Linux IP Masquerade mini HOWTO 中譯版(3)

　　Linux IP Masquerade mini HOWTO 中譯版()
　　
　　 IP Firewall Administration (ipfwadm) 這一節提供關於 ipfwadm 更深入的使用指引．
　　
　　這是一個給在固定 PPP 位址之 PPP 連線後面的防火牆/偽裝系統使用的設定．信賴(trusted) 界面為 PPP 界面已經修改過以避免犯錯 ．我分別列出每一個進入(incoming)以及送出(outgoing)界面來抓出變更遞送路徑(stuffed routing) 以及/或是偽裝(masquerading)等等這些個 IP spoofing 技巧．同時任何沒有明確允許的東西都是禁止的!
　　
　　#!/bin/sh # # /etc/rcd/rcfirewall 定義防火牆配置從 rclocal 執行． #
　　PATH=/sbin:/bin:/usr/sbin:/usr/bin
　　# 測試用等待一段時間然後清除所有的防火牆規則． # 如果你希望防火牆十分鐘之後自動關閉就取消下列幾行的注解． # (sleep ; # ipfwadm I f; # ipfwadm I p accept; # ipfwadm O f; # ipfwadm O p accept; # ipfwadm F f; # ipfwadm F p accept; # ) &
　　# 進入偽裝閘道的設定更新以及設定拒絕的策略(policy)．事實上 # 預設的策略沒什麽關系因為原先就希望拒絕以及記錄所有規則 ipfwadm I f ipfwadm I p deny # 偽裝閘道的本地(local) 界面區域網路裡的機器允許連往任何 # 地方 ipfwadm I a accept V S / D / # 偽裝閘道的遠端(remote)界面聲稱是區域網路裡的機器IP spoofing # 拒絕 ipfwadm I a deny V yourstaticPPPaddress S / D / o # 偽裝閘道的遠端界面任何來源允許送往固定 (permanent) PPP # 位址 ipfwadm I a accept V yourstaticPPPaddress S / D yourstaticPPPaddress/ # 回授(loopback)界面是允許的 ipfwadm I a accept V S / D / # 捕捉所有規則任何其它的進入方式都會被拒絕並記錄．可惜沒有 # 記錄用的選項但這可以代替 ipfwadm I a deny S / D / o
　　# 送出偽裝閘道的設定更新以及設定拒絕的策略(policy)．事實上 # 預設的策略沒什麽關系因為原先就希望拒絕以及記錄所有規則 ipfwadm O f ipfwadm O p deny # 本地界面允許任何來源送出至區域網路 ipfwadm O a accept V S / D / # 遠端界面送出至區域網路stuffed routing 拒絕 ipfwadm O a deny V yourstaticPPPaddress S / D / o # 區域網路的機器從遠端界面送出stuffed masquerading拒絕 ipfwadm O a deny V yourstaticPPPaddress S / D / o # 區域網路的機器從遠端界面送出stuffed masquerading拒絕 ipfwadm O a deny V yourstaticPPPaddress S / D / o # 任何其它遠端界面送出的東西都是允許的 ipfwadm O a accept V yourstaticPPPaddress S yourstaticPPPaddress/ D / # 回授(loopback)界面是允許的 ipfwadm O a accept V S / D / # 捕捉所有規則任何其它的送出方式都會被拒絕並記錄．可惜沒有 # 記錄用的選項但這可以代替 ipfwadm O a deny S / D / o
　　# 偽裝閘道的轉送設定更新以及設定拒絕的策略(policy)．事實上 # 預設的策略沒什麽關系因為原先就希望拒絕以及記錄所有規則 ipfwadm F f ipfwadm F p deny # 偽裝區域網路的機器從本地界面送出至任何地方的資料 ipfwadm F a masquerade W ppp S / D / # 捕捉所有規則任何其它的轉送方式都會被拒絕並記錄．可惜沒有 # 記錄用的選項但這可以代替 ipfwadm F a deny S / Linux IP Masquerade mini HOWTO 中譯版()
　　 IP Firewall Administration (ipfwadm) 這一節提供關於 ipfwadm 更深入的使用指引．
　　這是一個給在固定 PPP 位址之 PPP 連線後面的防火牆/偽裝系統使用的設定．信賴(trusted) 界面為 PPP 界面已經修改過以避免犯錯 ．我分別列出每一個進入(incoming)以及送出(outgoing)界面來抓出變更遞送路徑(stuffed routing) 以及/或是偽裝(masquerading)等等這些個 IP spoofing 技巧．同時任何沒有明確允許的東西都是禁止的!
