设置和使用ipfw/natd-FreeBSD 技术文摘

为了和natd协作，必须修改其中过滤设置，以保证经natd转换过的数据包能发到内部计算机上。一般情况下，可以简单的rc.firewall将针对发送到本地网络的过滤规则设置注释掉就可以了，而从本地网络发送到外部网络的数据包在应用过滤规则之前，就已经进行完地址转换了，因此就不受规则影响。前一部分中介绍rc.firewall时，给出了进行注释的例子。另一种方法是调整过滤规则和顺序，将屏蔽这些内部地址的规则放置到divert指令之前。
      　
    * natd的高级设置 　

　　使用-interface参数（或者使用其简写形式-n）启动的natd，可将所有内部网络向外的请求转换为该interface界面使用的IP地址，与外界进行通信。这种方式中，所有的连接中的内部地址不但转换的IP地址，同时也要转换端口地址，以避免地址冲突，并且外部网络只能连接到防火墙，而不能访问内部计算机上的服务。natd还有种种高级设置，使得系统能使用更复杂的地址转换功能。更复杂的情况是防火墙拥有一个合法子网，具有多个可利用的IP地址，此时防火墙对外表现为一个路由器，负责一个内部子网。

　　使用natd时，计算机至少必须拥有一个合法的外部地址，用于将内部地址转换为外部地址时使用，当使用 -interface时，这个值被设置为该网络界面绑订的IP地址，如果该网络界面上的IP地址可能改变（例如它被设置为d hcp客户端，或者是PPP连接），-dynamic参数能使natd跟踪该界面上的地址更改。如果不使用-interface 参数指定网络界面，就必须直接使用-alias_address指定natd使用的外部IP地址。alias_address 定义的地址可以是防火墙本身外部网络界面上拥有的合法IP地址之一，也可以是作为路由器的防火墙的内部网络所拥有的合法IP地址之一。

　　natd可以使用-redirect_address参数，设置静态IP地址转换，例如使用参数”-redirect_address iip oip”，将内部地址iip与外部地址oip进行映射，则所有发送给oip的连接将被转给内部的iip。

# natd -alias_address 202.102.245.60 -redirect_address 192.168.3.2 202.102.245.17

　　上面的命令将使得防火墙使用202.102.245.60作为内部计算机向外连接的缺省地址，而192.168.3.2 被映射为202.102.245.17，可以允许外部网络上的计算机对其进行访问。

　　此时外部网络应该将发送往这两个ip地址的数据都发送到这个防火墙上，一般情况下这个防火墙应对外表现为一个路由器，负责将包括这两个IP地址在内的网络连接到外部网络上，而外界网络上的路由器也具有达到它的正确路由。但也可以通过Proxy ARP或在防火墙外部网络界面上绑订多个ip地址的方法来实现。

　　为了让外部路由器了解这个防火墙负责的网络，除了在外部路由器上设置静态路由之外，还可以使用动态交换路由协议，将防火墙的路由数据与外部路由器动态交换。这就需要使用与外部路由器相同的路由交换协议，常用的内部路由交换协议有rip, rip 2，以及ospf，其中routed用于支持rip协议，而gated可以支持其他种类的协议。由于路由交换协议是整个网络统一规定的，因此必须根据统一使用。

　　另一个非常有用的参数是-redirect-port，它是用于将对某个IP地址固定端口的连接请求，转发至指定内部计算机中。这个参数非常灵活，针对 tcp或udp进行设置。例如将对-alias_address定义地址的 http请求转发到内部地址192.168.3.3的另一个端口8080上。

# natd -alias_address 202.102.245.60 -redirect_port tcp 192.168.3.3:8080 80

　　当然也可以为其他地址，如202.102.245.17，设置映射。

# natd -alias_address 202.102.245.60    \-redirect_port tcp 192.168.3.3:8080 202.102.245.17:80

　　进一步可以使用-redirect_port为特定的外部计算机的特定连接进行映射。

　　还可以使用-f或-config参数指定natd的配置文件，从文件中而非从命令行读取natd的设置，使得设置更为清晰明了。下面的设置文件例子中使用了另外几个很有用的参数。

alias_address 202.102.245.60deny_incoming yesunregistered_onlyyessame_portsyesuse_socketsyes

　　deny_incoming用于拒绝向alias_address发起的所有连接请求，用来保护网络内部安全，这个参数可以和-redirect_port参数结合，控制提供的网络服务。

　　unregistered_only用于只对RFC1918定义的内部网址进行地址转换，防止出现错误设置影响正常的路由设置。

　　same_ports在网络转换时尽量选择与原有数据包相同的端口，这样来保证一些与端口相关的服务能够被尽可能满足，但这并不表示普通的地址转换会百分之百使用同样的端口，在将多个内部转换为一个外部地址时，总会有端口冲突发生的可能，真正要避免冲突，还必须使用-redirect_port直接指定。

　　use_sockets允许natd查看ftp、irc等连接的数据内部，以根据内容设置正确的端口，这将占用较多的系统资源，因此一般不要使用这个选项。然而和same_port协作使用，可以支持更复杂的客户程序。

　　其他还有一些设置选项，如log参数指定natd将日志记录到/var/log/alias.log文件中， dynamic参数用于和interface参数协作，跟踪网络界面的IP地址改变的信息，等等。

　　在设置文件中指定的参数，其形式与在命令行中使用的方式相似，不同之处在于有的参数在配置文件中需指定yes 或no，而在命令行中不需特别指定就意味着使用了yes属性。如直接使用-log而非-log yes。设置好这个设置文件之后，就可以启动natd了。

# natd -f filename