ipfw+nat怎样限制用户访问某个网址？

Freebird · 发表于 2004-1-1 09:40:26

最初由 lhmwzy 发表
我想会不会与我的这句有关系
/sbin/ipfw add pass all from any to any

这句是你自己定义的吗？如果是系统定义的，那么起rule num应该为65535。你自己定义的规则应该在它前面。

lhmwzy · 发表于 2004-1-1 09:43:01

下面是我的rc.firewall的规则：
/sbin/ipfw -f flush
/sbin/ipfw add divert natd all from any to any via rl0
/sbin/ipfw add pass all from any to any
/sbin/ipfw add deny all from any to 100.100.100.100

如果把/sbin/ipfw add pass all from any to any注释掉，
然后再加上/sbin/ipfw add deny all from 100.100.100.100 to any
客户端就不能上100.100.100.100这个网址了。

不知道/sbin/ipfw add pass all from any to any这个规则有什么用。

lhmwzy · 发表于 2004-1-1 09:44:25

最初由 Freebird 发表
这句是你自己定义的吗？如果是系统定义的，那么起rule num应该为65535。你自己定义的规则应该在它前面。

是我自己定义的。不过那也是照抄别人做NAT的，我也不知道它有什么用。
不过，把它去掉之后，客户端也可以上网。

Freebird · 发表于 2004-1-1 10:36:49

最初由 lhmwzy 发表
下面是我的rc.firewall的规则：

不知道/sbin/ipfw add pass all from any to any这个规则有什么用。

如果你在内核里加入了IPFIREWALL_DEFAULT_TO_ACCEPT或者在/etc/rc.conf中设置了firewall_type="open"那么就有此规则，他默认接受任何包的传送。

lhmwzy · 发表于 2004-1-1 10:59:11

那么没有这个规则是不是也可以呢？

大熊宝宝 · 发表于 2004-1-1 11:36:33

ipfw有规则顺序的如果看了pass 就不会继续检查了
你要把deny放在pass前

lhmwzy · 发表于 2004-1-2 16:31:44

OK，按照各位的办法，搞定。

		自动登录	找回密码
密码			注册