　　
　　#!/bin/sh # # /etc/rcd/rcfirewall 定義防火牆配置從 rclocal 執行． #
　　PATH=/sbin:/bin:/usr/sbin:/usr/bin
　　# 測試用等待一段時間然後清除所有的防火牆規則． # 如果你希望防火牆十分鐘之後自動關閉就取消下列幾行的注解． # (sleep ; # ipfwadm I f; # ipfwadm I p accept; # ipfwadm O f; # ipfwadm O p accept; # ipfwadm F f; # ipfwadm F p accept; # ) &
　　# 進入偽裝閘道的設定更新以及設定拒絕的策略(policy)．事實上 # 預設的策略沒什麽關系因為原先就希望拒絕以及記錄所有規則 ipfwadm I f ipfwadm I p deny # 偽裝閘道的本地(local) 界面區域網路裡的機器允許連往任何 # 地方 ipfwadm I a accept V S / D / # 偽裝閘道的遠端(remote)界面聲稱是區域網路裡的機器IP spoofing # 拒絕 ipfwadm I a deny V yourstaticPPPaddress S / D / o # 偽裝閘道的遠端界面任何來源允許送往固定 (permanent) PPP # 位址 ipfwadm I a accept V yourstaticPPPaddress S / D yourstaticPPPaddress/ # 回授(loopback)界面是允許的 ipfwadm I a accept V S / D / # 捕捉所有規則任何其它的進入方式都會被拒絕並記錄．可惜沒有 # 記錄用的選項但這可以代替 ipfwadm I a deny S / D / o
　　# 送出偽裝閘道的設定更新以及設定拒絕的策略(policy)．事實上 # 預設的策略沒什麽關系因為原先就希望拒絕以及記錄所有規則 ipfwadm O f ipfwadm O p deny # 本地界面允許任何來源送出至區域網路 ipfwadm O a accept V S / D / # 遠端界面送出至區域網路stuffed routing 拒絕 ipfwadm O a deny V yourstaticPPPaddress S / D / o # 區域網路的機器從遠端界面送出stuffed masquerading拒絕 ipfwadm O a deny V yourstaticPPPaddress S / D / o # 區域網路的機器從遠端界面送出stuffed masquerading拒絕 ipfwadm O a deny V yourstaticPPPaddress S / D / o # 任何其它遠端界面送出的東西都是允許的 ipfwadm O a accept V yourstaticPPPaddress S yourstaticPPPaddress/ D / # 回授(loopback)界面是允許的 ipfwadm O a accept V S / D / # 捕捉所有規則任何其它的送出方式都會被拒絕並記錄．可惜沒有 # 記錄用的選項但這可以代替 ipfwadm O a deny S / D / o
　　# 偽裝閘道的轉送設定更新以及設定拒絕的策略(policy)．事實上 # 預設的策略沒什麽關系因為原先就希望拒絕以及記錄所有規則 ipfwadm F f ipfwadm F p deny # 偽裝區域網路的機器從本地界面送出至任何地方的資料 ipfwadm F a masquerade W ppp S / D / # 捕捉所有規則任何其它的轉送方式都會被拒絕並記錄．可惜沒有 # 記錄用的選項但這可以代替 ipfwadm F a deny S / D / o 你可以使用 I O 或是 F 來控制到某特定節點的流量．記得這些規則集是由上往下掃描的而 a 代表附加(append)到目前現有的規則集中所以任何限制必須在全域(global)規則之前出現．例如(沒測試過) :
　　使用 I 規則．可能是速度最快的但是它只能阻止區域網路裡的機器防火牆本身仍然可以存取禁止的節點．當然你可能想允許這樣的組合．
　　
　　 start of I rules # 拒絕並記錄本地界面區域網路裡的機器通往 ipfwadm I a rej
　　

From:http://tw.wingwit.com/Article/program/Oracle/201311/18685.html