亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

Chinaunix

標(biāo)題: ipfw 中文手冊(1) [打印本頁]

作者: seeLnd 時間: 2009-05-12 10:53
標(biāo)題: ipfw 中文手冊(1)

IPFW(8) -- IP防火墻和流量整形的控制程序
名稱：
ipfw –　IP防火墻和流量整形的控制程序
ipfw語法：
ipfw [-cq] add rule
ipfw [-acdefnNStT] [set N] {list | show} [rule | first-last ...]
ipfw [-f | -q] [set N] flush
ipfw [-q] [set N] {delete | zero | resetlog} [number ...]
ipfw enable
{firewall | altq | one_pass | debug | verbose | dyn_keepalive}
ipfw disable
{firewall | altq | one_pass | debug | verbose | dyn_keepalive}
　　 ipfw set [disable number ...] [enable number ...]
ipfw set move [rule] number to number
ipfw set swap number number
ipfw set show
　　
ipfw table number add addr[/masklen] [value]
ipfw table number delete addr[/masklen]
ipfw table number flush
ipfw table number list
　　
ipfw {pipe | queue} number config config-options
ipfw [-s [field]] {pipe | queue} {delete | list | show} [number ...]
　　
ipfw nat number config config-options
　　
ipfw [-cfnNqS] [-p preproc [preproc-flags]] pathname
　　
描述：
　　ipfw是FreeBSD下的一個用戶界面，它用來控制ipfw防火墻和流量整形。
　　ipfw的配置，也叫做規(guī)則集，它是由一系列的規(guī)則組成的，這些規(guī)則的編號是從1到65535。通過ipfw的數(shù)據(jù)包可以來自協(xié)議棧的許多各個的地方
（這主要依賴于數(shù)據(jù)包的來源和目的，某些數(shù)據(jù)包很可多次經(jīng)過防火墻）。數(shù)據(jù)包在通過防火墻的時候，要和防火墻規(guī)則集逐條對比。如果發(fā)現(xiàn)匹配的規(guī)則，則執(zhí)行
相應(yīng)規(guī)則的動作。
　　在特定的規(guī)則動作和系統(tǒng)設(shè)置下，數(shù)據(jù)包在匹配完一個規(guī)則后，可能在某些規(guī)則之后重新進(jìn)入防火墻。
　　一個ipfw規(guī)則集總是包含一個默認(rèn)的規(guī)則（編號為65535），這個默認(rèn)規(guī)則匹配所有的數(shù)據(jù)包，不能修改或刪除。根據(jù)內(nèi)核配置的不同，這個默認(rèn)規(guī)則或者是拒絕所以數(shù)據(jù)包通過，或者是允許所有數(shù)據(jù)包通過。
　　如果規(guī)則集中存在一個或多個包含有keep-state（狀態(tài)保持）或limit（限制）的規(guī)則，那么ipfw就表現(xiàn)為狀態(tài)保持。例如：當(dāng)這種
規(guī)則匹配了一個數(shù)據(jù)包時，ipfw將創(chuàng)建一個動態(tài)規(guī)則，讓后來的，同這個數(shù)據(jù)包的地址和端口參數(shù)嚴(yán)格一致的數(shù)據(jù)包，與這個動態(tài)規(guī)則相匹配。
　　這些動態(tài)規(guī)則，都有一個有限的生存期。生存期在第一次遇到check-state、keep-state或者是limit規(guī)則時被檢查。這些動
態(tài)規(guī)則的典型應(yīng)用，是用來保證合法的數(shù)據(jù)包在通過時開啟防火墻。查看下面的“狀態(tài)防火墻”和“示例”章節(jié)，獲取更多關(guān)于狀態(tài)保持的信息。
　　包括動態(tài)規(guī)則在內(nèi)的所有規(guī)則，都有幾個相關(guān)的計數(shù)器：一個包計數(shù)器，一個字節(jié)計數(shù)器，一個記錄計數(shù)器和一個用來提示最后匹配時間的時間戳。這些計數(shù)器都可以被ipfw命令顯示和清零。
　　可以用add命令來添加規(guī)則；可以用delete命令來刪除單個或一組規(guī)則；可以用flush命令來刪除所有的規(guī)則（set 31除外）；可以用show和list命令來顯示包括計數(shù)器在內(nèi)的信息。最后，計數(shù)器可以被zero和resetlog命令清零。
　　并且，每個規(guī)則隸屬于32個不同的規(guī)則集中的一個。有一些ipfw的命令可以獨(dú)立地操作這些規(guī)則集，例如：啟動、禁止、交換規(guī)則集；把一個規(guī)則
集中的所有規(guī)則移動到另一個規(guī)則集；刪除一個規(guī)則集中的所有規(guī)則。這對于安裝臨時配置，或者是測試配置是非常有用的。查看“規(guī)則的規(guī)則集”一節(jié)，獲取更多
關(guān)于 set的信息。
　　以下是ipfw命令可以利用的選項：

