[这个贴子最后由wenqi在 2004/04/13 01:49am 第 6 次编辑]
[color=#DC143C]
create ipf rule entry 创建IP过滤规则条目
rule id 1 规则ID:1
ifname public 接口:public
dir in 方向:incoming(进来)
act accept 动作:accept(接受)
transport eq num 6 协议=TCP
destport gt num 1024 目标端口>1024
规则1:一个通过Public(公共)接口Incoming(进来)的数据包,只有满足下列条件时,才会被Accept(接受):(1)TCP协议(2)目标端口>1024.
规则2:一个通过Public(公共)接口Outgoing(出去)的数据包,只有满足下列条件时,才会被Accept(接受):(1)TCP协议(2)IN I/F=Private.
规则10:一个通过Public(公共)接口Outgoing(出去)的数据包,只有满足下列条件时,才会被Accept(接受):(1)UDP协议(2)源端口>1024(3)目标端口=53.
规则11:一个通过Public(公共)接口Incoming(进来)的数据包,只有满足下列条件时,才会被Accept(接受):(1)UDP协议(2)源端口=53(3)目标端口>1024.
规则12:一个通过Public(公共)接口Outgoing(出去)的数据包,只有满足下列条件时,才会被Accept(接受):(1)UDP协议(2)源端口=123(3)目标端口=123.
规则13:一个通过Public(公共)接口Incoming(进来)的数据包,只有满足下列条件时,才会被Accept(接受):(1)UDP协议(2)源端口=123(3)目标端口=123.
P.S:规则12 13是为SNTP而设,考虑的是猫的时间同步问题.
规则49:一个通过Private(私有)接口Incoming(进来)的数据包,只有满足下列条件时,才会被Accept(接受):(1)目标地址是192.168.1.1(2)TCP协议(3)目标端口=23.
P.S:允许内网访问猫的23端口(telnet).
规则50:一个通过Private(私有)接口Incoming(进来)的数据包,只有满足下列条件时,才会被Deny(拒绝):(1)目标地址是192.168.1.1(2)TCP协议(3)目标端口≠80.
P.S:只允许内网访问猫的80端口(web).
规则59:一个通过Private(私有)接口Incoming(进来)的数据包,只有满足下列条件时,才会被Accept(接受):(1)目标地址是192.168.1.1(2)UDP协议(3)目标端口=69.
P.S:允许内网访问猫的69端口(tftp).
规则60:一个通过Private(私有)接口Incoming(进来)的数据包,只有满足下列条件时,才会被Accept(接受):(1)目标地址是192.168.1.1(2)UDP协议(3)目标端口=53.
P.S:允许内网访问猫的53端口(DNS).
规则70:一个通过Private(私有)接口Incoming(进来)的数据包,只有满足下列条件时,才会被Accept(接受):(1)目标地址是192.168.1.1(2)?协议.
|