FreeBSD设置和使用ipfilter(3)

map规则是用于转换外出数据包的源地址，使得被转换后的地址好象是从外部地址中发起的。而另一个规则rdr 用于转换数据包中的目的地址，这样就能使得一个数据包被转发到某个特定计算机上进行处理，这可用于构建端口映射关系。
　　rdr fxp1 202.102.245.60 port ftp -> 192.168.3.2 port ftp
　　上面的规则将指定ipfilter在fxp1网络界面上将发送给202.102.245.60，端口为ftp 的数据包，转换为发送给内部地址192.168.3.2。
　　rdr的另一个重要用途是可以用以构建透明的代理服务器，普通代理服务器都需要在客户机上进行设置，如果不进行设置，客户机将直接访问Internet上的计算机而不通过代理服务器，然而防火墙可以将这些应用请求转发给代理服务器，完成代理工作。此时对外界发送请求是在内部网络界面fxp0上发起的，因此也要在这里进行地址转换，而使用0.0.0.0/0 代表对所有目的地址，并且是80端口的浏览请求都转发到127.0.0.1上去，而127.0.0.1 必须运行代理服务器软件，以提供代理服务。
　　rdr fxp0 0.0.0.0/0 port 80 -> 127.0.0.1 port 80
　　虽然不是所有的应用代理服务都能使用透明代理的方法来减轻客户设置的负担，但绝大多数代理完全可以使用这种方法，使得客户不需要修改软件设置，就能利用代理服务器，而代理服务器具备大量的缓冲区，能够节约内部网络的Internet 访问流量并加速Internet访问速度。
　　因此，一个简单的不支持透明代理服务器的设置文件ipnat.conf例子为：
map fxp1 192.168.3.0/24 -> 202.102.245.0/26 portmap tcp/udp 10000:65000
map fxp1 192.168.3.0/24 -> 202.102.245.0/26
rdr fxp1 202.102.245.60 port ftp -> 192.168.3.2 port ftp
　　在这样的设置下，tcp和udp在地址资源消耗完毕之后将进行端口转换，而其他协议，如icmp，将直接进行地址转换而不必进行端口转换。此后就可以将这个转换规则加入系统中，需要执行ipnat命令：


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/66172/showart_545629.html

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有