我改变策略了,开始使用PF了,不使用IPFW了,
默认情况下PF不支持桥,就只有用IF桥了
我查了文章,pass in on $ext_if proto tcp from any to $web_server port www \
flags S/SA synproxy state
Here, connections to the web server will be TCP proxied by PF.
Because of the way synproxy state works, it also includes the same functionality as keep state and modulate state.
The SYN proxy will not work if PF is running on a bridge(4).
syn proxy 也不能运行在桥模式上。。。。
我感觉我又走到死胡同了。。。
又被忽悠了。。。
加油,支持你,我也学习中!!:)
俺正郁闷着啦。。。。也请高手指点一下
如果有做移植的朋友,帮一下,这个东西就能做出来了
学习使用freebsd是使用耐心和恒心的,还有交流,楼主肯拿自己的安装调试过程出来分享,值得表扬.
这几天经过四处打听,,听说过产的黑洞,就是用的syn proxy,是改动过bridge.c的,,有那位高手,能帮俺该该
手册里的这段应该对楼主有帮助
http://cnsnap.cn.freebsd.org/doc/zh_CN.GB2312/books/handbook/network-bridging.html
5.3.3 防火墙支持
如果您打算把网桥作为防火墙来使用, 则还需要加入 IPFIREWALL 的设置。 请参考 第 28 章 以了解关于将网桥配置为防火墙的其它信息。
如果需要允许非 IP 数据包 (例如 ARP) 穿过网桥, 有三种方法可供选择。第一种是在内核配置中加入下列选项, 并重新联编:
option IPFIREWALL_DEFAULT_TO_ACCEPT
第二种方法, 是在 rc.conf 文件中将防火墙类型设置为 “open”:
firewall_type="open"
注意, 这些选项会让防火墙看起来像透明的一样; 默认情况下,所有包或连接都会被允许。 如果选择这样做的话, 可能会需要对防火墙规则进行大幅调整。
第三种方法是应用下述 ipfw(8) 规则:
# ipfw add allow mac-type arp layer2
或将其加入在用的防火墙规则集。 这个规则实际上是允许 arp(8) 包通过,因此最好把它放在规则集前面, 以便能够尽早地应用此规则, 而避免由此带来的性能影响。
:) :) :) :)
現在防DDOS都停留在做橋上!!!
BSD很是牛呢,我有用过一个信息过滤系统就是用BSD开发的
不错不错:lol
11年后,在来看当初的帖子,觉得很有意义。。。
这个策略规则可以尝试