未命名文件

[FreeBSD 使用 ipfilter 來架 nat]

[第一部前言][第二部環境介紹][第三部安裝程序][第三部 ipnat 指令說明]
[第四部注意事項＆後記]

[關鍵字介紹][本文顏色表示]

強烈建議，先至“本文顏色表示”清楚本文顏色區分方式

一般在 FreeBSD 上均是使用 ipfw/natd 來架設 nat 及 firewall，其實在 FreeBSD 中另有個相當不錯、類似的軟體 => ipfilter，現在就讓我們利用 ipfilter 來架 nat。

第一部環境介紹

1.	使用二張螃蟹網路卡，rl0 對外，rl1 對內。
2.	其中 rl0 對外 ip 61.219.230.5
3.	rl1 對內 192.168.88.99
4.	內部使用 ip 範圍為 192.168.88.0/24，其中 192.168.88.99 是用在 nat 對內

第二部安裝程序

加一片對內的網路卡

若你原本只有一張網路卡，你就需要在加上第二張網路卡。

在 /etc/rc.conf 檔加上 rl1 網路卡資料中加入

ifconfig_rl1="inet 192.168.88.99 netmask 255.255.255.0"

修改相關設定

修改 /etc/rc.conf 檔，加上(或修改)以下資料

firewall_enable="NO" -> 注意是 no 不是 yes
gateway_enable="YES"

重新編繹核心

因 ipfw 和 ipfilter 不能共存，所以如果你是使用 ipfw 的話，請將核心中有關 ipfw 的部份 mark 掉，如以下：

#options IPFIREWALL <- 將這這二行註解掉。
#options IPDIVERT
options IPFILTER 　　<-加入這二行。
options IPFILTER_LOG

加入後記得重新Make 核心喲！

設定一個 ipnat 設定檔(檔名可自取，以 /etc/ipnat.conf 為例)

# cd /etc
# ee ipnat.conf
在這個檔案中，加入以下二行資料
map rl0 192.168.88.0/24 -> 61.219.230.5/32 portmap tcp/udp 10000:65000
map rl0 192.168.88.0/24 -> 61.219.230.5/32

# cd /etc
# vi ipnat.conf <- 用自己習慣的文書編輯器編輯
在這個檔案中，加入以下二行資料
map rl0 192.168.88.0/24 -> 61.219.230.5/32 portmap tcp/udp 10000:65000
map rl0 192.168.88.0/24 -> 61.219.230.5/32

設定開機執行

為了開機可自動執行 ipnat(ipfilter 用來執行 nat 用的指令)，你可在 /usr/local/etc/rc.d 這個目錄中新增一個 *.sh 檔，如下(以 runipnat.sh 為例)

# cd /usr/local/etc/rc.d <- 進入這個目錄
# vi runipnat.sh　　 <- 創造這個檔案

加入以下資料
#!/bin/sh ->這個要放在第一行
/sbin/ipnat -f /etc/ipnat.conf <-你剛才所設的設定檔，-f 用來指定使用那個設定檔
存檔

將 runipnat.sh 設定成可執行
# chmod 755 runipnat.sh

完成安裝

以上步驟完成後，只要重開機就可以了

內部電腦設定

至於在內部電腦方面，請自行參照你的作業系統設定，如 CreMaker 是使用 window 2000 的系統，我的 tcp/ip 設定如下：

ip位置：192.168.88.77 -> 可在 192.168.88.1 至 192.168.88.254 中任選一個
子網路遮罩：255.255.255.0
預設閘道：192.168.88.99 -> 就是 rl1 的 ip
DNS伺服器：168.95.1.1 -> 可自行修改

設定完後，請自行測試看看，內部電腦是否可連到外面

第三部 ipnat 指令說明

ipnat -l -> 列出目前 ipnat 的設定及狀況
ipnat -C -> C是大寫，清除 ipnat 的設定
ipnat -f <設定檔> -> 讀取設定檔並設定 ipnat

注意事項

在裝網路卡時，請注意在 pci 槽中的順序，以面對主機板的方向而言，對外的網路卡(rl0)請插在靠主機板中央，對內那片(rl1)則靠外(左緣)，以免系統會抓錯網路卡，我就是當在這裏很久..

後記

ipfilter 是個相當不錯的 nat 及 firewall 軟體，由於直接在核心中執行(ipfw/natd 的 natd 是以 daemon 的方式執行)，所以效率較 natd 為佳，而且設定簡單。只不過在 FreeBSD 大多是用 ipfw/natd .. 所以才將其冷落了吧..

另 ipfilter 亦可用來設定 firewall ，其相關指令為 ipf ，有興趣者可 man ipf 自行參考一下 ..

另 ipfilter 的官方網站 http://cheops.anu.edu.au/~avalon/

其它說明

關鍵字介紹

相關網址	http://cheops.anu.edu.au/~avalon/
若於本文中還有看到不清楚的關鍵字時，請來信給梁楓，謝謝。

本文顏色說明

文字

這只是一般的述訴句

文字

需要特別注意的句字

表示在終端機中看到的模樣

文字

表示不必注意的部份。

文字

由使用者輸入的命令或文字

文字

畫面上電腦所輸出的資訊

-- PowerBy CreMaker--
-- 排版 by 梁楓 --