|
楼主 |
发表于 2004-1-6 16:50:02
|
显示全部楼层
下面是我的一点心得
我觉得,首先 ,要规划好自己的网络 ,一般拥有两个if(或许你有第三个DMZ),但是原理是一样的 ,首先,分组自己的IF,在没个分组里面,设置自己的规则,这样,就不是那样的混乱,先通过,最后,一切阻止,这是一般的作法,可是有的时候,你要这样作,先阻止,然后通过一切,但最终的目的都是一样的 。
然后规划自己要向外提供的服务,这就需要ipnat.rules规则来详细的划分,如果你有第三块网卡,那么可以为自己提供非军事区口,可是到最终的原理还是一样的 ,一个map,一个rdr,这个文件其实没有太多可以控制的东西。
防火墙最大的作用就是访问控制,简单点说,就是ipf.rules中的规则你设置的如何。
在pass,block里面,象flags s/safp 等的参数,可是我现在还没有用到,所以,他的具体用法我还不太清楚,用实践的话,在给大家提供。
############
最终还有几条命令:ipnat ,ipf ,他们的具体使用可以看man,可是如果你要看当前的状态表的话,那么 #ipfstat -t 一定回满足你的要求的。 |
|