202.102.245.0/26 顯然內(nèi)部計(jì)算機(jī)的數(shù)量顯然要多于系統(tǒng)擁有的合法地址的數(shù)量,上例中內(nèi)部地址最多254個(gè),而合法的外部地址僅僅有62個(gè)。79 FreeBSD連載:設(shè)置和使用ipfilter( 二 )。" />

日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

79 FreeBSD連載:設(shè)置和使用ipfilter( 二 )

云知道


map fxp1 192.168.3.0/24 -> 202.102.245.0/26
顯然內(nèi)部計(jì)算機(jī)的數(shù)量顯然要多于系統(tǒng)擁有的合法地址的數(shù)量,上例中內(nèi)部地址最多254個(gè),而合法的外部地址僅僅有62個(gè),這樣如果向外連接的計(jì)算機(jī)一多,必然出現(xiàn)地址資源用光的問(wèn)題 。因此動(dòng)態(tài)分配IP一般和端口轉(zhuǎn)換結(jié)合起來(lái),以避免出現(xiàn)地址消耗完畢的問(wèn)題 。
map規(guī)則是用于轉(zhuǎn)換外出數(shù)據(jù)包的源地址,使得被轉(zhuǎn)換后的地址好象是從外部地址中發(fā)起的 。而另一個(gè)規(guī)則rdr用于轉(zhuǎn)換數(shù)據(jù)包中的目的地址,這樣就能使得一個(gè)數(shù)據(jù)包被轉(zhuǎn)發(fā)到某個(gè)特定計(jì)算機(jī)上進(jìn)行處理,這可用于構(gòu)建端口映射關(guān)系 。
rdr fxp1 202.102.245.60 port ftp -> 192.168.3.2 port ftp
上面的規(guī)則將指定ipfilter在fxp1網(wǎng)絡(luò)界面上將發(fā)送給202.102.245.60,端口為ftp的數(shù)據(jù)包,轉(zhuǎn)換為發(fā)送給內(nèi)部地址192.168.3.2 。
rdr的另一個(gè)重要用途是可以用以構(gòu)建透明的代理服務(wù)器,普通代理服務(wù)器都需要在客戶機(jī)上進(jìn)行設(shè)置,如果不進(jìn)行設(shè)置,客戶機(jī)將直接訪問(wèn)Internet上的計(jì)算機(jī)而不通過(guò)代理服務(wù)器,然而防火墻可以將這些應(yīng)用請(qǐng)求轉(zhuǎn)發(fā)給代理服務(wù)器,完成代理工作 。此時(shí)對(duì)外界發(fā)送請(qǐng)求是在內(nèi)部網(wǎng)絡(luò)界面fxp0上發(fā)起的,因此也要在這里進(jìn)行地址轉(zhuǎn)換,而使用0.0.0.0/0代表對(duì)所有目的地址,并且是80端口的瀏覽請(qǐng)求都轉(zhuǎn)發(fā)到127.0.0.1上去,而127.0.0.1必須運(yùn)行代理服務(wù)器軟件,以提供代理服務(wù) 。
rdr fxp0 0.0.0.0/0 port 80 -> 127.0.0.1 port 80
雖然不是所有的應(yīng)用代理服務(wù)都能使用透明代理的方法來(lái)減輕客戶設(shè)置的負(fù)擔(dān),但絕大多數(shù)代理完全可以使用這種方法,使得客戶不需要修改軟件設(shè)置,就能利用代理服務(wù)器,而代理服務(wù)器具備大量的緩沖區(qū),能夠節(jié)約內(nèi)部網(wǎng)絡(luò)的Internet訪問(wèn)流量并加速Internet訪問(wèn)速度 。
因此,一個(gè)簡(jiǎn)單的不支持透明代理服務(wù)器的設(shè)置文件ipnat.conf例子為:
map fxp1 192.168.3.0/24 -> 202.102.245.0/26 portmap tcp/udp 10000:65000map fxp1 192.168.3.0/24 -> 202.102.245.0/26rdr fxp1 202.102.245.60 port ftp -> 192.168.3.2 port ftp在這樣的設(shè)置下,tcp和udp在地址資源消耗完畢之后將進(jìn)行端口轉(zhuǎn)換,而其他協(xié)議,如icmp,將直接進(jìn)行地址轉(zhuǎn)換而不必進(jìn)行端口轉(zhuǎn)換 。此后就可以將這個(gè)轉(zhuǎn)換規(guī)則加入系統(tǒng)中,需要執(zhí)行ipnat命令:
# ipnat -C# ipnat -f /etc/ipnat.conf當(dāng)前使用-C參數(shù)用于清除現(xiàn)有的轉(zhuǎn)換規(guī)則,-f用于從配置文件中讀取轉(zhuǎn)換規(guī)則 。設(shè)置了轉(zhuǎn)換規(guī)則之后,就可以使用-l參數(shù)查看當(dāng)前設(shè)置的轉(zhuǎn)換規(guī)則和已經(jīng)激活的轉(zhuǎn)換關(guān)系 。
# ipnat -lList of active MAP/Redirect filters:map fxp1 192.168.3.0/24-> 202.102.245.0/26portmap tcp/udp 10000:65000map fxp1 192.168.3.0/24-> 202.102.245.0/26 rdr fxp1 202.102.245.60/32 port 21 -> 192.168.3.2 port 21 tcpList of active sessions:RDR 192.168.3.221<- -> 202.102.245.6021[202.102.245.25 35635] 863992 0 407MAP 192.168.3.21024<- -> 202.102.245.6010000 [202.102.245.25 9999] 863993 0 1f09設(shè)置包過(guò)濾
ipfilter也能很好的完成包過(guò)濾任務(wù),它的過(guò)濾規(guī)則相當(dāng)復(fù)雜 。下面為一些簡(jiǎn)單的過(guò)濾設(shè)置例子,一般這些過(guò)濾規(guī)則可以保存在/etc/ipf.conf文件中 。
block in log quick all with shortblock in log quick all with ipoptsblock參數(shù)用于屏蔽符合過(guò)濾條件的數(shù)據(jù)包,in代表數(shù)據(jù)包的方向,標(biāo)識(shí)從網(wǎng)絡(luò)上或其他網(wǎng)絡(luò)界面上發(fā)送到某個(gè)網(wǎng)絡(luò)界面上的數(shù)據(jù)包,log用于指出該規(guī)則過(guò)濾的數(shù)據(jù)包應(yīng)被記錄下來(lái),quick指示ipfilter進(jìn)行快速過(guò)濾處理,符合這個(gè)規(guī)則的數(shù)據(jù)包將立即丟棄,all with short標(biāo)識(shí)不完整的IP數(shù)據(jù)包,數(shù)據(jù)包的長(zhǎng)度太小就沒(méi)有包含合法的源地址或目標(biāo)地址,從而無(wú)法被ipfilter識(shí)別,all with ipopts標(biāo)志本身帶有路由數(shù)據(jù)的IP數(shù)據(jù)包,這些IP數(shù)據(jù)包由于包含自己的路由信息,因此可能會(huì)帶來(lái)網(wǎng)絡(luò)安全問(wèn)題 。

推薦閱讀