利用FreeBSD建立带流量控制的企业网关

作者：刘宏光(iceblood)
日期：2005-8-18
Email：
iceblood@163.com
主页：
http://www.nettf.net/
2002年3月我写过一篇《利用FreeBSD组建安全的网关》，在当时由于FreeBSD才出到4.5，所以现在看来文章已经过时，虽然有很多朋友还是照那篇文章做，但由于FreeBSD版本跨越太大，所以导致的错误也非常多，于是今天再次写下这篇文章，完善以前的，以及增加了一些新的功能。
现在FreeBSD主要有三个版本：FreeBSD 4.x、FreeBSD 5.x、FreeBSD 6.x，主要用来投入生产的为4.x和5.x，6.x在我写这篇文章的时候还是6.0-BETA2，但为了让我的这篇文章适应性更强，所以我这里的内容都在5.x和6.x下经过测试，我相信如果没有特别大的改动的话，本文的内容的适用性应该能一直持续到6.x这个分支发展完成。
从FreeBSD 5.3开始，系统就有了三种防火墙让大家选择，分别是：IPFIREWALL（第二代版本，不适应于4.x早期版本）、IPFILTER、Packet Filter这三种防火墙。IPFIREWALL是FreeBSD开发团队为FreeBSD制定的，IPFILTER是引入的一个专门的包过滤防火墙，至于Packet Filter（以后简称PF）是FreeBSD 5.3开始从OpenBSD引入进来的。我以前的文章研究的内容以IPFIREWALL为主，随着时间的推移，我也转变到了IPFILTER。至于PF为刚刚引入，其效率目前来说我无法评价，所以建议大家可以缓缓，不用太超前，毕竟PF不是FreeBSD自己的东西，而又刚刚引入进来。
要实现本文你的硬件必须为I386类型的CPU，同时你的网卡必须为两块以上，如果你的条件一定达到，就可以开始了。首先需要安装FreeBSD系统，安装过程这里不是我的讨论范围，但有一个必要的提醒，就是安装的时候记得把KERNEL SOURCE带上（如果你已经懂得使用cvsup，请根据你自己的习惯做），否则你无法进行后面的工作。安装完FreeBSD以后，就可以正式开始防火墙的建设了。
使用root用户登陆进入系统，然后：
cd /usr/src/sys/i386/conf        #进入内核配置目录
cp GENERIC IPF_IPFW        #把标准内核配置文件复制为一个新的文件名
ee IPF_IPFW        #开始编辑内核配置文件
在配置文件最后面加上如下设置：
options         IPFILTER        #内核启动IPFilter防火墙
options         IPFILTER_LOG        #内核启动IPFilter日志
options         IPFILTER_DEFAULT_BLOCK        #设置默认为拒绝所有包
options         IPFIREWALL        #内核启动IPFirewall防火墙
options         IPFIREWALL_DEFAULT_TO_ACCEPT        #设置IPFirewall防火墙默认允许所有包
options         DUMMYNET        #启动IPFirewall的带宽限制
看到这里相信有很多人有疑问：

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有