使用FreeBSD构建NAT及防火墙

1、修订内核
　　使用FreeBSD系统构建NAT及防火墙，首先要对内核进行修订。默认配置下安装的内核是GENERIC，为了达到最大的通用性内置了许多设备驱动的支持，也没有加入对NAT和防火墙的支持。作为服务器使用的系统应该尽量紧凑，在完成必要功能的同时，减少对硬件资源的占用，最大限度地提高服务效率。因此，需要修订内核配置文件：准确指定CPU和总线类型，只保留必要的设备驱动，删除对无关设备的支持，如CDROM、SCSI控制器等，同时要将NAT和防火墙的功能配置进内核。
　　以root身份登录，进行如下操作：
　　# cd /usr/src/sys/i386/conf
　　# cp GENERIC /root/MYKERNEL
　　# ln –s /root/MYKERNEL
　　# vi MYKERNEL
　　编辑MYKERNEL配置文件，加入如下4行内容：
　　options IPFIREWALL
　　options IPDIVERT
　　options IPFIREWALL_DEFAULT_TO_ACCEPT
　　options IPFIREWALL_VERBOSE
　　编译并启用新的内核：
　　# cd /usr/src
　　# make buildkernel KERNCONF=MYKERNEL
　　# make installkernel KERNCONF=MYKERNEL
　　# reboot

或者:
      cp GENERIC ./TEST
     vi TEST
      options IPFIREWALL
　　options IPDIVERT
　　options IPFIREWALL_DEFAULT_TO_ACCEPT
　　options IPFIREWALL_VERBOSE
编译:/usr/sbin/config TEST
      cd ../compile/TEST
     make depend ;make;make install
2、功能配置
　　本实例的网络拓扑如图1所示，FreeBSD具有两个网络接口：rl0和rl1，rl0接入内部网络，rl1接入Internet并分配有一固定公网IP。
图1 网络拓扑

　　内核中已加入对NAT和防火墙的支持，还需要通过/etc/rc.conf文件的配置使得系统启动时自动启用他们。将如下6行内容添加进/etc/rc.conf文件：
gateway_enable="YES"
firewall_enable="YES"
firewall_type="OPEN"
natd_enable="YES"
natd_interface="rl1"
natd_flags=""
　　使用reboot命令重新启动服务器后，FreeBSD系统就具备了基本的NAT和防火墙功能。
　　三、传入Internet连接及服务器安全配置
　　1、传入Internet连接
　　传入Internet用户对内网服务器的访问就是向Internet发布内网中的服务，这需要对FreeBSD的natd服务进行配置。
　　首先要将/etc/rc.conf文件中的原：
natd_flags=""
更改为：
natd_flags="-f /etc/natd.conf"
亦即让natd服务使用/etc/natd.conf文件作为配置文件。
　　接着根据图1中要发布内网中WWW和FTP服务器的需要，编辑/etc/natd.conf文件，其内容如下：

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有