使用FreeBSD构建NAT及防火墙(图)

　　摘 要　本文分析了安全免费的FreeBSD操作系统；由具体实例来讲述FreeBSD中NAT及防火墙的构建，在保障高度安全的基础上通过NAT来发布内网中的WWW和FTP服务。

　　关键词　FreeBSD　NAT　防火墙　服务器安全

 

　　要将内网中的多台计算机通过只有一个公网IP地址的专线接入Internet，并让Internet用户可以访问到内网中的WWW和FTP服务，需要解决两个关键问题：一是由NAT服务器负责Internet连接的共享，并控制Internet的传入连接；二是构建安全可靠的防火墙，防止Internet上黑客的入侵。使用在网络安全界富有盛名的FreeBSD操作系统来构建NAT及防火墙，可以由低的硬件成本实现高的网络效率，这是Windows操作系统解决方案所无法比拟的。

　　自从1969年AT&T Bell实验室研究人员创造了Unix之后，Unix就不断得到发展。虽然当前Windows操作系统占据了桌面计算机的大半领域，但在网络服务器领域中Unix仍然具有不可替代的地位。加州大学伯克利分校的BSD，是Unix发展历程中一个重要的分支，对现代网络技术的发展有相当大的影响。FreeBSD是起源于4.4BSD的一个免费版本，符合POSIX规范，硬件平台支持Intel-x86、SParc和A1pha。目前主要用作网络服务器的操作系统，许多ISP也选择FreeBSD在高端PC上为用户提供 WWW、FTP、Email、NewsGroup等网络服务。

 

　　选择FreeBSD构建网络服务器，主要考虑了以下特性：

　　（1）FreeBSD系统是经过检验了的很稳定的操作系统，特别适合用于网络环境，很多国际国内知名的大网站都使用它作为服务平台；

　　（2）FreeBSD是免费的和公开全部源代码的，不存在版权问题，可以从其网站http://www.freebsd.org免费下载，方便定制系统，避免内嵌未知的恶意代码；

　　（3）它对计算机的硬件配置要求不高，经测试，用一台奔腾166，128M内存，2G硬盘的计算机做代理网关让40台PC同时访问Internet（2M光纤接入）效果都非常好；

　　（4）大大减少病毒的困扰，Windows系列操作系统的病毒问题一直以来都令广大计算机用户感到非常头痛，特别是网络服务器，尽管采用了种种防病毒手段，仍然避免不了病毒的攻击；而UNIX系列操作系统相对来说病毒要少得多，用UNIX系列操作系统作服务器可以有效防止病毒对服务器的攻击；

　　（5）FreeBSD的功能非常强大，它不仅能架设代理服务器，还可以构建防火墙，本身就提供FTP、Telnet、Mail等服务，再安装免费的Apache软件就可以提供WWW服务，并且性能和稳定性要比Windows系统高得多。

　　1、修订内核

　　使用FreeBSD系统构建NAT及防火墙，首先要对内核进行修订。默认配置下安装的内核是GENERIC，为了达到最大的通用性内置了许多设备驱动的支持，也没有加入对NAT和防火墙的支持。作为服务器使用的系统应该尽量紧凑，在完成必要功能的同时，减少对硬件资源的占用，最大限度地提高服务效率。因此，需要修订内核配置文件：准确指定CPU和总线类型，只保留必要的设备驱动，删除对无关设备的支持，如CDROM、SCSI控制器等，同时要将NAT和防火墙的功能配置进内核。

 

　　以root身份登录，进行如下操作：

　　# cd /usr/src/sys/i386/conf

　　# cp GENERIC /root/MYKERNEL

　　# ln –s /root/MYKERNEL

　　# vi MYKERNEL

 

　　编辑MYKERNEL配置文件，加入如下4行内容：

　　options IPFIREWALL

　　options IPDIVERT

　　options IPFIREWALL_DEFAULT_TO_ACCEPT

　　options IPFIREWALL_VERBOSE

　　编译并启用新的内核：

　　# cd /usr/src

　　# make buildkernel KERNCONF=MYKERNEL

　　# make installkernel KERNCONF=MYKERNEL

　　# reboot