set afilter 0 deny icmp
set afilter 1 deny udp src eq 53
set afilter 2 deny udp dst eq 53
set afilter 3 permit 0/0 0/0使用dial参数的情况下,也有相似的限制,这时使用dfilter主要来限制icmp数据包 。
set dfilter 0 deny icmp
set dfilter 1 permit 0/0 0/0另外,还可以使用包过滤能力,按照端口、地址来允许或屏蔽某些TCP数据包 。
set ifilter 0 permit tcp dst eq 80
set ofilter 0 permit tcp src eq 80
set ifilter 1 permit 192.168.1.0/24 0/0
set ofilter 1 permit 0/0 192.168.1.0/24ifilter表示对进入的数据包进行过滤,ofilter表示对出去的数据包进行过滤,因此上面的设置允许进行WWW浏览(80端口),并允许与192.168.1.0这个网段内的计算机进行连接 。每一个过滤器最多可以定义20个规则 。
拨号网关
当一个局域网上的一台FreeBSD通过PPP连接到Internet上之后,其他计算机也能通过这台FreeBSD访问Internet,从而共享同一条拨号线路 。这必须使用ppp的alias选项启动ppp,这样当内部计算机的数据包到达这台FreeBSD之后,由ppp将这些数据包中的IP地址更换为本机ppp界面上的IP,同时也会对端口地址进行调整,再发送到外部的Internet上 。
要完成这个任务,还需要将这台FreeBSD配置为允许转发IP数据包,在/etc/rc.conf中配置gateway的值为YES 。但为了使得路由保持正确,不能启动routed或gated等动态路由程序,因为这些程序会动态更改路由表,如果改动与ppp相关的路由数据,就会使得FreeBSD不能正确路由数据包 。
使用这种连接方式,再加上ppp的简单过滤能力,FreeBSD就能作为一个简易的具备一定防火墙能力的Internet访问网关,能够提供整个内部网络访问Internet的能力,并将内部网与Internet相隔离 。然而这个简易的拨号网关仅限于使用ppp界面,并且功能也有限 。FreeBSD提供了更强大的防火墙能力,能完成要求更为复杂的各种任务 。
【36 FreeBSD连载:PPP协议】未完,待续 。。。
推荐阅读
- FreeBSD http_ping
- FreeBSD 的未来
- FreeBSD 升级sendmail版本到8.12.10
- FreeBSD Kernel编译
- freebsd 6.2 安装配置笔记
- 69 FreeBSD连载:使用smbclient访问Windows资源
- FreeBSD分区
- 75 FreeBSD连载:防火墙技术
- FreeBSD 升级和优化全攻略
- FreeBSD Kernel文字详解