POP3服务器收信 #pop3 client (110) /sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 110 -D $ISP_IP/32 1024:655 35
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。