FreeBSD 内建的防火墙指令ipfw英译汉

     ipfw 是 FreeBSD 内建的防火墙指令，我们可以用它来管理进出的网络交通。如果防火墙服务器是扮演着路由器 (gateway 例如上一篇中的 NAT 服务器) 的角色，则进出的封包会被 ipfw 处理二次，而如果防火墙扮演的是桥接器 (bridge) 的角色，则封包只会被处理一次。这个观念关系着我们以下所要介绍的语法，有的语法并不适用于桥接器。
  　另外，我们在设定防火墙时有二种模式，一种模式是预设拒绝所有联机，再一条一条加入允许的联机；另一种是预设接受所有联机，加入几条拒绝的规则。如果是非常强调安全性，应该是使用预设拒绝所有联机，再一条一条加入我们允许的规则。
  　我们会将 firewall 的设定写在 /etc/rc.firewall 中，每一条设定都是以先入为主 (first match wins) 的方式来呈现，也就是先符合的规则 (rules) 为优先。所有进出的封包都会被这些规则过滤，因此我们会尽量减少规则的数量，以加速处理的速度。


已经习惯了用ipfw，觉得ipfw其实很不错，但手册上的介绍有些少，所以想弄个中文的man。但是由于本人英文和计算机都是半路出家，纯属个人爱好而自学的，所以各方面的水平都深欠火候，欢迎E文好和计算机专业的同学帮助翻译和改正。
在翻译中，受到“杜比立体声”和“FinalBSD”的帮助，一起表示感谢。 程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛-B d-M6y3a2c5T2Z.r9A
翻译是一项非常枯燥的工作，为了尊重他人劳动，转载时请注明作者：来自chinaunix的lsstarboy。email:lsstar#sina.com
，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛.o)o1~&u5@+c
　　ipfw是FreeBSD下的一个用户界面，它用来控制ipfw防火墙和流量整形。 TechWeb-技术社区,Z#e4g3d"Y8h4v,m7S+V
tech.techweb.com.cn%d'D&h"t4U&N
"B*m*U#Q#{)e8z)H%]
　　ipfw的配置，也叫做规则集，它是由一系列的规则组成的，这些规则的编号是从1到65535。通过ipfw的数据包可以来自协议栈的许多各个的地方（这主要依赖于数据包的来源和目的，某些数据包很可多次经过防火墙）。数据包在通过防火墙的时候，要和防火墙规则集逐条对比。如果发现匹配的规则，则执行相应规则的动作。
p7?/a2R-c3e
　　在特定的规则动作和系统设置下，数据包在匹配完一个规则后，可能在某些规则之后重新进入防火墙。
　　一个ipfw规则集总是包含一个默认的规则（编号为65535），这个默认规则匹配所有的数据包，不能修改或删除。根据内核配置的不同，这个默认规则或者是拒绝所以数据包通过，或者是允许所有数据包通过。 6b$A8t1P(f%G0c m"x,S;@
+K,m7K9V4Q*~)a$j
　　如果规则集中存在一个或多个包含有keep-state（状态保持）或limit（限制）的规则，那么ipfw就表现为状态保持。例如：当这种规则匹配了一个数据包时，ipfw将创建一个动态规则，让后来的，同这个数据包的地址和端口参数严格一致的数据包，与这个动态规则相匹配。 TechWeb-技术社区/S&r0e%L9m+S)y#M4E$J-R
%c6o4J#N/G'J3~
　　这些动态规则，都有一个有限的生存期。生存期在第一次遇到check-state、keep-state或者是limit规则时被检查。这些动态规则的典型应用，是用来保证合法的数据包在通过时开启防火墙。查看下面的“状态防火墙”和“示例”章节，获取更多关于状态保持的信息。 程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛-J+w0D.z&u+j)g!b5s
+Z;i7u!\.L4_
　　包括动态规则在内的所有规则，都有几个相关的计数器：一个包计数器，一个字节计数器，一个记录计数器和一个用来提示最后匹配时间的时间戳。这些计数器都可以被ipfw命令显示和清零。 tech.techweb.com.cn3\&V7D&O$b'Z"u(?

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有