當(dāng)顯示pipe時，按照四個計數(shù)器之一排序顯示。（對于所有的數(shù)據(jù)包、當(dāng)前數(shù)據(jù)包或者是字節(jié)數(shù)）

　　為了使配置更容易，規(guī)則可以寫到一個文件里供ipfw處理，語法規(guī)則參照大綱欄最后一行（譯注：指本文最前面的語法部分最后一行，即：“ipfw
[-cfnNqS] [-p preproc [preproc-flags]]
pathname”）。注意必須是絕對路徑。這個文件會被逐行讀取并且將作為ipfw工具的參數(shù)處理。
　　作為選擇，你還可以使用-p
preproc參數(shù)來使用預(yù)處理程序，其中路徑是用管道來傳入的�？梢允褂玫念A(yù)處理程序包括cpp和m4。如果preproc不是以”/“開頭，那么將搜
索PATH里的路徑。在使用它的時候，要謹(jǐn)慎，因為在很多時候，ipfw啟動時，系統(tǒng)文件可能沒有掛接（比如：文件系統(tǒng)是通過NFS掛接的）。一旦使用了
-p參數(shù)，所有其它的參數(shù)，都被傳送到預(yù)處理程序去等待處理。
　　ipfw的pipe和queue命令用來配置流量整形，你可以下面的“TRAFFIC SHAPER (DUMMYNET) CONFIGURATION”節(jié)看到看到相關(guān)內(nèi)容。
　　如果系統(tǒng)的world和內(nèi)核不能保持一致，ipfw的ABI將失效，以防你加入任何規(guī)則。這樣能保證你的順利地完成啟動過程。你可以利用ipfw臨時禁止的機(jī)會登錄你的網(wǎng)絡(luò)，來修復(fù)你的問題。
PACKET FLOW（數(shù)據(jù)包流程）
　　一個數(shù)據(jù)包在幾個內(nèi)核變量的控制下，在協(xié)議棧的多個地方被防火墻檢查。這些地方和變量如下圖所示，要在頭腦中保持下圖，它對于規(guī)劃一下正確的規(guī)則集是非常重要的。
            ^ 到上層          V
            |                         |
            +----------->-----------+
            ^                         V
      [ip(6)_input]          [ip(6)_output]    net.inet(6).ip(6).fw.enable=1
            |                         |
            ^                         V
      [ether_demux]       [ether_output_frame]  net.link.ether.ipfw=1
            |                         |
            +-->--[bdg_forward]-->--+             net.link.bridge.ipfw=1
            ^                         V
            |       到設(shè)備          |
　　如圖所示，根據(jù)數(shù)據(jù)包的源和目的，以及系統(tǒng)配置的不同，同一個數(shù)據(jù)包穿過防火墻的次數(shù)在0和4之間變化。
　　需要注意的是，在包通過不同棧的時候，頭會被加上或剝離，可能會導(dǎo)致這些包被檢查不到。例如：當(dāng)ipfw被ether_demux()調(diào)用的時
候，進(jìn)入的包將包括MAC頭；而當(dāng)ipfw被ip_input()或者ip6_input()調(diào)用的時候，同一個數(shù)據(jù)包的MAC頭將被剝離。
　　還需要注意的是：不論檢查發(fā)生在什么地方，也不論數(shù)據(jù)包源自哪里，每個數(shù)據(jù)包也整個規(guī)則進(jìn)行對照。（譯注：是整個規(guī)則集嗎？有時候只對照一部分
的時候就中止檢查）。如果一個規(guī)則包含的一些匹配模型或動作不符合某處的要求（比如：在ip_input或ip6_input處匹配MAC頭），那么匹配
模型將不會被匹配。然而，帶有not前綴操作符的匹配模型，總是可以和這些數(shù)據(jù)包相匹配。所以，如果有必要，在有很多地方可以選擇的時候，有能力的程序員
可以為寫出的規(guī)則集選擇一個合適的位置。skipto規(guī)則在這兒是非常有用的。例如：
      # packets from ether_demux or bdg_forward
      ipfw add 10 skipto 1000 all from any to any layer2 in
      # packets from ip_input
      ipfw add 10 skipto 2000 all from any to any not layer2 in
      # packets from ip_output
      ipfw add 10 skipto 3000 all from any to any not layer2 out
      # packets from ether_output_frame
      ipfw add 10 skipto 4000 all from any to any layer2 out
　　　�。▽�，在這兒，沒有辦法區(qū)別ether_demux和bdg_forward）
SYNTAX（語法規(guī)則）
　　通常，每個關(guān)鍵字或者參數(shù)都是作為獨(dú)立的命令行參數(shù)來提供的，前后都不能有空格。關(guān)鍵字是區(qū)分大小寫的，而參數(shù)按照它們本身的含義，可以是，也可以不是區(qū)分大小寫的。（例如，udi要區(qū)分大小寫，而hostname沒有必要區(qū)分大小寫）
　　在ipfw2中，為了提高可讀性，可以在逗號后面加上一個空格。當(dāng)然，你也可以把整個命令（包括參數(shù)）當(dāng)作一個參數(shù)來處理（譯注：就是加上雙引號，作為一個字符串放到某個命令中）。例如，以下幾種格式效果相同：
      ipfw -q add deny src-ip 10.0.0.0/24,127.0.0.1/8
      ipfw -q add deny src-ip 10.0.0.0/24, 127.0.0.1/8  （譯注：127前面有個空格）

