免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
123下一页
最近访问板块 发新帖
查看: 11594 | 回复: 21

[原创]ipf+ipnat+ipfw建立带流量控制的透明网关。 [复制链接]

论坛徽章:
0
发表于 2004-03-20 08:27 |显示全部楼层

[原创]ipf+ipnat+ipfw建立带流量控制的透明网关。

支持原创!

非常棒!

论坛徽章:
0
发表于 2004-03-20 08:41 |显示全部楼层

[原创]ipf+ipnat+ipfw建立带流量控制的透明网关。

先收藏  有机会我也试试 ;)

论坛徽章:
0
发表于 2004-03-20 12:38 |显示全部楼层

[原创]ipf+ipnat+ipfw建立带流量控制的透明网关。

好!!收藏!

论坛徽章:
0
发表于 2004-03-20 17:48 |显示全部楼层

[原创]ipf+ipnat+ipfw建立带流量控制的透明网关。

不错

论坛徽章:
0
发表于 2004-03-21 22:32 |显示全部楼层

[原创]ipf+ipnat+ipfw建立带流量控制的透明网关。

  

论坛徽章:
0
发表于 2004-03-22 15:04 |显示全部楼层

[原创]ipf+ipnat+ipfw建立带流量控制的透明网关。

学习  

dummynet.ko
要到
2:04 root /usr/src/sys/modules/dummynet >;>; ls
@@        __ipfw_hack_dep.c  dummynet.ko*   ipfw*     opt_bdg.h  setdef0.o  setdef1.o
Makefile  dummynet.kld       ip_dummynet.o  machine@  setdef0.c  setdef1.c  setdefs.h
2:04 root /usr/src/sys/modules/dummynet >;>;
中找
在make 就能等到

论坛徽章:
0
发表于 2004-03-23 00:02 |显示全部楼层

[原创]ipf+ipnat+ipfw建立带流量控制的透明网关。

不错,感谢你的贴。

论坛徽章:
0
发表于 2004-03-23 06:03 |显示全部楼层

[原创]ipf+ipnat+ipfw建立带流量控制的透明网关。

dummynet.ko
要到
2:04 root /usr/src/sys/modules/dummynet >;>; ls
@@ __ipfw_hack_dep.c dummynet.ko* ipfw* opt_bdg.h setdef0.o setdef1.o
Makefile dummynet.kld ip_dummynet.o machine@ setdef0.c setdef1.c setdefs.h
2:04 root /usr/src/sys/modules/dummynet >;>;
中找
在make 就能等到
??????????????????????????????????
我的dummynet.ko
要到
2:04 root /usr/src/sys/modules/dummynet >;>; ls
@@ __ipfw_hack_dep.c dummynet.ko* ipfw* opt_bdg.h setdef0.o setdef1.o
Makefile dummynet.kld ip_dummynet.o machine@ setdef0.c setdef1.c setdefs.h
2:04 root /usr/src/sys/modules/dummynet >;>;
中找
在make 就能等到
我的/usr/src/sys/modules/dummynet下只有个Makefile文件??
# $FreeBSD: src/sys/modules/dummynet/Makefile,v 1.1.2.1 2001/11/03 00:42:01 luig
i Exp $

.PATH:  ${.CURDIR}/../../netinet
KMOD=   dummynet
SRCS=   ip_dummynet.c opt_bdg.h
NOMAN=
KMODDEPS= ipfw

.include <bsd.kmod.mk>;

???????????

