免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 3096 | 回复: 2

[FreeBSD] ipfw不编译内核使用内核级nat [复制链接]

论坛徽章:
54
2017金鸡报晓
日期:2017-02-08 10:39:42操作系统版块每日发帖之星
日期:2016-03-08 06:20:00操作系统版块每日发帖之星
日期:2016-03-07 06:20:00操作系统版块每日发帖之星
日期:2016-02-22 06:20:00操作系统版块每日发帖之星
日期:2016-01-29 06:20:00操作系统版块每日发帖之星
日期:2016-01-27 06:20:00操作系统版块每日发帖之星
日期:2016-01-20 06:20:00操作系统版块每日发帖之星
日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏
日期:2015-12-21 20:00:24操作系统版块每日发帖之星
日期:2015-12-21 06:20:00IT运维版块每日发帖之星
日期:2015-11-17 06:20:002015亚冠之广州恒大
日期:2015-11-12 10:58:02
发表于 2015-12-16 11:26 |显示全部楼层
FreeBSD手册上建议使用编译内核的方式来支持IPFW,但在很多时候,特别是新安装机器或虚拟机中时,不希望过多的涉及内核的操作,更希望用一种快捷的方式来使用IPFW。

实际上,在/boot/kernel目录下,有两个IPFW的内核模块,我们随时都可以加载它:
# ls /boot/kernel/ipfw*
/boot/kernel/ipfw.ko            /boot/kernel/ipfw_nat.ko

前一个就是ipfw模块,后一个是ipfw的nat模块,用来提供NAT(网络地址转换)功能,除了WEB、FTP、数据库等服务器外,在大多数情况下,都需要加载它。

1、加载ipfw模块
#kldload ipfw
ipfw2 initialized, divert disabled, rule-based forwarding disabled, default to deny, logging disabled

出现的几句话表明:
(1)divert禁用,这个现在问题不大了,做nat一般用内核的nat。
(2)forwardin禁用,这个一般问题也不大,除非你有需要重定向的应用,比如web劫持。
(3)默认为deny,也就是deny ip from any to any,禁用所有的数据包。该规则同时也提示:远程操作将被中断,所以在远程操作ipfw的时候,最好同时再加一句话:
kldload ipfw && ipfw add 65530 allow ip from any to any,否则你就被锁到外面了。
(4)log禁用,这个问题也不大,一般不编译内核都是临时性的,日志功能不是太重要。

2、加载ipfw_nat模块:
#kldload ipfw_nat

3、编写基础的规则:
(内网卡,em0,ip:192.168.1.1,外网卡em1,ip:172.16.1.1)
ipfw nat 10 config ip 172.16.1.1
ipfw add 100 nat 10 ip from any to any in via em1
ipfw add 200 nat 10 ip from any to any out via em1
ipfw add 65530 allow ip from any to any


4、做nat的时候,不要忘了要启用网关,如果不确定,那么就把这句加上吧:
sysctl net.inet.ip.forwarding=1

论坛徽章:
223
2022北京冬奥会纪念版徽章
日期:2015-08-10 16:30:32操作系统版块每日发帖之星
日期:2016-05-10 19:22:58操作系统版块每日发帖之星
日期:2016-02-18 06:20:00操作系统版块每日发帖之星
日期:2016-03-01 06:20:00操作系统版块每日发帖之星
日期:2016-03-02 06:20:0015-16赛季CBA联赛之上海
日期:2019-09-20 12:29:3219周年集字徽章-周
日期:2019-10-01 20:47:4815-16赛季CBA联赛之八一
日期:2020-10-23 18:30:5320周年集字徽章-20	
日期:2020-10-28 14:14:2615-16赛季CBA联赛之广夏
日期:2023-02-25 16:26:26CU十四周年纪念徽章
日期:2023-04-13 12:23:10操作系统版块每日发帖之星
日期:2016-05-10 19:22:58
发表于 2015-12-16 15:46 |显示全部楼层
bsd不是号称网络能手的,怎么也要人工处理哈

论坛徽章:
54
2017金鸡报晓
日期:2017-02-08 10:39:42操作系统版块每日发帖之星
日期:2016-03-08 06:20:00操作系统版块每日发帖之星
日期:2016-03-07 06:20:00操作系统版块每日发帖之星
日期:2016-02-22 06:20:00操作系统版块每日发帖之星
日期:2016-01-29 06:20:00操作系统版块每日发帖之星
日期:2016-01-27 06:20:00操作系统版块每日发帖之星
日期:2016-01-20 06:20:00操作系统版块每日发帖之星
日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏
日期:2015-12-21 20:00:24操作系统版块每日发帖之星
日期:2015-12-21 06:20:00IT运维版块每日发帖之星
日期:2015-11-17 06:20:002015亚冠之广州恒大
日期:2015-11-12 10:58:02
发表于 2015-12-17 08:29 |显示全部楼层
回复 2# action08

没看懂你要表示的意思。
   
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP