允许访问 ipfw/FreeBSD 中的 UDP 范围端口

允许访问 ipfw/FreeBSD 中的 UDP 范围端口

我准备了以下配置:

# cat /etc/firewall.conf 
add 1000 count udp from any to me 10000
add 1001 count udp from any to me 10001
add 1002 count udp from any to me 10002
add 65000 allow ip from any to any

这是的输出ipfw

# ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any icmp6types 1
01000 allow ipv6-icmp from any to any icmp6types 2,135,136
01000 count udp from any to me 10000
01001 count udp from any to me 10001
01002 count udp from any to me 10002
65000 allow ip from any to any
65535 deny ip from any to any

我有以下两个问题:

  1. 允许从到 的UDP流量的命令是什么?下面的规则是否正确?IP 203.0.113.1UDP port range 20500-20750

    add 2000 allow udp from 203.0.113.1 to me 20500-20750

  2. 通过上述配置,我能确保所有流量都被允许吗?

答案1

add 2000 allow udp from 203.0.113.1 to me 20500-20750

好的,可以这样做。

通过上述配置,我能确保所有流量都被允许吗?

这取决于你对“所有流量”的定义。规则65000 allow ip from any to any实际上允许所有流量,因此除了规则 200-500 之外,没有必要在同一时刻保留其他规则。
但是,如果没有规则 65000,就会缺少许多关键规则:对服务器本身的 ssh 访问,以及最有趣的部分,来自该服务器的任何传出流量。
因此,我建议阅读大量防火墙设置手册。
另一个有用的方法是ipfw在规则末尾使用日志记录。
查看一本很棒的 FreeBSD 手册:https://www.freebsd.org/doc/handbook/firewalls-ipfw.html

相关内容