FreeBSD设置和使用ipfilter(2)

使用新内核启动系统之后，如果本地计算机的网络功能正常，此时再使用ipfw就会报告错误。这就能使用ipfilter 来设置包过滤和网络地址转换了。

• 设置地址转换

　　为了在ipfilter下设置网络地址转换，首先要创建一个地址转换设置文件，例如/etc/ipflter .nat。与ipfw/natd的相似，最基本的用法为使用一个外部地址来转换所有内部地址，此时必须进行端口转换，因此ipfilter.nat中应该包含的NAT规则为：
　　map fxp1 192.168.3.0/24 -> 202.102.245.60/32 portmap tcp/udp 10000:65000
　　这个设置中，首先使用map关键字指明是进行地址转换的设置，此后的fxp1为连接外部网络的网络界面，在这个网络界面上执行数据包的IP地址和端口地址转换，第三个参数为进行转换的内部地址的范围，此后跟随的一个-> 符号表示进行地址转换，第五个参数为要转换为的外部地址，当指定子网掩码长度为32时就表示这只是一个主机而非子网范围，后面portmap关键字对tcp/udp协议进行端口转换，其使用的映射端口范围为在10000到65000之间，也可以对tcp或udp协议分别指定转换端口的范围。
　　如果使用者拥有的不仅是一个主机，而是一个具备多个合法IP地址的子网，这样就能设置使用地址池，为内部向外连接的计算机动态分配合法的外部IP地址，这样的设置更为简单，因为不需要指定portmap进行地址转换。
　　map fxp1 192.168.3.0/24 -> 202.102.245.0/26
　　显然内部计算机的数量显然要多于系统拥有的合法地址的数量，上例中内部地址最多254个，而合法的外部地址仅仅有62个，这样如果向外连接的计算机一多，必然出现地址资源用光的问题。因此动态分配IP一般和端口转换结合起来，以避免出现地址消耗完毕的问题。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/66172/showart_545627.html

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有