日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

用FreeBSD5.3建立安全網(wǎng)關(guān),ADSL+FreeBSD+ipfilter+ipnat

云知道

最近由于病毒肆虐,遂打算換掉原來的Windows 2000 server 網(wǎng)關(guān),由于本人曾使用過FreeBSD,感覺這個系統(tǒng)還可以—曾用其作服務(wù)器,連續(xù)運行幾個月都沒有出過問題,所以打算用FreeBSD來做安全網(wǎng)關(guān) 。
在網(wǎng)上查閱了一些資料,花了半天的時間,將基于FreeBSD的網(wǎng)關(guān)搞定:
現(xiàn)分享如下:
一網(wǎng)絡(luò)環(huán)境:
通過1M ADSL上網(wǎng),動態(tài)IP,不向外提供服務(wù) 。內(nèi)部有幾十臺電腦,要共享上網(wǎng) 。FreeBSD5.3,兩塊網(wǎng)卡,8139( rl0 ),對外,同ADSL貓相連,530tx( vr0 ),對內(nèi),同交換機相連 。
二系統(tǒng)安裝:
至于系統(tǒng)的安裝網(wǎng)上有很多資料,在此不細(xì)說 。
詳情請看 http://www.xyinfo.ha.cn/netschool/freebsd/index.htm
三編譯內(nèi)核:
加上ipfilter支持,去掉系統(tǒng)默認(rèn)的 ipfirewall 。
#cd /usr/src/sys/i386/conf
#cp GENERIC DAFEI
#ee DAFEI
修改這一行,紅色的部分要和該文件名相同 。
ident DAFEI
在末尾加入一下幾行:
#禁用ipfirewall 。
#options IPFIREWALL
#options IPFIREWALL_VERBOSE
#options IPFIREWALL_VERBOSE_LIMIT=90
#options IPFIREWALL_DEFAULT_TO_ACCEPT
#options IPDIVERT
#支持ipfilter
options BRIDGE
options IPFILTER
options ACCEPT_FILTER_DATA
options ACCEPT_FILTER_HTTP
由于ipfirewall和ipfilter都運行在內(nèi)核,二者不能同時共存,所以必須注釋掉ipfirewall,其他內(nèi)核優(yōu)化選項這里就不細(xì)說了 。
編譯內(nèi)核:
#cd /usr/src
#make kernel KERNCONF=DAFEI
編譯成功后要重新啟動計算機 。
四 配置撥號上網(wǎng):
修改ppp.conf文件
#cd /etc/ppp
#cp ppp.conf cpp.conf.bak
#ee ppp.conf
修改如下:
default:
set log Phase Chat LCP IPCP CCP tun command
ident user-ppp VERSION (built COMPILATIONDATE)
set redial 15 28800
set reconnect 15 28800
set dial "ABORT BUSY ABORT NOsCARRIER TIMEOUT 5
"" AT OK-AT-OK ATE1Q0 OK dATDTTTIMEOUT 40 CONNECT"
adsl:
set device PPPoE: rl0
set mru 1492
set mtu 1492
set speed sync
enable lqr
set lqrperiod 5
set cd 5
set dial
set login
set timeout 0
set authname YOURUSERNAME used to login
set authkey YOURPASSWord used to login
【用FreeBSD5.3建立安全網(wǎng)關(guān),ADSL FreeBSD ipfilter ipnat】 set ifaddr 10.0.0.1/0 10.0.0.2/0 255.255.255.0 0.0.0.0
add default HISADDR
enable dns
紅色的部分是需要修改的
五 定制防火墻規(guī)則:
#cd /etc
#touch ipf.rules
#ee ipf.rules
加入如下內(nèi)容:
block in log quick all with short
block in log quick all with ipopts
block in log quick all with frag
block in log quick all with opt lsrr
block in log quick all with opt ssrr

pass out on vr0 all
pass in on vr0 all
pass out quick on lo0 all
pass in quick on lo0 all

block out on rl0 all

pass out quick on rl0 proto tcp from any to any flags S keep state keep frags
pass out quick on rl0 proto udp from any to any keep state
pass out quick on rl0 proto icmp all keep state

block in quick on rl0 all

由于空間的限制,刪去了一些規(guī)則 。
六 配置地址轉(zhuǎn)換(實現(xiàn)NAT功能):
#cd /etc
#touch ipnat.rules
#ee ipnat.rules
加入如下內(nèi)容:
map rl0 192.168.0.0/16 -> 0/32 proxy port ftp ftp/tcp
map rl0 192.168.0.0/24 -> 0/32 portmap tcp/udp 10000:30000
map rl0 192.168.0.0/24 -> 0/32

七 配置rc.conf文件:

#cd /etc
#ee rc.conf
修改如下:
gateway_enable="YES"
hostname="ginifab-gatway.ginifab.com"
ifconfig_vr0="inet 192.168.1.1 netmask 255.255.255.0"
kern_securelevel="1"
kern_securelevel_enable="YES"
inetd_enable="YES"
Linux_enable="NO"
sendmail_enable="NO"
keyrate="fast"
nisdomainname="NO"
sshd_enable="YES"
usbd_enable="NO"
ppp_enable="YES"
ppp_mode="ddial"
ppp_mode="background"
ppp_profile="adsl"

推薦閱讀