FreeBSD7.3 打开IPFW防火墙(2)

#上面5行是过滤扫描包的
ipfw add 19996 check-state
ipfw add 19997 deny tcp from any to any in established
ipfw add 19998 allow tcp from any to any out setup keep-state
ipfw add 19999 allow tcp from any to any out

ipfw add 10000 allow tcp from any to me 22 in
ipfw add 10001 allow tcp from any to me 80 in
ipfw add 10002 allow tcp from me  22 to any out
ipfw add 10003 allow tcp from me to any out


# 由于web服务通过80端口进来,但是出去的数据是随机的,所以还得再加一条:

ipfw add allow tcp from me to any out

保存重启

#:wq!

#reboot

但是是由于对ipfw了解不深,根据一般的防火墙的检验规则都是数据通讯先从客户端发个请求从某个端口进来,防火墙检验过后再让数据从哪个特定的或者是随机的选一个端口让数据出去,再出去时再检查状态,但是我不知道加了这条之后会不会允许不需要外面先请求进来而系统内部可以主动的向外发送数据,而不加阻拦和检查,如果是这样的话那是相当的危险,做为服务器,客户随便上传一个木马什么的不是允许出去了么?而之前上面的那两条check state是不是还起检查作用,我不知道,这个有待学习研究。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wywgsj.html