作者 主題: FreeBSD 與多個真實 IP  (閱讀 4296 次)

0 會員 與 1 訪客 正在閱讀本文。

mactable

  • 懷疑的國中生
  • **
  • 文章數: 61
    • 檢視個人資料
FreeBSD 與多個真實 IP
« 於: 2002-12-06 03:56 »
大家好! 本人公司的 Lan 上有大約 30 台 PC, 2 台 mail servers 及 1 台 web server.
最近申請了4個 固定 IP, 分別是 218.188.25.A - D (舉例), 希望可以如此安排
I) Lan 上的客戶端能透過分享其中一顆 IP (218.188.25.A) 連接 internet
II) 2 台 mail servers 各佔一顆 IP (218.188.25.B-C)
III) web server 佔一顆 IP (218.188.25.D)
IV) 設立簡單的 IP 和 ports 的過濾機制控制上述 1-3 的進出連線

本人以前曾以 FreeBSD 架設 mail server, 自問對 FreeBSD 並無深入認識, 對以上的解決方案沒有完全頭緒. 希望前輩能助小弟一把...  

1) 我能否以一台 FreeBSD 同時擔當路由和防火牆 ?
即是說, 將 4 顆真實 IP 同時設定在 NIC1 並連接至對外 internet 連線 , 將 private IP 設定在 NIC2 並連接至  switch 和 本地 Lan 相連.
我該用何種方法 (軟件) 來實現?

2) 這台 FreeBSD 的配備大約是什麼 ? Pentium MMX 級 64MB 的可滿足嗎?

P.S. 若我的想法不當, 請指點, 多謝大家!

2)

逸晨

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1205
  • 我是逸晨
    • 檢視個人資料
Re: FreeBSD 與多個真實 IP
« 回覆 #1 於: 2002-12-06 06:01 »
引述: "mactable"

1) 我能否以一台 FreeBSD 同時擔當路由和防火牆 ?
即是說, 將 4 顆真實 IP 同時設定在 NIC1 並連接至對外 internet 連線 , 將 private IP 設定在 NIC2 並連接至  switch 和 本地 Lan 相連.
我該用何種方法 (軟件) 來實現?

可以的。
而且大都如是處理。
引述: "mactable"
2) 這台 FreeBSD 的配備大約是什麼 ? Pentium MMX 級 64MB 的可滿足嗎?

如果純是擔任路由與防火牆,這樣的配備足已 -- 當然能夠多加些 RAM 會更好。
不過如果流量大的話,需特別注意網卡的選擇。

ps::
這稱謂使用『本人』似乎不太恰當說  :wink:

小穎

  • 俺是博士!
  • *****
  • 文章數: 1005
    • 檢視個人資料
FreeBSD 與多個真實 IP
« 回覆 #2 於: 2002-12-06 09:12 »
看一下ifconfig及rc.conf即可知如何bind多個ip在同一張網卡上!:)

小弟服務公司的NAT+DHCP+Multi-DNS+Firewall+Proxy+WINS是用PIII-1G+384MB RAM來做的!當然…使用FreeBSD平台!運作正常良好!^^
網卡的部分是使用便宜的勞謝卡!(沒錢給我用Intel的網卡)

dlkan

  • 可愛的小學生
  • *
  • 文章數: 13
    • 檢視個人資料
    • http://www.gocar.idv.tw
FreeBSD 與多個真實 IP
« 回覆 #3 於: 2002-12-06 10:09 »
rc.conf 要先設定
ifconfig_rl0_alias0="inet 1.2.3.4 netmask 255.255.255.255" //在網卡上再另外設定一個真實ip 1.2.3.4
natd_flags="-config /etc/natd.conf" //指定nat 設定檔
在/etc下建立natd.conf內容如下
redirect_address 192.168.1.1 1.2.3.4 //如此就能把內部192.168.1.1對映到1.2.3.4

