###### 100分！防火墙如何让qq和msn通过 ######

FreeBSD5.3系统用ipf作防火墙。  
  如何配置规则让qq和msn通过？ 问题点数：0、回复次数：13Top

1 楼tengulre（debian core developer）回复于 2005-03-02 14:11:58 得分 0

iptables   -A   FORWARD   -p   udp   -s   192.168.0.0/24   --dport   8000   -j   ACCEPT  
  iptables   -A   FORWARD   -p   udp   -s   192.168.0.0/24   --dport   4000   -j   ACCEPT  
  IPTABLES   -A   FORWARD   -p   TCP   --dport   1863   -j   ACCEPT    
  IPTABLES   -A   FORWARD   -p   TCP   --dport   7801:7825   -j   ACCEPT    
  IPTABLES   -A   FORWARD   -p   TCP   --dport   6891:6900   -j   ACCEPTTop

2 楼tengulre（debian core developer）回复于 2005-03-02 16:13:25 得分 0

#OICQ  
  IPTABLES   -A   FORWARD   -p   TCP   --dport   8000   -j   ACCEPT  
  IPTABLES   -A   FORWARD   -p   TCP   --dport   4000   -j   ACCEPT  
  #MSN  
  IPTABLES   -A   FORWARD   -p   TCP   --dport   1863   -j   ACCEPT    
  IPTABLES   -A   FORWARD   -p   TCP   --dport   7801:7825   -j   ACCEPT    
  IPTABLES   -A   FORWARD   -p   TCP   --dport   6891:6900   -j   ACCEPT  
   
  Top

3 楼nodummy（三甲 之 Linux/Unix里面甭给我分，谁给我分我和谁急）回复于 2005-03-02 18:24:00 得分 0

楼主用的是ipf？这个我不熟，不过5.3里面可以使用OpenBSD移植过来的PF，你直接在PF里面完成了NAT，并且使用quick关键字的话，就可以让MSN和QQ直接通过（并且会被keep-state）。  
   
  ipf似乎和pf差别不是很大，但是nat方面是用ipnat单独的程序来完成的，而5.3里面的pf直接使用pfctl来进行所有的控制。  
   
  如果你不急的话，我星期五可以帮你看一下Top

4 楼zydgj（聚散任风）回复于 2005-03-03 12:54:09 得分 0

To:   nodummy(某人马甲的马甲的马甲)    
          先多谢了，如果结果请贴出来。  
   
  To：tengulre(为了生活，我四处奔波！)    
          我用的是   ipf   不是   iptables。Top

5 楼nodummy（三甲 之 Linux/Unix里面甭给我分，谁给我分我和谁急）回复于 2005-03-03 16:37:53 得分 0

ipnat似乎不支持直接在NAT规则上使用quick关键字……  
   
  你可以试试看pass   out   on   $out_if   from   any   to   any   keep   state  
   
  这样让所有的主动连接到外界的包都保持状态……  
   
  ipnat的文档我看得比较少，不是很清楚ipf整套东西怎么运行的，OpenBSD的PF运行的时候是先进行NAT和redirection，包过滤会在nat以后进行。所以添加的规则要在out_if上面进行……  
   
  其实你可以尝试一下从OpenBSD移植过来的PF，这个东西真的不错……Top

6 楼tengulre（debian core developer）回复于 2005-03-03 17:30:00 得分 0

根据你的情况作些修改.  
  EXT_IF="rl0"  
  DARKSTAR="192.168.0.1"  
  BT_ports   =   "{   6881   6882   6883   6884   6885   6886   6887   6888   6889   4000   8000   }"  
   
  pass   in   quick   on   $EXT_IF   proto   {tcp,   udp}   from   any   to   $DARKSTAR   port   $BT_ports   flags   S/SA   keep   state  
  pass   out   quick   on   $EXT_IF   proto   {tcp,   udp}   from   any   to   $DARKSTAR   port   $BT_ports   flags   S/SA   keep   stateTop

7 楼zydgj（聚散任风）回复于 2005-03-03 21:48:58 得分 0

pass   out   on   $out_if   from   any   to   any   keep   state  
  当然可以，但是我不想将所有的out都放开Top

8 楼Great_Bug（）回复于 2005-03-05 13:29:58 得分 0

markTop

9 楼nodummy（三甲 之 Linux/Unix里面甭给我分，谁给我分我和谁急）回复于 2005-03-05 14:53:56 得分 0

算了，没兴趣研究ipf怎么玩……  
   
  似乎ipf没有什么选项让nat的包不通过包过滤规则……自己修改规则一条一条匹配实在是累死……Top

10 楼sky_lovet（色色）回复于 2005-03-10 06:20:22 得分 0

学习！！Top

11 楼lucifer6（Geo Power）回复于 2005-03-10 08:42:22 得分 0

markTop

12 楼blankman（菜鸟）回复于 2005-03-13 00:33:48 得分 0

通过http上吧Top

13 楼tukey（反美反霸权！）回复于 2005-03-13 16:25:28 得分 0

markTop

相关问题

• msn
• tcp
• bt
• dport
• ipf
• a forward
• acceptiptables
• j accept
• darkstar
• p tcp

• 帖主：zydgj

• CSDN Blog
• 技术文档
• 代码下载
• 第二书店
• 读书频道