设置和使用ipfw/natd-FreeBSD 技术文摘

    通过设置，FreeBSD系统能够具备更高的安全性，防止外界入侵者进入系统，即使入侵者利用人为的问题进入系统，FreeBSD严密的保护也将使他们无所作为，不能对系统造成严重的破坏。然而，除了用于保护系统本身的能力之外，FreeBSD还能用于保护同一个网络内的其他计算机。此时这个FreeBSD系统就必须作为内部网络的缺省网关，担负将内部网络连接到外部网络的任务。

　　FreeBSD系统实现了包过滤能力与网络地址转换能力，如果仅将这些能力用作保护系统本身，显然不是这些功能的设计目的，保护本地系统只是保护本地网络的一部分功能。包过滤能力是针对路由器等网络设备来设计的，而网络地址转换也是重要的防火墙功能，这些设计就使得FreeBSD能被十分方便的设置为防火墙系统。此外，FreeBSD上也能运行其他类型的防火墙软件，如代理型防火墙软件fwtk等，作为代理服务器来保护本地网络内的系统。

　　即使FreeBSD系统不是用作防火墙，它所支持防火墙能力也同样能用来保护本地系统的安全。
　
    设置和使用ipfw/natd

　　在专用路由器系统开始流行之前，Internet上的路由器大部分是基于Unix的软件路由器，其中多数是BSD Unix。显然这是由于BSD Unix在Internet上占据的重要地位决定的，即便是在专用硬件路由器流行的今天，当由于价格等因素不能考虑硬件路由器时，BSD系统仍然是用作软件路由器的首选系统。

　　由于路由器处于网络之间，所有网络间需要交换的数据包都要通过它转发，因此就可以进行一定的限制，即按照预定义的一定规则处理每个数据包，符合要求的允许通过，不符合要求的就进行丢弃。这样路由器就能用作一个简单的防火墙系统，保护内部计算机。BSD系统中最早使用ipfw过滤器来定义不同的过滤规则，随后ipfw也被移植到其他平台上，并根据开发者的理解不同而独立发展。当前不同系统上的ipfw已经大不相同了，并出现了具备相同功能的其他过滤器， FreeBSD下的ipfw也经过了不断发展，具备了更强的过滤能力，尤其是它能和natd守护进程相结合，提供网络地址转换能力，具备更完善的防火墙能力。
　
    使用ipfw设置过滤

　　由于包过滤要对每个数据包都进行判断，因此在网络流量较大时需要较高的处理器处理能力，FreeBSD的包过滤能力是在内核中实现的，这样才能具备最高的效率和性能。因此为了在FreeBSD上使用这个防火墙功能，需要在编译内核时打开下面选项重新定制内核。

options IPFIREWALLoptions IPFIREWALL_VERBOSEoptions “IPFIREWALL_VERBOSE_LIMIT=100”options IPFIREWALL_DEFAULT_TO_ACCEPToptions IPDIVERT

　　其中第一项设置IPFIREWALL是用于打开基本的包过滤支持的，只有使用它才能在内核中支持包过滤。IPFIREWALL_VERBOSE 和IPFIREWALL_VERBOSE_LIMIT设置记录过滤日志，及日志记录的限制。IPFIREWALL_DEFAULT_TO_ACCEPT是设置IPFIREWALL的缺省行为，在数据包不符合所有的过滤规则的情况下进行转发，显然这是一种宽松的限制，此时系统主要用于屏蔽特定地址和特定服务，而提供其他的缺省网络能力。如果没有定义这个选项，系统就只能允许符合已定义规则的数据包通过，而屏蔽其他任何数据包，这样在没有定义过滤规则的情况下，系统不能和其他计算机相互通信。最后一个选项IPDIVERT是用于定义IPFIREWALL与natd的接口。

　　当编译安装了内核之后，还需要设置内核具备数据包的转发能力。需要在rc.conf中设置gateway_enable 的值为YES，这样就能在系统启动时自动打开包转发能力。也可以直接执行下面命令来打开内核包转发能力。

# sysctl -w net.inet.ip.forwarding=1

net.inet.ip.forwarding: 0 -> 1
　
# ipfw过滤规则

　　IPFIREWALL的过滤规则是由ipfw命令来设置的，例如下面的规则允许所有127.0.0.1的数据传输。
# /sbin/ipfw add 1000 pass all from 127.0.0.1 to 127.0.0.1

　　ipfw命令中，首先指定对这个规则的处理方式，ipfw add为向内核中的过滤规则中添加，此外，ipfw delete用于删除一条规则，ipfw list用于显示当前定义的所有过滤规则，ipfw flush将清除所有的过滤规则，而ipfw file用于从文件file中读取定义的过滤规则。

　　此外，ipfw定义的规则都有自己的序号，其序号可以在处理方式之后指定，如 ipfw delete 1000 就是删除第1000条过滤规则，内核中可以同时支持65535条过滤规则。有时可以不使用规则的序号，那么ipfw 就处理当前规则，而处理过一次规则之后，就立即将当前规则序号增加100，这样就对于添加过滤规则时十分方便，不必指定序号，ipfw add将每隔100添加一条过滤规则。