RULE FORMAT（規(guī)則格式）
　　ipfw的規(guī)則格式如下：
      [rule_number] [set set_number] [prob match_probability] action
      [log [logamount number]] [altq queue] [{tag | untag} number] body
　　規(guī)則的 body 部分用來設(shè)定包過濾的信息，具體細(xì)節(jié)如下：
   Layer-2 header fields                   第二層頭段，什么時候可用
   IPv4 and IPv6 Protocol                   TCP, UDP, ICMP, 協(xié)議等
   Source and dest. addresses and ports　    源和目的。地址和端口
   Direction                                  數(shù)據(jù)包的流向，見“流量整形”一節(jié)
   Transmit and receive interface             傳輸和接收界面，用名字或地址表示
   Misc. IP header fields                   組合IP頭字段，包括版本、服務(wù)類型、報文長度、唯一標(biāo)識、分段標(biāo)志、生存期
   IP options                　　　　　　　  IP選項字段
   IPv6 Extension headers             IPv6擴(kuò)展頭，包括分片報頭、中繼選項報頭、路由報頭、路路由選擇報頭、IP層安全服務(wù)選項、Source routing rthdr0, Mobile IPv6 rthdr2（譯注：最后兩項不知道怎么翻譯）
   IPv6 Flow-ID　　　　　　　　　　　　　IPv6的流量標(biāo)識
   Misc. TCP header fields             組合tcp頭字段，有TCP標(biāo)志（syn,fin,ack,rst等）、序列號、回復(fù)號，窗口等。
   TCP options　　　　　　　　　　　　　　TCP的選項

