FreeBSD handbook中文版 10 安全(10)

是一个将与给定的地址想逻辑联系的IP 地址。任何关键字都可以被用来指定“任何IP 地址”。
指定将被阻止的端口号码：
port [, port [, port [...]]]
指定一个简单的端口或端口列表，
port- port
指定一个端口范围。你也可以结合一个简单的列表范围，但范围必须先被指定。
可用的选项是：
frag
匹配数据包中第一个片段。
in
匹配进入的数据包
out
匹配输出的数据包
ipoptions spec
匹配IP 头包含用逗号分割的用spec指定的选项列表。IP 选项的支持列表是：ssrr (严
格源代码路由), lsrr (宽松源代码路由), rr (记录数据包路由),和ts (时间标记)。
established
匹配已经建立TCP 连接的部分数据包。你可以通过在数据链中通过放置一个建立的规则
来调整防火墙的性能。
setup
匹配试图建立一个TCP 连接的数据包。
第36 页FreeBSD 使用手册
tcpflags flags
匹配包含flags标记的用逗号分割的TCP 头。支持的标记是fin, syn, rst, psh, ack,
和urg。
icmptypes types
匹配在types列表中出现的ICMP 类型。列表可以用一个以逗号隔开的联合或分离的排
列形式。通常使用的ICMP 类型是：0 echo reply (ping reply), 3 destination unreachable, 5 redirect,
8 echo request (ping request), 和11 time exceeded
10.7.4.2 列出IPFW 规则
这种形式的命令的语法是：
ipfw [-a] [-t] [-N] l
当使用这种命令时，有三种正确的标记：
-a
当列条目时，显示计数器的值。这个选项是唯一可以看到计数器值的方法。
-t
显示每个数据链记录的最后匹配次数。定时的列表与用ipfw 工具输入的语法是不兼容
的。
-N
试图分解给定的地址和服务名称。
10.7.4.3 提高IPFW 规则
语法是：
ipfw flush
这将把防火墙链中的所有记录都删除，除了内核中指定的可修复的默认策略（索引
65535）。当提高规则时可以使用警告，默认的阻止策略将迫使你的系统断开网络，知道允许
记录被添加到链中。
第37 页FreeBSD 使用手册
10.7.4.4 刷新IPFW 数据包记数器
刷新一个或多个数据包记数器的方法：
ipfw zero [ index]
当使用不带索引值选项时，所有的数据包计数器将被刷新。如果一个索引被启用，那刷
新操作将只影响一个指定的数据链记录。
10.7.5 使用ipfw 命令的例子
这个命令会阻止所有从主机evil.crackers.org 到主机nice.people.org 的telnet 端
口的数据包：
# ipfw add deny tcp from evil.crackers.org to nice.people.org 23
下一个例子会阻止和日志任何从crackers.org 网络（c 类地址）记录到机器
nice.people.org 的TCP 传输（任何端口）。
# ipfw add deny log tcp from evil.crackers.org/24 to nice.people.org
如果你不要任何人发送X 会话给你的内部网络（C 类子网），下面的命令将会作必要的
过滤：
# ipfw add deny tcp from any to my.org/28 6000 setup
看看计算记录：
# ipfw -a list
或用一个简短的形式：
# ipfw -a l
你也可以看看上次相配的数据链记录：
# ipfw -at l
第38 页FreeBSD 使用手册
10.7.6 建构一个数据包过滤防火墙
注意：下面的建议仅仅是建议。每个防火墙的要求是不同的，我们不能告诉你如何建构
一个符合你特殊要求的防火墙。
当一开始设置你的防火墙时，除非你有一个可测试的设置，可以在一个可控的环境中配
置你的防火墙，否则强烈建议你使用命令的日志版本，和在内核中启用日志。这将允许你快
速地确定问题所在，以便不需要太久就可以修复。即使初始安装已经完成，还是建议你使用
日志来“阻止”有可能的攻击，或根据你的要求修改防火墙的规则。
注意：如果你使用接受命令的日志版本，它可以产生巨大的日志数据，所以巨大的
FTP/http 传输将使系统的性能大大下降。在数据包通过之前它会要求内核做更多的工作。
syslogd 将开始使用更多的处理时钟，以至有许多额外的日志被记录到磁盘上，不久就会填
满/var/log 分区。
你可以从/etc/rc.conf.local 或/etc/rc.conf 启用你的防火墙。相关的联机手册会解
释如何列出当前的防火墙配置。如果你不使用当前的配置，ipfw 列表将输出当前的规则设
置到一个文件rc.conf。如果你不使用/etc/rc.conf.local 或/etc/rc.conf 来启用防火墙，
在任何接口被配置之前，确认你的防火墙被启用是很重要的。
下一个问题是你的防火墙实际上做了些什么！这主要依赖于你允许什么从外部访问你的
网络，和允许多少访问外部网络。一些通常的规则是：
. 阻止所有TCP 端口小于1024 的访问。这是安全服务最敏感的地方，象finger, SMTP
(mail) 和telnet。
. 阻止所有进入的UDP 传输。通过UDP 传输的有很多有用的服务，有什么有用的传输
服务，就会有什么安全问题。（如Suns RPC 和NFS 协议)。这也是它的缺点，既然UDP
是一个无连接协议，阻止进入的UDP 传输也会阻止对输出UDP 传输的回应。这可能会对
使用外部archie 服务的人们带来麻烦。如果你要允许访问archie,你将必须允许来自端
口191 和1525 的数据包能够通过防火墙进入内部UDP 端口。ntp 是另一个你可以允许
访问通过的服务，它使用端口123。
第39 页FreeBSD 使用手册
. 阻止端口6000 与外部的传输服务。端口6000 被用来访问X11 服务器，可能会带来
一个潜在的安全问题。X11 实际上可以使用以6000 开始的端口范围，上面的限制取决于
你可以在机器上运行多少个X 显示程序。上面的限制通过RFC 1700 定义的是6063。
. 检查内部服务器使用什么服务器(如SQL servers 等)。阻止这些服务可能是一个好
主意，因为它们分布于上面指定的1-1024 的范围之内。
另外可以到下面这个网站去查看一下防火墙配置的列表
http://www.cert.org/tech_tips/packet_filtering.html
就象上面提到的，这些只是guidelines （建议/ 指导原则）。你必须根据你的具体情况决
定使用什么过滤规则。如果有人侵入了你的网络，我们不承担任何责任，即使你按照了上面
提到的方法做了。
10.8 OpenSSL

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有