我有一个问题,通过我的PHP脚本使用fsockopen , file_get_contents等函数加载https网站(谷歌,脸谱,亚马逊)。 操作正在超时。 所以我开始浏览我的系统设置,注意到当ipfw服务被停止时,它就像一个魅力。
所以这是一个与我的IPFWconfiguration明确相关的问题。 我已经启用了日志logging,并在尝试执行PHP脚本时在日志文件中popup:
ipfw: 1000 Deny ICMPv6:1.3 [2001:...:...:...::] [2001:...:2:...::] in via em0 ipfw: 1000 Deny ICMPv6:131.0 [...::...:...:...:...] [...::1:...:0] in via em0 ipfw: 1000 Deny ICMPv6:136.0 [2001:...:...:...:ff:ff:ff:ff] [...:...:2:...::] in via em0
看起来像IPv6的问题,但是,我allow all保持在我的ipfw文件的状态类连接。
这是我目前使用的configuration:
#!/usr/local/bin/bash IPF="/sbin/ipfw -q add" /sbin/ipfw -q -f flush $IPF 10 allow all from any to any via lo0 $IPF 11 deny all from any to 127.0.0.0/8 $IPF 12 deny all from 127.0.0.0/8 to any $IPF 13 deny tcp from any to any frag $IPF 250 check-state $IPF 260 allow tcp from any to any established $IPF 270 allow all from any to any out keep-state $IPF 280 allow icmp from any to any $IPF 290 allow log tcp from 127.0.0.1/32 to 127.0.0.1/32 3306 in $IPF 350 allow udp from any to any 53 in $IPF 351 allow tcp from any to any 53 out $IPF 352 allow tcp from any to any 80 in $IPF 353 allow tcp from any to any 80 out $IPF 361 allow tcp from any to any 443 in $IPF 362 allow tcp from any to any 443 out $IPF 363 allow tcp from any to any 22 in $IPF 364 allow tcp from any to any 22 out $IPF 1000 deny log all from any to any
另外:升级到FreeBSD 10.3(9.2之前)后,我开始出现这个问题。
问题是什么?
我不使用IPv6,但是我从/etc/rc.firewall和/etc/protocols注意到,ICMP具有不同的ipv6-icmp IPv6符号名称。 如果您需要传递IPv6 ICMP数据包,则可能需要添加新的规则:
allow ipv6-icmp ...
我不明白你现有的规则,你可能已经分开out规则进行诊断,但是:
allow tcp from any to any xxx in allow tcp from any to any xxx out
类似(如果不等于):
allow tcp from any to any xxx
而且,你所有的外线规则无论如何都被规则270所占据。
如果您的服务器需要使用名称服务,则缺less允许远程DNS服务器通过UDP进行响应的规则:
allow udp from any 53 to any