用 IPFW 为 FreeBSD 操作系统建立防火墙

网络整理 - 08-08

Ipfirewall(即IPFW)是一个FreeBSD操作系统下的IP数据包过滤和通信记录工具。IPFW作为一个独立的运行时刻可装载模块,就包含在基本的FreeBSD安装包中。在rc.conf中含有语句“firewall_enable=YES”时,系统会动态地装载内核模块。

第一步:为IPFW而编译FreeBSD内核

这一步是可选的。如果你不想启用NAT功能,你就没有必要将IPFW编译到FreeBSD内核中。然而一些老的版本可能没有编译IPFW。下面我们介绍将IPFW编译进入内核中去的方法。

如果你得到如下的一个错误消息:“ipfw: getsockopt(IP_FW_GET): Protocol not available ”,即协议不可使用,那你就必须编译内核的源代码。

另一个可选项是打开默认的内核配置文件/usr/src/sys/i386/conf,并找到IPFIREWALL选项:

# grep IPFIREWALL /usr/src/sys/i386/conf

第二步:编译并安装带有IPFW的定制内核

首先是复制默认的内核文件:

# cd /usr/src/sys/i386/conf# cp GENERIC IPFWKERNEL

然后增加IPFW支持:

# vi IPFWKERNEL

添加下面的指令:

options IPFIREWALL # required for IPFWoptions IPFIREWALL_VERBOSE # optional; loggingoptions IPFIREWALL_VERBOSE_LIMIT=10 # optional; don't get too many log entriesoptions IPDIVERT # needed for natd


保存并关闭文件。编译内核,键入如下的命令:

# cd /usr/src# make buildkernel KERNCONF=IPFWKERNEL

安装新的内核:

# make installkernel KERNCONF=IPFWKERNEL

现在重新启动系统:

# reboot

第三步:启用IPFW

首先打开/etc/rc.conf文件:

# vi /etc/rc.conf

然后,添加如下的设置:

firewall_enable="YES"firewall_script="YES"firewall_script="/usr/local/etc/ipfw.rules"


保存并关闭文件。

第四步:编写防火墙规则脚本

你需要将防火墙规则放到一个被称为/usr/local/etc/ipfw.rule的脚本中:

# vi /usr/local/etc/ipfw.rule

添加如下的代码:

IPF="ipfw -q add"ipfw -q -f flush#loopback$IPF 10 allow all from any to any via lo0$IPF 20 deny all from any to 127.0.0.0/8$IPF 30 deny all from 127.0.0.0/8 to any$IPF 40 deny tcp from any to any frag# statefull$IPF 50 check-state$IPF 60 allow tcp from any to any established$IPF 70 allow all from any to any out keep-state$IPF 80 allow icmp from any to any# open port ftp (21,22), ssh (22), mail (25)# http (80), dns (53) etc$IPF 110 allow tcp from any to any 21 in$IPF 120 allow tcp from any to any 21 out$IPF 130 allow tcp from any to any 22 in$IPF 140 allow tcp from any to any 22 out$IPF 150 allow tcp from any to any 25 in$IPF 160 allow tcp from any to any 25 out$IPF 170 allow udp from any to any 53 in$IPF 175 allow tcp from any to any 53 in$IPF 180 allow udp from any to any 53 out$IPF 185 allow tcp from any to any 53 out$IPF 200 allow tcp from any to any 80 in$IPF 210 allow tcp from any to any 80 out# deny and log everything$IPF 500 deny log all from any to any


保存并关闭文件。

第五步:启动防火墙

你可以重新启动服务器,或者通过在命令行输入如下的命令,可以重新加载这些规则:

# sh /usr/local/etc/ipfw.rules

如果要依次列示所有的规则,需要键入下面的命令:

# ipfw list