常见问题常见问题   搜索搜索   会员列表会员列表   团队团队   注册注册    个人资料个人资料   登录查看您的站内信件登录查看您的站内信件   登录登录 

用FreeBSD建立拨号网关

 
发表新文章   这个论题已经被锁定,您不能发表、回复或者编辑文章。    FreeBSD China -> 安装-配置-优化-安全
阅读上一个主题 :: 阅读下一个主题  
作者 留言
wxjoshua
精神病


注册时间: 2002-09-06
文章: 569

文章发表于: Mon 2002-10-21 23:29:22    发表主题: 用FreeBSD建立拨号网关 引用并回复

用FreeBSD建立拨号网关

meaculpa

01/01/2001





家庭网络结构如下:



W2K(192.168.0.100) -----以太网-----> FreeBSD(192.168.0.200) -----PPP拨号-----> internet



实现要求如下:



在FreeBSD主机上使用调制解调器拨号上网,并对局域网内其它计算机提供该拨号连接的共享。

在FreeBSD主机上设置缓冲型的DNS系统以避免对域名的重复查询,减轻网络流量。

在FreeBSD主机上设置Squid软件对局域网提供http代理服务并配置ipfw防止用户绕过代理服务器。

在FreeBSD主机上使用Fetchmail及Qpopper为局域网用户代收外部电子邮件。

安装PPP

众所周知,在FreeBSD下有两种类型的PPP,在这里为简单起见使用用户级PPP(User-PPP),因为内核级PPP(Kernel- PPP)需要更多设定配置方面的工作。



当然在开始之前弄清设备所用的硬件资源可使工作事半功倍。为此,需要了解以下内容:

调制解调器所用端口及速率(我假设为所用端口为串口1、速率为115200)

上网的账号及口令

ISP分配的静态IP地址(如为动态分配则无须知道)

现在要根据这些资料来配置并编译新的内核以支持用户级PPP和防火墙功能,在内核配置文件中加入以下内容:



options IPFIREWALL #防火墙功能

options IPDIVERT #转移套接字(支持NAT)

# 串(COM)口

device sio0 at isa? port "IO_COM1" flags 0x10 tty irq 4

# 伪设备 - 数字说明分配之单元数

pseudo-device tun 1 # 分组隧道



编译完新内核后,就可以根据需要修改/etc/ppp/ppp.conf文件了(相应的防火墙功能稍后配置),该文件的样本如下:



default:



set device /dev/cuaa0

set log Phase Chat LCP IPCP CCP tun command

set speed 115200

set dial "ABORT BUSY ABORT NO\\sCARRIER TIMEOUT 5 \"\" AT OK-AT-OK ATE1Q0 OK \\dATDT\ \T TIMEOUT 40 CONNECT"



set timeout 120

set ifaddr 10.0.0.1/0 10.0.0.2/0 255.255.255.0 0.0.0.0

add default HISADDR

enable dns

nat enable yes



163:



set phone 163

set authname 163

set authkey 163



在此样本文件中,set device说明使用的端口,在此我用了串口1;set speed说明设备使用的速率,我用的是115200;set ifaddr说明PPP连接所用的IP地址,第一个地址为本地地址及网络掩码,而第二个地址为ISP处的拨号服务器地址及掩码。如果使用ISP动态分配的地址,就可以象我这样用掩码为0的地址,它说明可以接受任何地址。否则请指定您的 ISP分配的静态地址。nat enable yes说明该PPP拨号连接可以让局域网络内的其它计算机共享。它使用NAT技术将网络内有连接请求的主机本身的本地 IP转换为PPP连接所用的IP,从而可以访问外部互联网。



适当修改后可以用ppp命令来进行拨号测试了:



#ppp

ppp > dial 163

PPP >



当提示符由小写变为大写时说明已经拨号成功了,这时可以ping一下ISP处的DNS服务器地址,看是否能通。另外还可以用netstat命令检查网络状态:



# netstat -nr

Routing tables



Internet:

Destination Gateway Flags Refs Use Netif Expire

127.0.0.1 127.0.0.1 UH 10 389 lo0

192.168 link#1 UC 0 0 ed0

192.100.53.23 202.102.141.141 UH 1 0 tun0

192.168.0.100 52:54:4c:19:6d:d UHLW 2 3968 ed0 1198

要挂断退出可以在提示符下打quit命令,当然还可以用killall -INT ppp来中止当前的连接,否则如果空闲120秒就会自动挂断了(可以用set timeout参数进行调整)。这样,简单的PPP拨号连接配置就完成了。要更多的了解配置PPP方面的内容,可以参考Setting up User PPP(FreeBSD手册中关于用户级PPP的设定细节)。



使FreeBSD成为拨号网关

前面提到在/etc/ppp/ppp.conf中使用nat enable yes可以让网络内其它主机共享此PPP拨号连接,当然要达到这样效果,还必须让FreeBSD成为网关以允许转发IP数据包,所以在/etc/rc.conf文件中加入:



gateway_enable=YES



然后重新启动系统使其生效,当然,如果不想重启,可以用以下命令:



sysctl -w net.inet.ip.forwarding=1



注意:PPP拨号会修改路由表,为使路由稳定,系统不能启动动态路由守护程序,如routed或gated,因为它们会动态修改路由表。



设置缓冲型DNS

为了对网内计算机查询域名进行缓冲,首先修改/etc/resolv.conf,因为PPP的enable dns参数会为系统设定从ISP处获得的域名服务器,要使系统优先使用本地域名服务器才能发挥缓冲型DNS的特性,这时可以把其它服务器作为后备:



domain meaculpa.net

nameserver 127.0.0.1

nameserver 202.102.14.141

nameserver 202.102.15.162



以上添加127.0.0.1作为首域名服务器。然后用/etc/namedb/make-localhost产生适合本机的localhost.rev文件。注意,make-localhost脚本属性为644,需以root身份将其改为744才能运行。



接着修改/etc/namedb/named.conf,以使BIND运行为缓冲方式,样本如下:



options {

directory "/etc/namedb";

forward only;

forwarders {

202.102.14.141;

};

};



zone "." {

type hint;

file "named.root";

};



zone "0.0.127.IN-ADDR.ARPA" {

type master;

file "localhost.rev";

};



如使用BIND4则修改named.boot,样本如下:



directory /etc/namedb

primary 0.0.127.IN-ADDR.ARPA localhost.rev

cache . named.ca

forwarders 202.102.14.141

options forward-only



最后就可以向/etc/rc.conf文件加入以下行使域名服务启动:



named_enable="YES"



这样重启后就拥有一个缓冲型的DNS系统了,这时可以设置局域网内其它计算机的TCP/IP属性,将DNS服务器指向该系统以利用其特性。



安装Squid

为了改善慢速的拨号连接并阻塞内部计算机直接访问外部网站,可以安装一套代理/缓冲系统并添加一定的防火墙规则。



在FreeBSD上我用了Squid这套软件,当然可以有两种安装方法,一是用现成的tgz包,打pkg_add命令就可以方便地装好了;另外就是到http://squid.nlanr.net/下载合适的版本(这里用了squid21)到FreeBSD的ports目录里自己编译安装,如:



cd /usr/ports/www/squid21;make install



建立Cache系统

接下来首先需要建立Cache目录。缺省会使用100M的磁盘空间,建议专门分一个区给它使用,如/cache。如果您想调整此Cache目录的大小,可以适当修改/usr/local/etc/squid/squid.conf文件。



在完成对其配置文件的修改后进行首次运行时,必须以root身份建立Cache目录:



# /usr/local/sbin/squid -z



如果得到“Permission denied”的出错信息,如:



09:09:29| Creating Swap Directories FATAL: Failed to make swap directory /usr/local/squid/cache/00: (13) Permission denied

Squid Cache (Version 2.1):Terminated abnormally. CPU Usage: 0.022 seconds Maximum Resident Size: 1000 KB Page faults with physical i/o: 0



则可能是以下原因之一:

磁盘上没有空间了。

(对此我无能为力)

没有建立/usr/local/squid/logs/目录。

(手工建一个嘛)

您的/usr/local/squid/logs/cache.log文件属于root。

(可以用这条命令“chown nobody.nogroup /usr/local/squid/logs/cache.log”改一下,另外../log和../cache目录里的所有文件都要有此属性。)

于是我查了一下这些目录中的文件,的确都属于root,所以我用了这两条命令:



# chown nobody.nogroup /usr/local/squid/logs

# chown nobody.nogroup /usr/local/squid/cache



然后再试一下建立Cache目录:



# /usr/local/sbin/squid -z

2001/01/01 09:14:32| Creating Swap Directories



这次运行顺利!