   ICMP types                            ICMP包

   ICMP6 types                            ICMP6包

   User/group ID                         本地棧所歸屬的用戶和組

   Divert status                         是不是源自一個divert接口（例如：natd(8))
　　需要注意，上面的很多信息中，比如源MAC和IP地址、TCP/UDP端口等，是比較容易偽造的，所以只對這些信息進(jìn)行過濾不能保證達(dá)到預(yù)期的效果。
rule_number
　　每個規(guī)則都有規(guī)則號，規(guī)則號從1－65535。65535是保留的默認(rèn)規(guī)則。ipfw將按規(guī)則號的順序依次檢查這些規(guī)則。可以有多個規(guī)則用同一
個規(guī)則號，在這種情況下，將按照它們的添加順序依次檢查或列出。如果一個規(guī)則沒有指定規(guī)則號，內(nèi)核將自動賦于一個規(guī)則號，使它成為默認(rèn)規(guī)則前的最后一個規(guī)
則（即小于65535）。自動添加的規(guī)則號有個步進(jìn)值，在不大于65535的情況下，每次添加規(guī)則時，都自動加上這一步進(jìn)值。它默認(rèn)是100，對應(yīng)于
net.inet.ip.fw.autoinc_step這個內(nèi)核變量。
set set_number
　　每個規(guī)則都對應(yīng)于一個規(guī)則集編號，規(guī)則集編號取值為：0－31。規(guī)則集可以單獨(dú)地被禁止或啟用，所以，它對于規(guī)則集的原子操作是
至關(guān)重要的。它還可以輕松地刪除掉一組規(guī)則。如果一個規(guī)則沒有指定規(guī)則集編號，它默認(rèn)的規(guī)則集編號就是0。規(guī)則集編號31是個特殊的規(guī)則集，它不能被禁
止，也不能用ipfw的flush命令刪除，它是默認(rèn)規(guī)則的規(guī)則集。規(guī)則集編號31可以用ipfw delete set
31命令刪除。（譯注：這在遠(yuǎn)程調(diào)試排斥式防火墻時特別有用，防止把自己鎖在外面。）
　prob match_probability
　　這個語句只用來指定可能性（從0到1之間浮點(diǎn)值）。這在很多隨機(jī)丟包的應(yīng)用中，或者（在同dummynet聯(lián)用的情況下）模擬多路徑條件下無序包傳遞的效果中，是非常有用的。
　　注意：在檢查時，這個條件比其它所有條件都先被檢查，包括會有副作用的keep-state或者check-state。

　log [logamount number]
　　當(dāng)一個包匹配到一個有l(wèi)og關(guān)鍵字的規(guī)則時，一條消息會被syslogd記錄到一個LOG_SECURITY設(shè)備中。記錄動作只會在同時滿足下
面兩個條件時才發(fā)生：1、內(nèi)核選項net.inet.ip.fw.verbose等于1（當(dāng)編譯內(nèi)核時帶著IPFIREWALL_VERBOSE參數(shù)時，
這是默認(rèn)值）；2、所記錄的包數(shù)量還達(dá)不到logamount
number所指定的數(shù)量。如果沒有指定logamuont，則記錄的包的上限受內(nèi)核變量net.inet.ip.fw.verbose_limit的限
制。在這兩種情況中，logamount取值為零時，則取消記錄數(shù)量的限制。
　　當(dāng)記錄數(shù)量達(dá)到上限時，可以通過重置記錄計數(shù)器或包計數(shù)器的方式再重新開始記錄。詳細(xì)情況請查看resetlog命令。
  注意：記錄的時間是在所有的包檢測條件都完成之后，并且在采取相應(yīng)的動作（接受、拒絕等）之前。
tag number
　　當(dāng)一個包和一個帶有tag關(guān)鍵字的規(guī)則相匹配時，一個指定的數(shù)字標(biāo)簽就被附加到這個包上，數(shù)字標(biāo)簽的范圍是1-65534。這個標(biāo)簽作為一個內(nèi)
部的記號（它不會從線路上發(fā)送出去），以便后來可以區(qū)分這些數(shù)據(jù)包。這有時候非常有用，比如：提供接口之間相互信任和開啟一個基于安全的過濾。一個包可以
同時有多個標(biāo)簽。標(biāo)簽是“頑固的”，意思就是只要標(biāo)簽被應(yīng)用到某個數(shù)據(jù)包上，那么它就一直存在，直到被明確地解除為止。這個標(biāo)簽在內(nèi)核中一直存在，但是一
旦數(shù)據(jù)包離開內(nèi)核，標(biāo)簽就會消失。例如：在當(dāng)把數(shù)據(jù)包發(fā)送到網(wǎng)絡(luò)或者發(fā)送到divert棧時，標(biāo)簽就會消失。
　　要檢查已經(jīng)存在的標(biāo)簽，可以用tagged規(guī)則選項，要刪除存在的標(biāo)簽，用untag關(guān)鍵字。
　　注意：既然標(biāo)簽是在內(nèi)核空間內(nèi)一直存在的，所以它們就可以被內(nèi)核的網(wǎng)絡(luò)子系統(tǒng)（使用mbuf_tags設(shè)備）設(shè)置或者是取消，而不僅僅依靠
ipfw的 tag和untag關(guān)鍵字。例如：可以存在一個netgraph(4)節(jié)點(diǎn)做流量分析，并且給數(shù)據(jù)包打上標(biāo)簽，以供后面的防火墻進(jìn)行檢查。
untag number
　　
　　當(dāng)一個數(shù)據(jù)包匹配一個帶有untag關(guān)鍵字的規(guī)則時，將在這個數(shù)據(jù)包所附加的標(biāo)簽中查找untag number所指定的標(biāo)簽號，如果找到，則將其刪除。對于數(shù)據(jù)包上的其它標(biāo)簽號，則原封不動。
altq queue（譯注：交錯隊列， Alternate Queuing，參見PF文檔）
　　當(dāng)一個數(shù)據(jù)包匹配了一個帶有altq關(guān)鍵字的規(guī)則時，將被附加上一個指定隊列（見altq(4)）的ALTQ標(biāo)識符。注意，ALTQ標(biāo)簽只適用
于從
ipfw“向外出”的數(shù)據(jù)包，而不是被防火墻拒絕或者準(zhǔn)備到divert界面的數(shù)據(jù)包。還要注意的是，當(dāng)處理數(shù)據(jù)包的時候，如果沒有足夠內(nèi)存，那么數(shù)據(jù)包
將不會被打上標(biāo)簽，所以，一個明智的做法，是使你的“默認(rèn)”ALTQ隊列規(guī)則記錄下這種情況。如果有多個altq規(guī)則匹配于同一個數(shù)據(jù)包，那么只加上第一
條規(guī)則的ALTQ類別標(biāo)簽。那樣做的效果是：在規(guī)則集中靠前的altq隊列規(guī)則能起到流量整形的作用，而靠后的規(guī)則只達(dá)到過濾的效果。例如：把還有
ALTQ標(biāo)簽的、check-state和keep-state規(guī)則放到規(guī)則集的后部，有提供真正的包過濾的作用。
　　在IPFW使用altq的名字來檢查隊列之前，你必須用pfctl(8)工具來設(shè)置隊列。一旦重置ALTQ命令，那么包含隊列標(biāo)識符的規(guī)則將過期，需要被重新讀取才能生效。過期的隊列標(biāo)識符將會產(chǎn)生錯誤的分類。
　　所有的ALTQ系統(tǒng)進(jìn)程都可以被ipfw的enable altq和disable altq命令啟用或關(guān)閉。ALTQ流量整形有真實規(guī)則動作，永遠(yuǎn)附加在ALTQ標(biāo)簽之后，和net.inet.ip.fw.one_pass毫無關(guān)系。
RULE ACTIONS（規(guī)則動作）
　　一個規(guī)則可以和下面動作中的一個或多個相關(guān)聯(lián)，如果數(shù)據(jù)包匹配了規(guī)則體，那么這些動作將被執(zhí)行。
allow | accept | pass | permit    允許匹配規(guī)則的數(shù)據(jù)包通過，規(guī)則搜索中止。
check-state
　　將數(shù)據(jù)包和動態(tài)規(guī)則集里的規(guī)則進(jìn)行對照。如果找到，則執(zhí)行產(chǎn)生這條動態(tài)規(guī)則的那個規(guī)則相關(guān)聯(lián)的動作，如果沒找到，則進(jìn)行下一條規(guī)則。
check-
state沒有規(guī)則體。如果在規(guī)則集里沒有找到check-state，則在第一次出現(xiàn)keep-state或者limit規(guī)則時，檢查動態(tài)規(guī)則集。
count  　　　更新和本條規(guī)則相匹配的所有數(shù)據(jù)包的計數(shù)器。繼續(xù)進(jìn)行下一條搜索。
deny | drop 拋棄和本條規(guī)則相匹配的數(shù)據(jù)包。搜索中止。
divert port 把和本條規(guī)則相匹配的數(shù)據(jù)包轉(zhuǎn)向到divert(4)棧所綁定的端口。搜索中止。
　　fwd | forward ipaddr | tablearg[,port]
　　修改匹配數(shù)據(jù)包的下一跳地址，有可能是一個IP地址，也有可能是一個主機(jī)名。當(dāng)使用tablearg關(guān)鍵字時，下一跳地址可以不是一個明確的地址，它可以從最后的數(shù)據(jù)包檢查表中獲取。如果匹配本規(guī)則，搜索中止。
（譯注：tablearg是FreeBSD7.0的ipfw新增功能，它可以使查表的結(jié)果作為規(guī)則的一部分來使用，可以用來優(yōu)化一些規(guī)則集，或?qū)崿F(xiàn)基于策略的路由，在使用時，要配合table命令使用。）
　　如果指定的ipaddr是一個本地地址，所匹配數(shù)據(jù)包將被傳遞到本地機(jī)器的相應(yīng)端口（如果在規(guī)則中沒有指定端口，則是數(shù)據(jù)包中的端口號）。如果ipaddr不是一個本地地址，那么端口號（如果指定的話）將被忽略，數(shù)據(jù)包將會根據(jù)本機(jī)的路由表被轉(zhuǎn)發(fā)到遠(yuǎn)程地址。
　　一個fwd規(guī)則不會和一個二層的數(shù)據(jù)包（用ether_input,ether_output或者bridged接受）相匹配。fwd不會修改
數(shù)據(jù)包中的任何數(shù)據(jù)，特別是目的地址。所以，除非在目的系統(tǒng)中有相應(yīng)的規(guī)則接受這些數(shù)據(jù)包，否則，被轉(zhuǎn)發(fā)到目的系統(tǒng)的數(shù)據(jù)包將被拒絕。對于被轉(zhuǎn)發(fā)到本地的
數(shù)據(jù)包，將把本地地址作為它的原始目的地址。這將使netstat(1)看起來有些古怪，但是，對于透明代理服務(wù)器來說，卻是有用的。
　　要使用fwd，必須在內(nèi)核中使用IPFIREWALL_FORWARD選項，并重新編譯內(nèi)核。
nat nat_nr
         Pass packet to a nat instance (for network address translation,
         address redirect, etc.): see the NETWORK ADDRESS TRANSLATION
         (NAT) Section for further information.
　　將數(shù)據(jù)包傳送到一個nat界面（用來做地址轉(zhuǎn)換或地址重定向等）：詳細(xì)信息，請查看NETWORK ADDRESS TRANSLATION (NAT)一節(jié)。
pipe pipe_nr
　　將數(shù)據(jù)包傳送到一個dummynet(4)的“管道”（用來實現(xiàn)流量整形，延遲等）。詳細(xì)信息請查看TRAFFIC SHAPER
(DUMMYNET)
CONFIGURATION一節(jié)。如果匹配，則搜索中止。但是，在離開管道的時候，并且內(nèi)核變量net.inet.ip.fw.one_pass沒有設(shè)
置，數(shù)據(jù)包將被送回到防火墻的下一條規(guī)則。
queue queue_nr
　　將數(shù)據(jù)包傳送到一個dummynet(4)的“隊列”（用WF2Q+實現(xiàn)流量整形）
reject  (Deprecated).

