小规模DDoS用Freebsd+IPFW搞定（2）

三、编译系统内核

由于Freebsd和Linux一样，都是公开源代码的操作系统，不像Windows那样代码是封装了的，出了问题我们只能猜测，或者咨询微软公司;由于Freebsd系统内核在不断升级，我们为了使用新版本中的功能，或者定制一个更高效、更稳定的系统，通常需要编译系统内核。

当然，我们在这里编译内核，是为了能得到一个更高效的系统，而不是使用新版本的功能;

在编译的过程中，可能会提示一些错误，为了尽可能减少错误提示，我们已将配置文件缩减到了最少，如果再出现什么错误提示，请仔细检查是否有输入错误等细小问题。

Step1：编译所需的命令

在命令行上执行如下命令：

#/usr/sbin/config kernel_IPFW

执行结束后会出现如下提示：Kernel build directory is 。./compile/kernel_IPFW Don`t forget to do a make depend`

#cd 。./compile/kernel_IPFW

在这个地方注意一下，Freebsd 4.X版本是。./。./compile/kernel_IPFW，但Freebsd 5.0版本却是。./compile/kernel_IPFW。

#make

#make install

Step2：开始编译内核

根据系统性能差异，时间也有不同，普通双P4 XEON 1GB内存的服务器大约5分钟左右即可完成。

四、加载启动项

编译完成了，我们要让系统自动启动IPFW并记录日志，需要进行如下操作：

Step1：编辑器编辑/etc/rc.conf

加入如下参数：

firewall_enable=`YES`

激活Firewall防火墙

firewall_script=`/etc/rc.firewall`

Firewall防火墙的默认脚本

firewall_type=`/etc/ipfw.conf`

Firewall自定义脚本

firewall_quiet=`NO`

启用脚本时，是否显示规则信息;假如你的防火墙脚本已经不会再有修改，那么就可以把这里设置成“YES”了。

firewall_logging_enable=`YES`

启用Firewall的Log记录

Step2：编辑/etc/syslog.conf文件

在文件最后加入如下内容：

！ipfw

*.* /var/log/ipfw.log

这行的作用是将IPFW的日志写到/var/log/ipfw.log文件里，当然，你也可以为日志文件指定其他目录。

以上步骤完成后重启电脑。

五、使用并保存规则

完成后，你就会发现你能用SSH登录你的远程服务器了。

Step1：测试

刚登录的时候你不会发现你的系统发生了什么变化，但你可以试试以下这个命令：#ipfw show，将输出以下结果：65535 322 43115 allow ip from any to any。它告诉我们，IPFW已经成功启用，而且允许任何的连接。

Step2：使用

在命令提示符下输入如下命令：#ipfw add 10001 deny all from 218.249.20.135 to any。

拒绝来自218.249.20.135的任何服务，执行完成后，你就会发现来自IP218.249.20.135的所有服务都会被拒绝。

Step3：保存

把这句代码加在/etc/rc.firewall文件里：ipfw add 10001 deny all from 218.249.20.135 to any，运行如下这个命令：#sh /etc/rc.firew

all

表示保存到rc.firewall里面时，不需要前面的#号，然后重新载入IPFW规则。

或者重启一次你的系统，你的IPFW就生效了，只要你不手动解除，来自218.249.20.135的所有信息全部都会被拒绝。