如何使用NAT?

3/28/2005来源:FreeBSD教程人气:14403

NAT (Network Address Translation) 可以让你区域网路中的所有机器经由一台通往 Internet 的 server 连线出去,而且只需要注册该 server 一个 ip 就够了。 

在以往没有 NAT 技术以前,我们必须在 server 上安装 sockd,并且所有的 clients 都必须要支援 sockd,才能够经过 server 的 sockd 连线出去。这种方式最大的问题是,通常只有telnet/ftp/www-browser 支援 sockd,其它的程式都不能使用;而且使用 sockd 的速度稍慢。因此我们现在都使用本篇所提的 NAT,这样 client 不需要做任何的更动,只需要把 gateway 设到该 FreeBSD server 上就可以了,而且所有的程式(例如 kali/kahn 等等) 都可以使用。 

首先我们先来谈谈区域网路的 PRivate IP,依照 RFC 1918 规范,以下的IP 被预留作为 private network 使用,不会跟别人冲突: 
10.0.0.0 - 10.255.255.255 
172.16.0.0 - 172.31.255.255 
192.168.0.0 - 192.168.255.255 
因此当你在架设私有的区域网路时,应该根据你的需要使用以上的 IP 当作区域网路中机器的 IP Address。 

再来我们谈谈所需要的软硬体: 
1. 一台可以连上 internet 网路的 FreeBSD server,并且拥有注册过的合法 IP。而且在 /etc/sysconfig 中要把 gateway 设成 ON 以启动IP forwarding 的功能。 

2. FreeBSD 操作系统版本: 
a) FreeBSD-2.1: 
* 如果你的 FreeBSD server 是经由 PPP 连上 internet 的,你可以使用 PPP_Alias (http://www.srv.net/~cmott/alias.html),使用方法很简单,只需要把 ppp_alias 替换掉 /usr/sbin/ppp,然後使用 /usr/sbin/ppp (user mode ppp) 连上网路即可,不需额外设定。 
* 如果你的 FreeBSD server 是经由 LAN 以及其他方式连上网路的, 请用 ip_filter (http://coombs.anu.edu.au/~avalon/ip-filter.html) 这套软体不但具有 NAT 的功能,还可以做 IP Filtering 以及其他强大的功能。 
b) FreeBSD-2.2/3.0: 
* 如果你的 FreeBSD server 是经由 PPP 连上 internet 的,你可以使用 PPP_Alias,由於 cmott 撰写的 PPP_Alias 已经被加入 2.2/3.0 中,因此你只需要使用 /usr/sbin/ppp -alias 拨接即可。 
* 如果你的 FreeBSD server 是经由 LAN 以及其他方式连上网路的, 你有两种选择: 
1) 使用 IP Divert Interface: 
FreeBSD 2.2/3.0 具有 Packet Divert (请 man divert) 的功能,Divert 可以让你自由的处理经过 kernel 的 packets,除了 NAT以外,还有其他如「限制网路频宽」等功能。如果你要使用 divert 
来做 NAT 的话,你需要 ftp://freebsd.csie.nctu.edu.tw/pub/jdli/collect/natd/ 软体,并且依照里面的说明在 kernel 中加入 IP Firewall 与 IP Divert 的功能。(现在 natd 已经进入FreeBSD-ports/net/natd/,您可以到 ports/packages 中寻找) 
2) 使用 IP Filter: 
前面提过的 ip_filter 由於功能强大,现在已经慢慢进入 FreeBSD 2.2/3.0 中,很可能未来会取代掉 FreeBSD 现有的 IP Firewall。 

3. 其它的软体: 
你可以在这台 FreeBSD server 上启动 IP Firewall 或是安装 Proxy server (例如 squid) 来充分发挥其 gateway 的功能。 

4. 注意事项: 
使用 NAT 後,你所有的连线都会被当成是从该 FreeBSD server 上出去的,也就是说,外面的机器无法直接连上你区域网路中的机器,当然连上你的 FreeBSD server 是没有问题的。 

PS. 从 1997/6/22 起,natd 已经正式加入了 2.2/3.0 的行列。 

================================================================== 
浅谈 natd 的架设: 

0. 你必须使用 FreeBSD-2.2.2+/3.0+ (已内建 natd) 

1. man natd 大略看过一遍 

2. 系统设定: 
a) 在 kernel 设定档中加入以下 keyWord 并重新编译 kernel 
    options IPFIREWALL 
    options IPDIVERT 
b) 修改 /etc/rc.conf 启动 IP forwarding,以及启动 IP Firewall 
    gateway_enable=YES 
    firewall="open" 
c) 把以下加入到 /etc/services 
    natd 6668/divert 
d) 重新开机 
e) 执行 natd 
    natd -interface ed0 
    其中 ed0 是你连上网路的媒介,例如 ed0 ppp0 de0 tun0,这样封包会经由该媒介转送。 
f) 执行 ipfw (把 ed0 换成 natd 用的那个) 
    /sbin/ipfw add 60000 divert 6668 all from any to any via ed0 

3. 到此大致完成了,你可以把你的 clients 的 router IP 设到这台 FreeBSD Server,测试看看能不能上网路。 

4. 如果成功了,可以把 ipfw 那行加到 /etc/rc.firewall 中,把 natd 那行加到 /etc/rc.local 中,这样以後就可以自动启动了。 

5. 这只是最基本的设定,natd 还有许多特异功能,请自行 man natd。