关于FreeBSD 5.2.1下的IPFW防火墙特殊设置问题求救！

yhz670

小弟我在使用FREEBSD的IPFW2设置防火墙，有困难求救大家。

yhz670

我的网络环境为一台PII350 128M内存的机器作为服务器，两块8139网卡，其中rl0联接ADSL接入互联网，rl1接入内网交换机，
rl1 IP:192.168.0.1

内网IP段为：
192.168.0.11－192.168.0.18   #允许通过共享上网，但只限于网页浏览，不能开放其他端口，同时必须进行MAC地址与IP地址绑定。
192.168.0.25     #允许通过共享上网，但只能使用OUTLOOK 或第三方邮件收发软件进行邮件的收发，不能进行其他，包括网页浏览。同时必须进行MAC地址与IP地址绑定。

其他IP地址一律不能接入internet。

请大家指教。兄弟在此先行谢过了。:mad: :mad: :mad: :mad: :mad:

yhz670

各位高手，帮小弟我指点指点呀。

yhz670

就上面这个问题，关于IFPW中MAC地址与IP地址绑定的规则对吗？
ipfw add 40005 allow all from 192.168.0.11 to any mac any 01:02:03:04:05:06
ipfw add 40006 allow all from any to 192.168.0.11 mac 01:02:03:04:05:06 any

windoze

MAC绑定基本上来说是一个很愚蠢的行为，现在想要改网卡MAC地址真是太容易了，就算是用户不懂技术，网上也有很多现成的程序去干这事。
另外关于这个“只限于网页浏览”本身问题也很大，非标准端口怎么办？FTP算不算“浏览”？80端口的隧道行不行？如果可以上网的用户给不能上网的用户做代理怎么办？
如果你真想严格限制用户行为，建议你用代理服务器，包过滤防火墙不擅长这个。

yhz670

windoze兄说得有道理，不过我的情况是这样的，我仅仅是因为业务原因想这么做，我是这儿的系统管理员，他们都不是很懂这些很专业的东西，对于LAN外部，除了来自INTERNET的人员对我的机器有威胁之外，内部的可以不用考虑的。对于IPFW的语法规则我不是很懂，也看过网上的解释和MAN IPFW的说明，总是不太明白。
请各位高手指点指点。
谢谢大家！

windoze

MAC绑定建议用arp，用ipfw处理mac比较麻烦，例如：

1. 
   
2. arp -s 192.168.0.11 01:02:03:04:05:06
   

复制代码

你要的规则大概是这样的：

1. 
   
2. #允许已建立的连接
   
3. check-state
   
4. 
   
5. #允许DNS
   
6. netuser="192.168.0.0/24{11-18,25}"
   
7. allow udp from any domain to ${netuser}
   
8. allow udp from ${netuser} to any domain
   
9. allow tcp from ${netuser} to any domain keep-state
   
10. 
    
11. #允许11-18使用http
    
12. allow tcp from 192.168.0.0/24{11-18} to any http keep-state
    
13. 
    
14. #允许25使用smtp和pop3
    
15. allow tcp from 192.168.0.25 to any smtp keep-state
    
16. allow tcp from 192.168.0.25 to any pop3 keep-state
    
17. 
    
18. #默认禁止其他连接
    
19. deny ip from any to any
    

复制代码

yhz670

小弟我在此多谢windoze大哥了。我还得多学习学习了，以后多向大哥请教请教。
谢谢。