《2022年使用FreeBSD构建流量控制防火墙(ZT)代理服务器教程.docx》由会员分享,可在线阅读,更多相关《2022年使用FreeBSD构建流量控制防火墙(ZT)代理服务器教程.docx(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2022年使用FreeBSD构建流量控制防火墙(ZT)代理服务器教程摘要:运用FreeBSD构建流量限制防火墙(ZT)作者:李冬邮件:ldfreebsdchina.org概述利用FreeBSD内核支持的BRIDGE、IPFIREWALL以及DUMMYNET选项,可以建立基于FreeBSD的透亮流量限制防火墙(桥接模式),起到限制流量和包过滤的功能。打算可以在任何FreeBSD的兼容硬件上构建流量限制防火墙,但是基于性能和管理上的考虑,建议:运用IntelPII450以上的处理器运用至少128MBRAM运用高性能10/100Mbps自适应网络适配器假如多于一组桥接设备,建议运用双处理器系统另外打
2、算一块单独的网络适配器用于管理-实例联想万全1300PC服务器,具有一颗IntelPII300处理器,配置有128MBRAM,主板集成Intel82557网络适配器,另外安装了4块3Com3C905B10/100Mbps自适应PCI网络适配器。-安装安装最新版本的FreeBSD。可以从www.FreeBSD.org获得当前的FreeBSD版本信息,并且获得安装源文件。可以运用光盘安装和FTP安装方式。为了保证最好的硬件兼容性,请运用FreeBSD4.3RELEASE或者更高的版本。必需安装操作系统源代码中的sys部分,安装完成以后须要重新编译系统内核以支持必要的流量限制防火墙选项。-实例安装F
3、reeBSD-4.3-20220818-STABLE版本,从ftp:/releng4.freebsd.org/pub/FreeBSD/snapshots/i386/获得。运用FTP安装方式,安装选项为:XbinXcryptoXmanXsrc->sys-配置完成操作系统安装以后,必需重新编译系统内核使其支持桥接流量限制防火墙选项。必需在系统内核编译配置文件中添加以下内容:optionsBRIDGEoptionsDUMMYNEToptionsIPFIREWALLoptionsIPFIREWALL_DEFAULT_TO_ACCEPT重新编译完系统内核以后必需重新启动计算机。-实例#cd/usr
4、/src/sys/i386/conf#cpGENERICBRGFW#echooptionsBRIDGE>>BRGFW#echooptionsDUMMYNET>>BRGFW#echooptionsIPFIREWALL>>BRGFW#echooptionsIPFIREWALL_DEFAULT_TO_ACCEPT>>BRGFW#config#cd././compile/BRGFW#makedependallinstall#reboot-重新启动计算机以后,运用以下吩咐激活桥接流量限制防火墙选项:sysctl-wnet.link.ether.bridge
5、_ipfw=1sysctl-wnet.link.ether.bridge_cfg=sysctl-wnet.link.ether.bridge=1其中bridge_cfg参数用于设置多组桥接设备,假如仅考虑单组桥接,可以忽视。实例运用集成的Intel82557网络适配器作为管理网络,其他3Com3C905B网络适配器分为两组网桥运用。-实例#sysctl-wnet.link.ether.bridge_ipfw=1#sysctl-wnet.link.ether.bridge_cfg=xl0:0,xl1:0,xl2:1,xl3:1#sysctl-wnet.link.ether.bridge=1-运用
6、运用ipfw吩咐来限制流量和防火墙策略。其中流量限制是作为一条防火墙策略实现的,因此ipfw是唯一的管理界面。通过实例来说明ipfw的运用。在实例中,网段192.168.254.0/24经过第一组网桥,网段192.168.250.0/24经过其次组网桥,并建立以下策略:允许全部的ICMP连接,限制总流量为10Kbit/s允许全部的UDP链接,限制总流量为100Kbit/s允许TCP到网段192.168.254.0/24的全部连接,限制流量为5Mbit/s允许TCP到主机192.168.250.222的HTTP连接,限制流量为2Mbit/s允许TCP到主机192.168.250.0/24的全部其
7、他连接,限制流量为1Mbit/s禁止其他全部连接-实例#ipfw-flush#ipfwadd100pipe1icmpfromanytoany#ipfwpipe1configbw10Kbit/s#ipfwadd200pipe2udpfromanytoany#ipfwpipe2configbw100Kbit/s#ipfwadd300pipe3tcpfrom192.168.254.0/24toany#ipfwpipe3configbw5Mbit/s#ipfwadd400pipe4tcpfromanyto192.168.254.0/24#ipfwpipe4configbw5Mbit/s#ipfwadd
8、500pipe5tcpfromanyto192.168.250.22280#ipfwpipe5configbw2Mbit/s#ipfwadd600pipe6tcpfrom192.168.250.22280toany#ipfwpipe6configbw2Mbit/s#ipfwadd700pipe7tcpfrom192.168.250.0/24toany#ipfwpipe7configbw1Mbit/s#ipfwadd800pipe8tcpfromanyto192.168.250.0/24#ipfwpipe8configbw1Mbit/s#ipfwadd60000denyipfromanytoany#ipfw-al段誉 回复于:2022-06-12 00:37:25没验证,不过,先加为精华,第一是激励楼主的法帖的热忱,其次是有更多的人看到精华后,才好出现验证的机会。感谢kecai_calekecai_cale 回复于:2022-06-13 19:26:12感谢,我正在做试验,感谢激励!