pass in quick on fxp0 proto tcp from any to any port 30000 >< 50001 flags S/SA keep state
以上为允许www和ftp进入,并且允许对ftp数据端口的数据进行转发
block in quick on fxp0 all
禁止其他的连接进入fxp0
block in log quick on fxp0 proto icmp from any to any icmp-type redir
block in log quick on fxp0 proto icmp from any to any
block in log quick on fxp0 proto icmp from any to any icmp-type echo
以上为禁止别人ping我得网络
block return-rst in log on fxp0 proto tcp from any to any flags S/SA
block return-icmp(net-unr) in log on fxp0 proto udp from any to any
以上对其他tcp请求,防火墙回应一个RST数据包关闭连接 。对UDP请求,防火墙回应网络不可达到的ICMP包 。
或者在/etc/sysctl.conf中加入:
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
能够有效地避免端口扫描
3、然后编辑/etc/rc.conf,加入一下命令,让ipfilter和ipnat在系统启动的时候可以自动加载:
ipfilter_enables=”YES”
ipf –C –f /etc/ipf.rules
ipfilter_flags=”-E”
ipnat_enable=”YES”
ipnat_program=”/sbin/ipnat –CF -f”
ipnat_rules=”/etc/ipnat.rules”
ipmon_enable=”YES”
ipmon_flags=”-D /var/log/ipfilter.log”
4、在/usr/log/建立文件ipfilter.log,并更改其属性为755,这样你的防火墙日志就记录到/var/log/ipfilter.log文件中,可以随时对其进行查看 。
四、设置FTP服务器,使其支持被动连接(pasv)
1.Proftpd:编辑你的proftpd的配置文件proftpd.conf,加入一下内容:
MasqueradeAddress x.x.x.x
PassivePorts 30001 50000
2.Pure-ftpd:编辑你的FTP配置文件,加入一下内容:
PassivePortRange 30001 50000
ForcePassiveIP x.x.x.x
3.Serv-U:
a、在serv-U的”本地服务器”―――”设置”―――”高级”―――”PASV端口范围”输入30001 50000
b、在serv-U的”域”―――”你自己建立的域”―――”设置”―――”高级”选中”允许被动模式传送”,” 使用IP”输入:x.x.x.x
推荐阅读
- 触漫怎么设置聊天室消息免打扰 设置方法介绍
- 如何使用ssmtp提交你的port
- 华为 A526 使用1个月后的感受
- 神州行gprs包月初体验及部分网络软件使用实录二
- 神州行gprs包月初体验及部分网络软件使用实录三
- 79 FreeBSD连载:设置和使用ipfilter
- 使用3230 一星期后的真实感受
- 酒醉的蝴蝶设置为铃声怎样设置
- 中兴G100使用体验
- 如何使用茶具泡茶