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
FreeBSD 與多個真實 IP
« 回覆 #4 於: 2002-12-06 11:12 »
不就跟一般的防火牆一樣作就好了?
代碼: [選擇]
                     
isp ---- firewall--- nic 0 --- nat + lan (public 00)
                     --- nic 1 --- dmz 01, dmz 02 , dmz 03    


只是firewall改用FreeBSD而已,可以的話dmz上一種服務用一台機器跑

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
FreeBSD 與多個真實 IP
« 回覆 #5 於: 2002-12-07 00:06 »
FreeBSD跟OpenBSD都有一些sample,
了解rules的操作應該就可以了....

mactable

  • 懷疑的國中生
  • **
  • 文章數: 61
    • 檢視個人資料
另一問題, 是關於防火牆 ...
« 回覆 #6 於: 2002-12-07 01:45 »
謝謝各位前輩的友善解釋, 我開始掌握到一點點了.

今早, 我的上司跟我說,  Linux 上好有不少 關於路由和防火牆的方案, 特別是比較傻瓜式的, 只需一隻 1.44MB 軟碟 便可啟動, 我亦找到了兩個如:
BBIagent     www.bbiagent.com
floppyfw     www.zelow.no/floppyfw

我的心想用 FreeBSD... (我總覺 FreeBSD 比 Linux 好 :P) 但我的上司問我有何好處... 大家可以告訴我那效能上的分別嗎 ?

另外, NAT 能否阻擋如 DDOS 等等 惡意攻擊 (對不起, 我真的不熟悉) 或是, 應該再建立一道比較正式點的 firewall ?  那麼, 接駁次序該是怎樣?

1) Internet -- 防火牆 -- 路由 -- 機器
還是  2) Internet -- 路由 -- 防火牆  -- 機器

最後, 請問有否教學文件是比較適合本人公司的環境, 在幾個真實 IP 上建立路由和防火牆呢, 因為, 我想先試作一點點東西實踐...

謝謝指教.

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
FreeBSD 與多個真實 IP
« 回覆 #7 於: 2002-12-07 09:56 »
是這個嗎?
http://www.zelow.no/floppyfw/download/HOWTOS/ffw-3ethernets-multi_ip-howto.txt

你們是用專線還是ADSL,
一般常見的是把Firewall放在Router之後,
或是合在一台.

dlkan

  • 可愛的小學生
  • *
  • 文章數: 13
    • 檢視個人資料
    • http://www.gocar.idv.tw
FreeBSD 與多個真實 IP
« 回覆 #8 於: 2002-12-07 10:10 »
http://people.freebsd.org/~murray/bsd_flier.html
作業系統的差異性
記得有看過中文的
不過忘記在那看到的

防火牆一般就是放在連結到internet的第一戰線
這樣才可以完全監控所有進出internet的資料
再把假ip的服務透過firewall推到internet
如果要建立良好的防火牆要注意以下幾點

1.確實設定好企業用網路防火牆的存取規則,沒有用到的port就不要開放
2.注意安全通報訊息,隨時更新系統的安全捕漏程式
3.要養成定期觀看log檔的服務,注意對於利用特殊埠號連線,採取追蹤分析,以避免未知後門程式的肆虐。
4.明確訂定每一部機器可使用之網路應用程序名稱,網路IP位址與連接埠號。

mactable

  • 懷疑的國中生
  • **
  • 文章數: 61
    • 檢視個人資料
FreeBSD 與多個真實 IP
« 回覆 #9 於: 2002-12-07 23:34 »
對, 我上司就是叫我看看這個啊... 我也跟著做了一個, 一片磁片便可作 router 真神奇 (是我不太了解她的威力罷了)

我那條算不上專線, 是 GE, 從外邊拉一條 Cat5 線進來公司, ISP 給了我 4 個 IP, 111.222.333.440-3,  submask 255.255.255.248.


引述: "duncanlo"
是這個嗎?
http://www.zelow.no/floppyfw/download/HOWTOS/ffw-3ethernets-multi_ip-howto.txt

你們是用專線還是ADSL,
一般常見的是把Firewall放在Router之後,
或是合在一台.