　　不可到達(dá)的同義詞。
reset
　　丟掉和本規(guī)則相匹配的數(shù)據(jù)包，如果是一個TCP數(shù)據(jù)包，則發(fā)送一個重置(RST)消息。搜索中止。
reset6
　　丟掉和本規(guī)則相匹配的數(shù)據(jù)包，如果是一個TCP數(shù)據(jù)包，則發(fā)送一個重置(RST)消息。搜索中止。
skipto number
　　跳到指定的規(guī)則，忽略掉比指定規(guī)則號小的規(guī)則。搜索從指定的規(guī)則號繼續(xù)。
tee port
　　將相匹配的數(shù)據(jù)包復(fù)制一份到divert(4)所綁定的端口。搜索繼續(xù)。
unreach code
　　丟棄和本規(guī)則相匹配的包，并且嘗試發(fā)送一條編號為指定編號的不可到達(dá)的ICMP消息。編號范圍是0－255，或者使用下列別名之一：net,
host, protocol, port, needfrag, srcfail, net-unknown,host-unknown,
isolated,net-prohib, host-prohib, tosnet, toshost,
filter-prohib,host-precedence or　precedence-cutoff。搜索中止。
unreach6 code

　　丟棄和本規(guī)則相匹配的包，并且嘗試發(fā)送一條編號為指定編號的不可到達(dá)的ICMPv6消息。編號為0,1,3,4或者是下列別名之一：no-route, admin-prohib, address or port。搜索中止。
netgraph cookie
　　使用指定的cookie把數(shù)據(jù)包轉(zhuǎn)向到netgraph。搜索中止。如果稍后數(shù)據(jù)包眾netgraph返回，則受內(nèi)核變量net.inet.ip.fw.one_pass的影響，或者被接受，或者從下一條規(guī)則繼續(xù)。
ngtee cookie
　　將數(shù)據(jù)包復(fù)制一份，轉(zhuǎn)發(fā)到netgraph，原始的數(shù)據(jù)包則受net.inet.ip.fw.one_pass的影響，或者被接受，或者從下一條規(guī)則繼續(xù)。查看ng_ipfw(4)可以獲取更多關(guān)于netgraph和ngtee動作的信息。
RULE BODY（規(guī)則體）
　　規(guī)則體包括零個或多個匹配模式（比如指定源和目的的地址或端口，協(xié)議選項，進(jìn)入和流出的界面等。），這些匹配模式必須按順序?qū)?shù)據(jù)包進(jìn)行識別。
通常，匹配模式之間用一個隱含的“和”操作連接，比如：所有規(guī)則中的模型都必須去和數(shù)據(jù)包進(jìn)行匹配。單個的模型可以使用“not”操作符作為前綴，用來表
示相反的匹配結(jié)果，就象在下例中：
  ipfw add 100 allow ip from not 1.2.3.4 to any
　　特別的，當(dāng)用來表示二選一的“或”模型時，可以使用一對小括號“（）”或一對大括號“｛｝”括起來的“or”操作符，比如：
  ipfw add 100 allow ip from { x or not y or z } to any
　　只允許有一級小括號。特別提示：大多數(shù)shell中，小括號和大括號都有特殊的意義，所以，為了防止被shell誤解，強(qiáng)烈建議在小括號和大括號前加上反斜杠“\”。
　　規(guī)則體中，至少要包含一個源地址和目的地址的語句�！盿ny”關(guān)鍵字可以用在多種地方，用來表明源或目標(biāo)可以是任意的。
　　規(guī)則體的格式如下：
　　
  [proto from src to dst] [options]
　　第一個部分（proto from src to dst）用來和早期版本的FreeBSD相兼容。在新的FreeBSD版本中，所有的匹配模型（包括MAC頭，IP協(xié)議，地址和端口）都可以在options里指定。
　　各規(guī)則字段的含義如下：
  proto:  protocol | { protocol or ... }　　
  protocol：[not] protocol-name | protocol-number
　　　　
　　　　一個IP協(xié)議可以用序號或名稱（在/etc/protocols里可以查看完整的名稱列表），或者是下面的關(guān)鍵字之一：
　　　　
  　　ip4 | ipv4　　　　和IPv4數(shù)據(jù)包相匹配
  　　ip6 | ipv6       和IPv6數(shù)據(jù)包相匹配
  　　ip  | all       和所有數(shù)據(jù)包相匹配
  　　ipv6在proto選項中，將被作為內(nèi)部協(xié)議。并且，ipv4在prto選項中是不適用的。
　　　　{ protocol or … } 格式的“或”的功能只是方便使用，不提倡這種做法。
  src and dst: {addr | {addr or ... }} [[not] ports]
　　　　一個地址（或者一個列表，見后），可以使用ports修飾符。
　　　　第二種格式（用or連接起來的多個地址）只是方便使用，卻不提倡這種做法。
  addr: [not] {any | me | me6 | table(number[,value]) | addr-list |  addr-set}
                           any             匹配任意地址
                           me             匹配系統(tǒng)中所有設(shè)置的IP地址。
                           me6             匹配系統(tǒng)中所有設(shè)置的IPv6地址。地址列表是在分析數(shù)據(jù)包的時候才被列出的。

            table(number[,value])

                           如果一個數(shù)據(jù)包在表序號為number的表中存在相應(yīng)的條目，則匹配。如果指定了一個可選的32位無符號數(shù)value，則條目序號為value的數(shù)據(jù)包才被匹配。查看LOOKUP TABLES一節(jié)，可以獲取更多信息。
            addr-list: ip-addr[,addr-list]

                  ip-addr:　一個主機(jī)或者一段地址，可以采用下列格式：
                  numeric-ip | hostname
                           　
                           　匹配單個IPv4地址，可以采用點(diǎn)分四組格式或主機(jī)名。當(dāng)采用主機(jī)的時候，在添加規(guī)則的時候?qū)⒈唤馕鰹橄鄳?yīng)的IP。
                           addr/masklen

