中國Linux論壇 FreeBSD世界版主。用ipfilter實現(xiàn)透明代理。" />

日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

用ipfilter實現(xiàn)透明代理

云知道

本人(作者)屬新手上路, 才學習了沒幾天, 剛剛配好了一臺代理服務(wù)器, 對于高手來講實在是小菜一碟, 本沒有什么可以值得炫耀的. 應(yīng) >中國Linux論壇 FreeBSD世界版主 href="mailto:yjs@oldhand.org">r00t 的要求, 對配置過程做了一個記錄, 不免貽笑大方.
文中如有什么錯誤, 請與作者
聯(lián)系. 本文著重介紹配置透明代理, 基本不涉及網(wǎng)絡(luò)服務(wù)器, 含dns, web, email的配置, 這些服務(wù)器對于防火墻的要求, 請參照其它介紹.



采用本文內(nèi)容, 如果造成任何損失, 作者概不負責.



Reference:


IP Filter Based Firewalls HOWTO [ target=_blank>PDF
| target=_blank>HTML ] (本文中簡稱 HOWTO)

target=_blank>Quick CableNet Connections with FreeBSD - By, Leon



系統(tǒng)構(gòu)成


Gateway:


系統(tǒng)安裝FreeBSD 4.5. PENTIUM-S 100, 80M內(nèi)存, 4G硬盤. 安裝雙網(wǎng)卡.





Dlink DFE5000TX一塊古老的網(wǎng)卡, 老得Windows 98都需要廠家的驅(qū)動, Windows 2000廠家都不提供驅(qū)動了, 不過BSD/Linux還都支持這塊網(wǎng)卡, FreeBSD中為dc0. 該網(wǎng)卡連接內(nèi)部網(wǎng)絡(luò).

Dlink DFE530TX, FreeBSD中為vr0. 該網(wǎng)卡連接 ADSL Modem.


網(wǎng)內(nèi)客戶機


本文中有時稱為ClIEnt, 安裝Windows XP



網(wǎng)絡(luò)結(jié)構(gòu)


Gateway dc0分配地址192.168.0.1/24, 通過HUB連接內(nèi)網(wǎng)Windows XP客戶機
192.168.0.4/24, vr0連接ADSL Modem, 通過pppoe撥號上網(wǎng).采用動態(tài)地址.



本文假定Gateway 的 pppoe和DNS已經(jīng)正常工作, 有關(guān)這方面的介紹, 請參照其它文章.



Gateway設(shè)置


編譯內(nèi)核




cd /usr/src/sys/i386/conf

cp GENERIC KERNEL1

vi KERNEL1






修改該內(nèi)核配置文件, 增加如下配置









options IPFILTER
# ipfilter support


options IPFILTER_LOG
# ipmon( log support


options IPFILTER_DEFAULT_BLOCK
# block all packets by default


options RANDOM_IP_ID
# RANDOM_IP_ID causes the ID field in IP packets to be
randomized



# instead of incremented by 1 with each packet generated.


options BRIDGE



options ICMP_BANDLIM
# Rate limit bad replies






#options TCP_DROP_SYNFIN
# drop TCP packets with SYN FIN



# 該參數(shù)可以提高系統(tǒng)的安全性,但在作web server時不建議使用,詳見LINT





取消內(nèi)核中所有與IPFIREWALL有關(guān)的配置









# options IPFIREWALL
# firewall


# options IPFIREWALL_VERBOSE
# enable logging to syslogd(


# options IPFIREWALL_FORWARD
# enable transparent proxy support


# options IPFIREWALL_VERBOSE_LIMIT=100
# limit verbosity


# options IPFIREWALL_DEFAULT_TO_ACCEPT
# allow everything by default






# options DUMMYNET






調(diào)整網(wǎng)絡(luò)參數(shù)





options NMBCLUSTERS=32768



系統(tǒng)安裝時該參數(shù)很小, 會影響網(wǎng)絡(luò)的性能. 這個數(shù)值只是我簡單的配置, 做服務(wù)器可能要更大. 具體說明詳見 target=_blank>FreeBSD HandBook "http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/configtuning-kernel-limits.html" target=_blank>6.10.2 Network Limits





標示該內(nèi)核





ident KERNEL1





編譯內(nèi)核





cd /usr/src

make buildkernel KERNCONF=KERNEL1

make installkernel KERNCONF=KERNEL1

(這兩個命令可以合并為 make kernel KERNCONF=KERNEL1)





修改配置文件


/etc/rc.conf


刪除該文件中有關(guān)ipfw的配置, 或者將

推薦閱讀