关于ipfw.rules,想添加118.118.. 后面2个*是随机,怎么添加呢?
试试这个:118.118.0.0/16
规则集是一组根据包中选择的数值使用 allow 或 deny 写出的 ipfw 规则。在两个主机之前的双向包交换组成了一次会
话交互。 防火墙规则集, 会对同一个包处理两次:第一次是包从公网上到达防火墙时, 而第二次则是包返回 Internet
公网上的主机时。 每一个 TCP/IP 服务 (例如 telnet, www, mail, 等等), 都有事先定义好的协议, 以及一个端口号。
这可以作为建立允许或阻止规则时的基本选择依据。当有数据包进入防火墙时, 会从规则集里的第一个规则开始进行比较,
并自顶向下地进行匹配。 当包与某个选择规则参数相匹配时, 将会执行规则所定义的动作,并停止规则集搜索。 这种策
略, 通常也被称作 “最先匹配者获胜” 的搜索方法。如果没有任何与包相匹配的规则, 那么它就会根据强制的 ipfw默
认规则, 也就是 65535 号规则截获。 一般情况下这个规则是阻止包, 而且不给出任何回应。
注意: 如果规则定义的动作是 count、 skipto 或 tee 规则的话, 搜索会继续。这里所介绍的规则, 都是使用了那些包
含状态功能的, 也就是 'keep state'、 'limit'、 'in'/'out'、 或者 'via' 选项的规则。 这是编写包容式防火
墙规则集所需的基本框架。包容式防火墙只允许与规则匹配的包通过。 这样,您就既能够控制来自防火墙后面的机器
请求 Internet 公网上的那些服务, 同时也可以控制来自 Internet 的请求能够访问内部网上的哪些服务。 所有其它
的访问请求都会被阻止, 并记录下来。包容式防火墙一般而言要远比排斥式的要安全, 而且也只需要定义允许哪些访
问通过。
警告: 在操作防火墙规则时应谨慎行事, 如果操作不当,有可能将自己反锁在外面。
$cmd allow all from any to any via lo0
$cmd deny all from any to 127.0.0.0/8
$cmd deny all from 127.0.0.0/8 to any
$cmd deny tcp from any to any frag
deny all from 118.118.0.0/8 to any