准备用OpenBSD作NAT服务器，大家来提提建议吧

xiangwhy

PF的资料我也好少啊.就是有那个中文翻的PF官方文档

我做NAT是这样的
1.针对网吧
由于是网吧的客户那么机子大多都在几百台以内的.那就好办了.PF不需要太多的规则主要是以网游的速度为主.开个多开个流整和FTP代理就够了.
2.针对企业.公司
要是他们想以安全为主就先BLOCK全端口啦.然后再根据需要一个一个的开
3.针对跨网段的
既然都有了千台左右的机子就不会只拿一台PC台来顶了.我的方案是由一台CISCO的三层或是HUAWEI的三层来做汇聚层.然后再连到OB上咯.要是有DDOS攻击可以考虑在OB外再加一台防火墙,当然了防火墙也可以用OB来搞.
专业来说上千台机要用热备份的.呵呵.不过用OB我还不会搞哈.我也是这个月才开始用OB的希望一起交流交流~

剑心通明

我的就是第三种，现在就是从cisco6509上连到OpenBSD的内网网卡，然后OpenBSD的外网网卡接网通的宽带。一个机器不知道行不行？如果不行的话怎么让两个机器来提供同样的服务？

剑心通明

原帖由 "xiangwhy" 发表：
PF的资料我也好少啊.就是有那个中文翻的PF官方文档

我做NAT是这样的
1.针对网吧
由于是网吧的客户那么机子大多都在几百台以内的.那就好办了.PF不需要太多的规则主要是以网游的速度为主.开个多开个流整和FTP代理..........

要是他们想以安全为主就先BLOCK全端口啦.然后再根据需要一个一个的开

这个NAT只是让下面的机器能正常上网就行了，你说的把端口都block是指在外网网卡上吗？像这种状况应该开哪些端口？

congli

原帖由 "剑心通明" 发表：


要是他们想以安全为主就先BLOCK全端口啦.然后再根据需要一个一个的开

这个NAT只是让下面的机器能正常上网就行了，你说的把端口都block是指在外网网卡上吗？像这种状况应该开哪些端口？

开什么端口视乎你需要开什么服务.

剑心通明

我什么服务都不开，只是让他们上网就可以了，最多映射一个80端口

剑心通明

另外OpenBSD下如何写静态路由，跟FreeBSD一样吗？

ecloud

原帖由 "剑心通明" 发表：
nat# cvsup -g -L 2 cvsup-supfile
Parsing supfile "cvsup-supfile"
Connecting to cvsup.uk.openbsd.org
Cannot connect to cvsup.uk.openbsd.org: Connection refused
Will retry at 18:17:47
Retrying
Con..........

你怎么用uk的服务器？你在英国？

ecloud

原帖由 "Mythikal" 发表：


没这个烦恼，我们最低配置的server都是P4 2.8。

你也试试在你的openbsd box上实现一下acl, URl过滤，av网关看看。

acl和url过滤squid就支持，而且squid的功能还强大得很多
至于av网关那种垃圾东西我们从来不用，太影响通讯质量了
我们的client，一半是IBM P615/630/650和Alpha DS20/ES40和一台老掉牙的HP（现在他在跑mail），另一半用windows的人完全有能力自给管好自给的系统，不存在什么杂7杂8的怪需求
我们要的是：稳定、安全、高效。在客户软件升级需要ftp到我们的文件服务器的时候，lag都是无法容忍的，更不用说网关蓝屏死机了

hongzjx

pf有几百页的文档呀

xiangwhy

[quote]原帖由 "剑心通明"]我的就是第三种，现在就是从cisco6509上连到OpenBSD的内网网卡，然后OpenBSD的外网网卡接网通的宽带。一个机器不知道行不行？如果不行的话怎么让两个机器来提供同样的服务？[/quote 发表：

1台机可以试试看吧.
两台OB来做出口呵呵.没有实验过.