                           　匹配于指定的基地址addr（可以是單個IP地址、網(wǎng)絡(luò)地址或者是主機(jī)名）和掩碼位masklen。例如：1.2.3.4/25或1.2.3.0/25 匹配于從1.2.3.0到1.2.3.127的IP地址。
                           addr:mask

                           　匹配于指定的基地址addr（可以是單個地址、網(wǎng)絡(luò)地址或主機(jī)名）和指定的子網(wǎng)掩碼mask，用點(diǎn)分四組表示法。例如：1.2.3.4: 255.0.255.0或者1.0.3.0:255.0.255.0匹配于1.*.3.*。只建議在非連續(xù)的子網(wǎng)掩碼中使用這種格式，對于連續(xù)的子網(wǎng)掩碼，請使用addr/masklen格式，它的格式更緊湊，也不容易出錯。

                           �。ㄗg注：這個和反掩碼有此類似）
            addr-set: addr[/masklen]{list}

            　list:{num | num-num}[,list]
            　　
            　　匹配于基地址是addr（可以是IP地址、網(wǎng)絡(luò)地址或主機(jī)名），并且最后一個數(shù)字在｛�。斜碇械牡刂贰Ｕ堊⒁庠诖罄ㄌ柡蛿�(shù)字之間不能有空格（在逗號之后可以有空格）。大括號中的每個元素可以是單個的條目，也可以是一個范圍。masklen字段通常用來限制某一段地址的長度，取值范圍為24到32，默認(rèn)取24。
            　　這個對處理在某一個地址段內(nèi)多個分散的IP地址最有效，因為是用掩碼位來匹配，所以節(jié)省了時間，也顯著地降低了規(guī)則的復(fù)雜程序。
            　　一個例子：1.2.3.4/24{128,35-55,89}或者1.2.3.0/24{128,35-55,89}表示下列的IP地址：
            　　　　1.2.3.128, 1.2.3.35到1.2.3.55，1.2.3.89

            　　�。ㄗg注：由于很多shell中大括號有特殊意義，所以通常情況下，要在大括號前加上反斜杠“\”，表示轉(zhuǎn)義）

            addr6-list: ip6-addr[,addr6-list]

            ip6-addr: 一個主機(jī)或者一段地址，可以采用下列格式：

            　　numeric-ip | hostname　
            　　同單一的inet_pton(3)所允許的IP地址或主機(jī)名相匹配。主機(jī)名在添加規(guī)則時被解析為相應(yīng)的IP。
            　　addr/masklen
            　　匹配所有基地址是addr（可以是inet_pton允許的地址或主機(jī)名），并且掩碼位數(shù)是masklen的地址。

            　　沒有提供批量的IPv6地址，因為IPv6地址在前綴之后，是隨機(jī)的。（譯注：不是很懂）
   ports: {port | port-port}[,ports]
   　　
   　　對于支持端口的協(xié)議，可以指定一個可選的單個端口、多個端口、或者是一段端口，這些端口用逗號分開，并且不能有空格。還可以使用可選的not操作符�！�-”用來表示包括邊界在內(nèi)的一段范圍。

   　　可以使用服務(wù)名（見/etc/services）來代替端口號。端口號或端口范圍列表最大數(shù)目是30，如果想指定更多的端口，可以在options中使用or符號。

   　　如果服務(wù)名中存在減號“-”，可以在前面加上反斜杠來轉(zhuǎn)義。（在shell中，如果要使用反斜杠，則要用兩次，否則，shell將會把它作為轉(zhuǎn)義字符處理。），例如：

   　　　　　ipfw add count tcp from any ftp\\-date-ftp to any

   　　非零偏移量的分段的數(shù)據(jù)包（比如不是第一個段），不會匹配于任何帶端口號的規(guī)則。參見frag一節(jié)。



本文來自ChinaUnix博客，如果查看原文請點(diǎn)：http://blog.chinaunix.net/u3/94986/showart_1925151.html

歡迎光臨 Chinaunix (http://www.72891.cn/)