设为首页
加入收藏
联系站长
今天是:  | 网站首页 | 软件路由器 | 无盘技术 | 网络学院 | 下载中心 | 技术论坛 | cisco | 
您现在的位置: 中国路由网 >> 软件路由器 >> 基于Linux软路由 >> 正文 用户登录 新用户注册
GNU/Linux和FreeBSD上的NAT网关安装笔记         ★★★★★
 
GNU/Linux和FreeBSD上的NAT网关安装笔记
作者:车东 文章来源:chedong.com 点击数: 更新时间:2005-5-14 15:15:02

版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本声明
http://www.chedong.com/tech/nat.html

关键词:nat gateway iptables ipfirewall

内容摘要:FreeBSD和RedHat上最简化的NAT网关安装备忘

      !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
      !!!绝对不要远程调试防火墙配置!!!
      !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

      硬件需求:
          双网卡
          内存 > 64M
          硬盘 > 1G

      注:
      NAT网关本身效率都很高,所以即使在配置很低的机器上运行效率也是足够的(仍建议尽可能多的增加内存 > 256M),
      如果需要记录日志做分析,则会产生很大的I/O操作并占用大量硬盘空间,建议使用SCSI硬盘并做日志轮循。

      假设2块网卡分别按照以下网段设置:
      内网网卡IP地址:192.168.0.1/255.255.255.0       本身为网关
      外网网卡IP地址:111.222.111.222/255.255.255.192 网关:111.222.111.1

      安全策略:
      • 作为网关,安全性非常重要,建议除了远程登录用的SSH外,尽可能多的停掉所有不相关服务。
      • 本安装文档只是最简单的配置,没有任何安全过滤规则,更多安全过滤规则需要根据实际情况补充。

      FreeBSD 4.7上用IPFIREWALL做NAT网关

      安装FreeBSD系统时包含开发平台(gcc工具等),因为内核缺省不支持地址转发和防火墙,所以需要重新编译内核。

      内核编译
      ========
      由于内核缺省不支持地址转发和防火墙,所以需要重新编译内核:
      #cd /usr/src/sys/i386/conf/
      #cp GENERIC GATEWAY
      #vi GATEWAY

      修改后的内核配置:修改了名称和增加了IPFIREWALL的相关选项:
      #diff GATEWAY GENERIC
      25c25
      < ident         GATEWAY
      ---
      > ident         GENERIC
      62,64d61 加入IPFIREWALL选项
      < options IPFIREWALL
      < options IPFIREWALL_VERBOSE
      < options IPDIVERT

      重新编译:大约需要30分钟左右
      #/usr/sbin/config GATEWAY
      #cd ../../compile/GATEWAY/
      #make depend; make; make install

      重启机器一次,确认新的KERNEL正常启动。

      修改rc.conf中的相关配置:假设内网使用网卡fxp0,外网网卡使用xl0
      ###############################################
      gateway_enable="YES"

      ifconfig_fxp0="inet 192.168.0.1  netmask 255.255.255.0"
      ifconfig_xl0="inet 111.222.111.222  netmask 255.255.255.0"
      defaultrouter="111.222.111.1"

      natd_enable="YES"
      natd_interface="xl0"

      firewall_enable="YES"
      firewall_type="open"
      ###############################################

      防火墙过滤规则设置
      ==================
      ipfw的规则是通过运行/etc/rc.firewall这个脚本生效的,rc.firewall脚本会检查rc.conf中firewall_type等配置,然后根据firewall_type定义的模式"open" "client" "simple"等切换到rc.firewall中相应部分执行。

      一个安全的防火墙本身是一个非常复杂的策略。为了方便配置,可以以rc.firewall文件为基础,在各种缺省模式的基础上加入自己的规则。缺省最简单的防火墙配置是在rc.conf里设置使用"open"模式,

      注意:修改rc.firewall配置建议从最简单的"open"模式开始,而且让修改生效前,一定将旧的成功运行的配置文件备份成rc.firewall.bak,便于以后的错误后恢复,如果防火墙配置错误可能导致远程无法登陆,因此修改防火墙配置一定要在服务器终端界面进行。

      日志记录
      ========
      文件系统优化: 使用异步文件系统提高性能async
      vi /etc/fstab
      /dev/da0s1f             /tmp            ufs     rw,async        2       2
      /dev/da0s1g             /usr            ufs     rw,async        2   &nbs

      [1] [2] [3] 下一页

       
      文章录入:dnbm    责任编辑:dnbm 
    1. 上一篇文章:

    2. 下一篇文章:
      3. 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口

      www.Router.net.cn 中国最大的软件路由技术网、全球有影响力的软路由技术站
      中国路由网 软路由 软件路由 网吧路由 策略路由 软件路由器 中国路由论坛
      本站创建于2005年1月26日 备案号: 桂ICP备05002515号       桂ICP备07002761号
      支持RouterOS正版,反对使用RouterOS破解(To trike RouterOS Crack)的行为
      《中国路由网》www.Router.Com.cn 版权所有 E-mail:gx18588[at]126.com