测试

在IE的选项->连接选项卡中设好代理服务器的地址和端口(3128),接着用squid的调试/测试模式进行试运行:



# /usr/local/sbin/squid -NCd1

09:30:54| Starting Squid Cache version 2.1 for i386--freebsd3.2...

09:30:54| Process ID 1026

09:30:54| With 1064 file descriptors available

09:30:54| Performing DNS Tests...

09:30:54| Successful DNS name lookup tests...

09:30:54| helperOpenServers: Starting 5 'dnsserver' processes

09:30:54| Unlinkd pipe opened on FD 13

09:30:54| Swap maxSize 102400 KB, estimated 7876 objects

09:30:54| Target number of buckets: 157

09:30:54| Using 8192 Store buckets, replacement runs every 10 seconds

09:30:54| Max Mem size: 8192 KB

09:30:54| Max Swap size: 102400 KB

09:30:54| Rebuilding storage in Cache Dir #0 (DIRTY)

09:30:54| Loaded Icons.

09:30:54| Accepting HTTP connections on port 3128, FD 35.

09:30:54| Accepting ICP messages on port 3130, FD 36.

09:30:54| Ready to serve requests.

09:30:54| storeRebuildFromDirectory: DIR #0 done!

09:32:10| Finished rebuilding storage disk.

09:32:10| 0 Entries read from previous logfile.

09:32:10| 0 Entries scanned from swap files.

09:32:10| 0 Invalid entries.

09:32:10| 0 With invalid flags.

09:32:10| 0 Objects loaded.

09:32:10| 0 Objects expired.

09:32:10| 0 Objects cancelled.

09:32:10| 0 Duplicate URLs purged.

09:32:10| 0 Swapfile clashes avoided.

09:32:10| Took 76 seconds ( 0.0 objects/sec).

09:32:10| Beginning Validation Procedure

09:32:10| storeLateRelease: released 0 objects

09:32:11| Completed Validation Procedure

09:32:11| Validated 0 Entries

09:32:11| store_swap_size = 21k

09:32:31| parseHttpRequest: Unsupported method 'PROPFIND'

09:32:31| clientReadRequest: FD 14 Invalid Request



(用Ctl+C中止squid)



09:33:44| Preparing for shutdown after 8 requests

09:33:44| Waiting 0 seconds for active connections to finish

09:33:44| FD 35 Closing HTTP connection

09:33:45| Shutting down...

09:33:45| FD 36 Closing ICP connection

09:33:45| Closing unlinkd pipe on FD 13

09:33:45| storeDirWriteCleanLogs: Starting...

09:33:45| Finished. Wrote 0 entries.

09:33:45| Took 0 seconds ( 0.0 entries/sec).



对/usr/local/etc/squid/squid.conf文件进行修改以允许适当的主机使用代理服务,为此加入以下三条:



acl ourhosts src 192.168.0.0/255.255.255.0 #定义可以使用代理服务的主机地址范围及组名

http_access allow ourhosts #允许此组访问http

http_access deny all #禁止其它所有主机访问http



重新启动squid,并用IE进行测试,结果很顺利:



# /usr/local/sbin/squid -NCd1



最后检查一下/usr/local/etc/rc.d目录中是否有它的启动脚本squid.sh,如没有可参照以下内容建一个:



#!/bin/sh

if [ -x /usr/local/sbin/RunCache -a -f /usr/local/etc/squid/squid.conf ]; then

(cd /tmp; /usr/local/sbin/RunCache >/dev/null 2>&1 &) ; echo -n ' squid'

fi



防止用户绕过代理服务器

好了,现在已经初步架好了squid(该服务器软件有非常之多的配置选项,可根据需要修改/usr/local/etc/squid/s quid.conf配置文件),紧接着的问题就是如何让用户只能通过代理服务器访问互联网,而不能绕过它,也就是说要阻塞端口80。为此可以在系统的防火墙规则中加入一些内容,假定ed0是网卡设备,规则添加如下:



#/sbin/ipfw add 200 deny tcp from any to any 80 via ed0

#/sbin/ipfw add 300 deny udp from any to any 80 via ed0



当然,可以将这些规则放入系统的启动文件中,FreeBSD已经具有载入过滤规则的相应文件/etc/rc.firewall,要使用它只要在/etc/rc.conf文件中设置以下参数:



firewall_enable=YES

firewall_type="UNKNOWN"



这时,除了把它们添加到已有的规则模板以适应少量修改之外,还可以把它们与其它一些您自定义的规则放入一个外部文件中,然后把firewall_type的值(默认的/etc/rc.firewall文件已定义了几种类型可作为此参数的值)改为此文件的全路径名,这样系统就会在启动时用ipfw自动执行这些规则。



代收邮件

通过安装并配置Fetchmail和Qpopper这两个软件可以为局域网中其它用户代收他们的外部电子邮件:



#pkg_add qpopper-2.53.tgz

#pkg_add fetchmail-5.2.0.tgz



修改/etc/inetd.conf,去掉下面这条行首的#号:



pop3 stream tcp nowait root /usr/local/libexec/popper popper



然后用以下方法重启inetd以提供pop3服务:



#ps -acx | grep inetd

165 ? I 0.12 inetd

#kill -HUP 165



用户级PPP包含一个/etc/ppp/ppp.linkup这样的文件,用于在拨号成功之后运行一行东东,就象自动批处理文件一样,现在向这个文件中加入下面的内容:



163:

!bg sh -c "fetchmail -f /root/.fetchmailrc"



这样就会在PPP拨号连接后自动后台运行Fetchmail收信了,至于收信的具体配置,需要在.fetchmailrc中定义,我把该文件放在/root目录下并chmod为700,以防止其它用户读取该文件中的信箱账号及口令。其具体设置样本如下:



poll mail-meaculpa via pop.server1.com

protocol pop3

preauth password

username meaculpa here is mea there

password "123abc"

pass8bits

fetchall



poll mail-user via pop.server2.com

protocol pop3

preauth password

username user here is mike there

password "456def"

pass8bits

fetchall



其中via后的名称为pop3邮件服务器名;protocol用来说明使用的协议;authenticate用来说明验证方式;here前的名称为本地用户邮箱账号;there前的名称为远程用户邮箱账号;password说明远程账号对应的口令,其中如包含数字等特殊字符需要加引号;pass8bits说明收到的邮件中含有8位字符,这对于我们中文的邮件非常关键;最后的f etchall说明全部收取。关于Fetchmail的详细说明请用man fetchmail命令。



这样,当Fetchmail读取该配置文件后即会收取对应的两个用户的外部邮件,并转存到其本地邮箱中,用户可以在自己的计算机中使用pop3方式连到拨号网关计算机进行收信,以便于统一管理。



-- 错误在所难免,欢迎批评指正

_________________
I have a dream:I want to travel the world.
返回页首
阅览会员资料 发送站内信件 浏览发表者的主页 Yahoo Messenger MSN Messenger
从以前的文章开始显示:   
发表新文章   这个论题已经被锁定,您不能发表、回复或者编辑文章。    FreeBSD China -> 安装-配置-优化-安全 论坛时间为 北京时间
1页/共1

 
转跳到:  
不能发布新主题
不能在这个论坛回复主题
不能在这个论坛编辑自己的文章
不能在这个论坛删除自己的文章
不能在这个论坛发表投票


Powered by phpBB 2023cc © 2003 Opensource Steps; © 2003-2009 The FreeBSD Simplified Chinese Project
Powered by phpBB © 2001, 2005 phpBB Group
Protected by Project Honey Pot and phpBB.cc
silvery-trainer
The FreeBSD China Project 网站: 中文计划网站 社区网站
The FreeBSD China Project 版权所有 (C) 1999 - 2003 网页设计版权 著作权和商标