论坛徽章:
0
发表于 2004-03-23 11:17 |显示全部楼层

[原创]ipf+ipnat+ipfw建立带流量控制的透明网关。

另外:
对文中的:
(d):因为我们采用的是pppoe拨号,有断线重拨的可能。因此有不断监视和更新ipf、ipnat规则的需要(我们前面已经在rc.conf里面设置 ppp断线重拨了,重播以后tun0得到的ip会改变)。因此我们在crontab的root文件里面加上一条规则,使ipf.sh能每隔一段时间(3- 5min)自动执行一次。

个人认为不需要这步。
pppoe拨号的话,可以修改/etc/ppp/ppp.linkup (此文件缺省没有,需自己建立)
MYADDR:
iface clear
!bg /bin/sh /usr/local/etc/rc.d/ipf.sh

这样在每次拨号连接成功后都会自动应用新的ipfilter rules。

论坛徽章:
0
发表于 2004-03-27 00:33 |显示全部楼层

[原创]ipf+ipnat+ipfw建立带流量控制的透明网关。

ADSL用ipfw+natd可以进行端口影射呀!我实践过,请看我的配置文件:
rc.conf:
# -- sysinstall generated deltas -- # Fri Dec 5 11:44:37 2003
# Created: Fri Dec 5 11:44:37 2003
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
gateway_enable="YES"
hostname="FreeBSD4.7"
ifconfig_rl0="inet 192.168.0.1 netmask 255.255.255.0"
#ifconfig_rl1="inet 192.168.10.2 netmask 255.255.255.0"
inetd_enable="YES"
kern_securelevel_enable="NO"
linux_enable="YES"
nfs_reserved_port_only="YES"
#sendmail_enable="NO"
sshd_enable="YES"
usbd_enable="YES"
ppp_enable="YES"
ppp_mode="ddial"
#ppp_nat="YES"
ppp_profile="adsl"

firewall_enable="YES"
firewall_script="/etc/rc.firewall"
#firewall_type="OPEN"
firewall_type="/etc/ipfw.conf"
firewall_quiet="NO"
firewall_logging_enable="YES"
natd_enable="YES"
natd_interface="tun0"
natd_flags="-f /etc/natd.conf"
#natd_flags="-redirect_port tcp 192.168.0.2:80 80"
#route add default 192.168.100.1
route add -host For-DHCP -interface rl0

natd.conf:
log yes
#dynamic yes
redirect_port tcp 192.168.0.2:21 21
redirect_port tcp 192.168.0.2:80 193
#redirect_port udp 192.168.100.150:1604 1640
#redirect_port tcp 192.168.100.150:80 193
#redirect_port tcp 192.168.100.100:4893 4893
#redirect_port udp 192.168.100.210:27015 27015

ipfw.conf:
add 00050 divert natd ip from any to any via tun0
add 00001 deny log ip from any to any ipopt rr
add 00002 deny log ip from any to any ipopt ts
add 00003 deny log ip from any to any ipopt ssrr
add 00004 deny log ip from any to any ipopt lsrr
add 00005 deny tcp from any to any in tcpflags syn,fin

add 10000 allow tcp from any to any 22 in
add 10001 allow tcp from any to any 21 in
add 10002 allow tcp from any to any 193 in
add 10003 allow tcp from any to any 1494 in
add 10004 allow udp from any to any 1604 in
add 10005 allow tcp from any to any 4893 in
add 10006 allow udp from any to any 27015 in
add 10001 allow tcp from any to any 28 in

add 19997 check-state
add 19998 allow tcp from any to any out keep-state setup
add 19999 allow tcp from any to any out
#add 20000 allow icmp from any to any

add 20001 allow udp from any 53 to me in recv tun0
add 20002 allow udp from any to any 53 in recv tun0
add 29999 allow udp from any to any out

add 30000 allow icmp from any to any icmptypes 3
add 30001 allow icmp from any to any icmptypes 4
add 30002 allow icmp from any to any icmptypes 8 out
add 30003 allow icmp from any to any icmptypes 0 in
add 30004 allow icmp from any to any icmptypes 11 in

add 40000 allow all from 192.168.0.0/16 to any
add 40001 allow all from any to 192.168.0.0/16

还有要在rc.firewall中加入:sleep 20;目的是:在运行IPFW/NATD前,使tun0获得IP地址。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP